dschwarzer
Goto Top

Diverse Einwahlversuche auf Windows 2003 Server

Schönen guten Tag zusammen,
ich administriere einen Windows 2003 Server per Remote Zugriff, der bei 1 & 1 steht.

Seit kurzen tauchen in den Protokollen desöfteren Warungen über fehlgeschlagene Anmeldeversuche auf,
die zum teil sicherlich von einem Tool stammen das eine Brute-Force oder Direktory-Atack durchführt
(wegen der Geschwindigkeit mit der diese Einwahlversuche laufen). Ab und an kommt auch mal nur ein
einzelner Versuch.

Die Benutzer mit denen versucht wird sich einzuloggen sind die üblichen Verdächtigen :
Web, New User, Admin, root, Update ........

In Regelmäßigen Abständen lasse ich natürlich die Antivieren und Firewallsoftware sowie Tools zum finden von
Spyware aktualiesieren und ausführlich suchen, bisher keine Ergebnisse.

Und auch in den Protokollen sehe ich keinerlei erfolgreiche Anmeldungen, die nicht erwünscht sind.

Meine Frage ist jetzt allerdings, was ich noch tun kann / sollte. Der Provider selbst sagt das sei unser Problem
da können Sie garnichts tun. Soll ich die Angriffe einfach weiterlaufen lassen und regelmäßig die Login Passwörter
ändern oder gibts einen guten Rat den ich beherzigen kann ?


Danke fürs lesen face-smile


Mit freundilchem Gruß
DSchwarzer

Content-ID: 86620

Url: https://administrator.de/contentid/86620

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

SarekHL
SarekHL 29.04.2008 um 08:16:25 Uhr
Goto Top
Gibt es da irgendwelche Logfile, aus denen Du entnehmen kannst, von welcher IP-Adresse die Angriffe kommen? Wenn ja kannst Du ja mal Anzeige erstatten und der Staatsanwaltschaft die Logs übergeben. Sollte der Angreifer aus Deutschland kommen und sich nicht über offene Proxies getarnt haben, sollte man ihn recht schnell ausfindig machen können, da die Provider ja verpflichtet sind die vergebenen dynamischen IP-Adressen zu protokollieren.

Davon abgesehen solltest Du natürlich ein möglichst langes und komplexes Paßwort verwenden, das den Chance eines erfolgreichen Angriffs minimiert ;)
Burschi
Burschi 29.04.2008 um 08:54:15 Uhr
Goto Top
Hallo,

das Problem hat wohl jeder der einen gemieteten Server betreibt. Ich habe das (bei mir SSH) so gelöst, indem ich mit eine statische IP gebucht habe.

Dementsprechend konnte ich dann via Firewall den Zugriff auf TCP Port 22 auf meine IP beschränken, seither ist im Syslog Ruhe - da ja keiner mehr überhaupt dahin kommt.

Flatrates mit statischer IP gibts mittlerweile immer öfter. Falls Du wissen willst, welcher Provider das ist, schreib mich an, ich glaub die Verlinkung hier wäre sonst Schleichwerbung.
DSchwarzer
DSchwarzer 29.04.2008 um 09:11:53 Uhr
Goto Top
Danke schonmal für die schnellen Antworten,
bin gerade dabei mich ein bisschen mehr in die Protokolle
und deren analyse einzuarbeiten.....

Das beschränken besonderer Ports auf eine spezielle IP ist ne Überlegung wert,
vielen Dank für diesen Rat, werd mich da auch direkt mit beschäftigen face-smile
mischn1980
mischn1980 29.04.2008 um 11:04:08 Uhr
Goto Top
Hallo,

wir haben das gleiche Problem mit unserem Root-Server.

Der längste Angriff hatte bei uns über 2 Minuten gedauert.

Der letzte Angriff war am 26.04.

Bin mal gespannt wann es wieder losgeht.

Vielleicht hat der eine oder andere noch weitere Ideen was gemacht werden kann.

Gruss

Michael
Burschi
Burschi 29.04.2008 um 11:31:56 Uhr
Goto Top
Was soll man noch groß anderes machen....

Entweder Du beschränkst den Zugriff oder sperrst den Port komplett. Ansonsten wird der Server immer aus dem Internet erreichbar sein.

Alternativ ggf. VPN? Kommt halt drauf an, um was es sich handelt, betreibst Du einen Mailserver kannst Du halt schlecht Port 25 blocken...