DDOS Angriff auf Server 2012 R?

fisch56
article-picture
HAllo, mein Server hat 3-4 solcher Einträge in den Ereignissen:
Protokollname: Application
Quelle: named
Datum: 26.08.2021 01:01:28
Ereignis-ID: 3
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: vs225317.dedicated.hosteurope.de
Beschreibung:
client @010105c8 191.221.112.144#80 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Ereignis-XML:

Und ***
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.08.2021 01:03:07
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: vs225317.dedicated.hosteurope.de
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: admin
Kontodomäne:

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: Rdesktop
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:

in der Sicherheit.
DDos Angriff? Wenn ja, was kann man tun. Ich boote die Kiste alle paar Stunden weil der Speicher immer geringer wird.

Danke für Hilfe
Joachim

Content-Key: 1195367435

Url: https://administrator.de/contentid/1195367435

Ausgedruckt am: 23.01.2022 um 19:01 Uhr

Mitglied: LordGurke
LordGurke 26.08.2021 aktualisiert um 01:38:59 Uhr
Goto Top
Ist der Server über Port 53/UDP aus dem Internet erreichbar und beantwortet dort auch Fragen für Domains, die er nicht selbst verwaltet (Rekursion)?
Wenn ja: Diese Konstellation wird ausgenutzt und du bist derjenige, der DDoS gegen andere fährt.
Suchstichwort: DNS Amplification.

In dem Fall als erste Maßnahme den DNS-Dienst zumindest per UDP aus dem Internet unerreichbar machen und dann so konfigurieren, dass Rekursion nur von vertrauenswürdigen Netzen erlaubt ist.
Und sich fragen, ob der DNS-Dienst einen hehren Zweck erfüllt und zwingend aus dem Internet erreichbar sein muss.


Nachtrag:
Es kann durchaus sein, dass der Server die Anfragen bekommt, verarbeitet, aber nicht beantworten will.
Beim zweiten Lesen sieht das zumindest so aus. In dem Fall bleibt dir wohl nur, per Firewall Port 53/UDP zu schließen.
Mitglied: cykes
cykes 26.08.2021 um 07:41:45 Uhr
Goto Top
Moin,

es wäre hilfreich, wenn Du ein paar Zusatzinformationen zu "Deinem Server" liefern würdest.
Der (Windows-)Server ist ja offenbar bei Hosteurope gehostet, welchen Zweck erfüllt dieser bzw. was läuft alles auf der Kiste?
Hängt der Server mit dem "nackten A*" im Internet oder ist er zumindest grundlegend abgesichert?
Ist bspw. der RDP-Port frei verfügbar oder greifst Du via VPN darauf zu?

Könnte sich nämlich auch um das übliche Grundrauschen handeln, wenn der Server und dessen Dienste nur halbherzig abgesichert sind.

Gruß

cykes
Heiß diskutierte Beiträge
question
Alternative für MS TeamsBlackDevilVor 20 StundenFrageVideo & Streaming5 Kommentare

Servus Zusammen, ich arbeite eigentlich grundsätzlich remote, was eben auch Kundengespräche und -beratung inkludiert. Bisher mache ich das über MS Teams, was im Grundsatz auch ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Analog Telefonanschluss aufs Netzwerk bringenpeter91gVor 1 TagFrageISDN & Analoganschlüsse11 Kommentare

Hallo zusammen, ich habe aktuell ein Router von meinem Provider welcher im Bridge-Modus geschalten ist. Dadurch kann ich die Festnetztelefonie nur über den Analog-Anschluss am ...

question
Verständnisproblem SubnettingKarolaVor 1 TagFrageNetzwerkgrundlagen6 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...

question
Syntax zum Mappen einer Freigabe auf einem RDSH gelöst mtcmtcVor 22 StundenFrageNetzwerke14 Kommentare

Hallo zusammen, ich starte normalerweise eine rdp-Datei um mich vom HomeOffice auf meinen RDSH-Client in der Firma zu verbinden. -> also kein Problem Auf diesem ...

question
Apps mit riesigen Datenbank verbindenBella21Vor 22 StundenFrageEntwicklung4 Kommentare

Hallo alle zusammen, ich suche nach einer Lösung für einen APP. Der Datenbank ist riesig mehr als 10GB, da die komplette Datenbank nicht auf das ...

question
Umgestaltung HeimnetzwerkPaulePilsVor 1 TagFrageNetzwerke1 Kommentar

Hallo zusammen, ich bin seit heute neu im Forum, deshalb hoffe ich, dass meine Beitrag an der richtigen Stelle platziert ist :-) Ich würde mich ...

question
Hyper V Maschine (Windows 10 Pro) auf Server2022 langsam gelöst factxyVor 1 TagFrageHyper-V6 Kommentare

Hallo, ich habe einen neuen Server2022 augesetzt und dort von einem 2016er Server eine Windows10 HyperV erst exportiert dann am 2022er importiert. Soweit mit gleicher ...