webbsta
Goto Top

HACKER Angriff- Angreifer nutzt Port für Remote Desktop

Ein Hacker versucht seit heute morgen Punkt 6 Uhr unsere Datenserver von außen zu hacken

Hallo!

Ein Hacker versucht seit heute morgen punkt 6 uhr, einen unserer Datenserver(Windows 2008) zu hacken, jedoch ist der betroffene Server nur passiv mit dem Internet verbunden. Er ist direkt mit dem lokalen Firewall-Server verbunden, an dem auch noch 4 weitere Xserver hängen, diese sind nicht betroffen. Auf jedem Windows server ist nur der Port für die Remote Desktop Verbindung geöffnet und nur per Verschlüsselungsdatei erreichbar. Wie kann dieser Hacker verdammt nochmal auch auf die RAID-Systeme zugreifen???

Vielen Dank im Vorraus!

Content-ID: 123066

Url: https://administrator.de/forum/hacker-angriff-angreifer-nutzt-port-fuer-remote-desktop-123066.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

stefanwey
stefanwey 19.08.2009 um 15:05:54 Uhr
Goto Top
Hallo Webbsta

Manche Raid systeme sind über eine IP erreichbar.
Ich kenne solche die man nur über das Webinterface konfigurieren kann.

Gruss

Stefan
harald21
harald21 19.08.2009 um 15:07:39 Uhr
Goto Top
Hallo,

wenn der Hacker über eure Firewall kommt, so sollte das dort in den Logs verzeichnet sein. Ansonsten kommt der Hacker evtl. von intern?
Damit meine ich nicht unbedingt einen internen Nutzer, sondern einen Hintereingang zu eurem Netz (z. B. WLAN, ein Modem, etc.).

Welche Firewall nutzt ihr?

mfg
Harald
Webbsta
Webbsta 19.08.2009 um 15:30:33 Uhr
Goto Top
Hallo Harald

Wir nutzen das Cisco ASA 5000 Firewall System, die Ip kam auf jeden Fall durch den offenen Remote-Desktop Port von außerhalb.

Es muss also defenitiv eine Person außerhalb des LAN´s sein

Vielen Dank nochmal für die antworten!
harald21
harald21 19.08.2009 um 15:33:49 Uhr
Goto Top
Hallo,

was steht den in den Firewall-Logs?
Wenn du die Verbindung des Hackers dort findest, so kannst du auch sagen, wie er in euer Netzwerk hereinkam.

mfg
Harald
aqui
aqui 19.08.2009, aktualisiert am 18.10.2012 um 18:39:05 Uhr
Goto Top
Verantwortungsvolle Netzwerker benutzen auf der ASA mindestens eine Portverschleierung also öffnen eingehende Ports z.B. TCP 53389 auf intern TCP 3389 um nun nicht auch noch dem dümmsten Script Kiddie das Leben zu erleichtern.

Alternativ kann man über HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termianl Server\WinStations\RDP-Tcp ganz einfach den Standardport 3389 auf einen anderen wie z.B. den oberen ändern um wenigstens ein Mindestmass an Sicherheit reinzubekommen.

Noch verantwortungsvollere Netzwerker setzen 5 Zeilen IOS Code in die ASA um ganz einfach mit einem PPTP Client eine VPN Connection für die Fernwartung zzu machen, dann stellt sich dieses Problem erst gar nicht.
Wie man das macht kannst du hier nachlesen:
VPNs einrichten mit PPTP (unter VPN Server)

Generell dauert das nur Sekunden bis Minuten wenn man ein löchriges System ins Internet hängt so wie du mit offenen Standard Ports bis sowas passiert, da weiss ja mittlerweile jeder Grundschüler !
Phalanx82
Phalanx82 19.08.2009 um 19:32:17 Uhr
Goto Top
Hi,

wenn du seine öffentliche IP hast und die nicht gerade über einen Proxy in hinter-Bagdad
oder bei anderen Sulokiffern steht, kannste die IP an deinen Anwalt weiter reichen und
Strafanzeige stellen. Selbst wenn er über einen Proxy oder Tor-Netzwerk etc. kommt,
leite es weiter, eventl. holen sich die Brüden in Grün dann die Teilnehmer IP von dem
Kiddy und es gibt ne Strafanzeige.

Mfg.
filippg
filippg 19.08.2009 um 20:54:57 Uhr
Goto Top
Ein Hacker versucht seit heute morgen punkt 6 uhr, einen unserer
Datenserver(Windows 2008) zu hacken,
Was macht er denn, was du als "versuchen zu hacken" interpretierst? Und wie weit ist er denn gekommen?

jedoch ist der betroffene Server
nur passiv mit dem Internet verbunden.
Was heißt das denn?

Auf jedem Windows server ist
nur der Port für die Remote Desktop Verbindung geöffnet
Dann sind das aber sehr langweilige Server. Ich bin mir ja fast sicher, dass ein "Datenserver" noch Ports für SMB/CIFS/NFS/... offenhält...

nur per Verschlüsselungsdatei erreichbar.
Die Ports meiner Server sind immer per Netzwerk erreichbar.

Wie kann dieser Hacker
verdammt nochmal auch auf die RAID-Systeme zugreifen???
Was soll das nun wieder bedeuten? Außerdem dachte ich, noch wäre es beim "Versuch" geblieben.

Aber zum "wie kann das sein": entweder, du bildest dir das nur ein (mit ständigen Portknocks im Internet muss man legen), oder die Ursache ist einfach eine schlechte Konfiguration - oder natürlich beides.

Gruß

Filipp
maretz
maretz 19.08.2009 um 23:00:46 Uhr
Goto Top
Moin,

da würde ich gegen halten... Wenn du nicht grad das dümmste Skript-Kiddy hast dann wirst du mit so einfachen Mitteln heute nix mehr ausrichten. Und wenn der durchs TOR-Netz kommt dann wird das mit den Brüdern in Grün nicht ganz sooo einfach gehen... Wenn die überhaupt was machen. Denn nur ein Login-VERSUCH wird keinen von den Grünen hintern Ofen vorlocken... Denn was möchtest du machen wenn ich mich z.B. an deinen (öffentlich zugänglichen) RDP-Server versuche anzumelden? Du siehst sogar meine IP - und die zurückzuverfolgen wäre nichtmal sooo schwer. Dann stehen die Grünen (hier sind die glaub ich scho Blau...) bei mir an der Tür - und ich erkläre denen freundlich das ich an MEINEN Firmen-RDP-Server wollte und mich nur bei der IP vertippt hab... Und die ganzen verschiedenen User-Kennungen? Na - ich hab halt mal nen Script aus dem Web genutzt um die Sicherheit MEINES Servers zu testen... Leider hab ich mich wohl bei der IP geirrt...

Von daher: Solange der keinerlei Sicherheitssysteme umgehen muss oder eben nen Passwort knacken musste usw. -> solange werden die Grünen auch nix machen... Wenn du ein offenes WLAN betreibst wird auch kein Polizist bei mir das Laptop aus der Wohnung holen weil sich mein Laptop an deinem Netz anmeldet... Hier muss vorher schon ein wenig Eigensicherung des Netzwerkes erfolgen...
82052
82052 24.08.2009 um 10:18:55 Uhr
Goto Top
*g*

Na mach den ollen 3389er halt dicht! Die ASA bietet haufenweise geilere Möglichkeiten als einen Port zu öffnen…super VPN Client, nen fester Tunnel, der AnyConnect oder das SSL Portal + RDP Plugin + selbstgeschraubtes Zertifikat.

Öffne keinen Port wenn es nicht sein muss…

So, Klugschiss-Modus wieder aus ;)

Gruß