roidanton
Goto Top

ISP Range erstellen oder wie kann ich auf einem Windows Root Server eine bestimmte IP Range sperren ?

Wie kann ich bestimmte IP´s auf dem Windows server sperren ?

Leider habe ich noch immer Probleme mit einem ungewollten Besucher, der sich zutritt zu meinem Gameserver verschafft den ich auf einem Windows 2008 Server zu laufen habe.
Da mir Hier Suche eine zugriffsmöglichkeit bzw. remoteverbindung auf einen Windows 2008 Server 64bit noch nicht direkt geholfen wurde, muss ich jetzt versuchen die IP oder die gesammte IP Range von dem "hacker" auszusperren.
Durch eine Log datei bin ich inzwischen im Besitz der IP adresse, von dem mein Gameserver letzte Nacht zuletzt wieder übernommen wurde.
Hier ein ausschnitt aus dem Log, die Ip adresse habe ich unkenntlich gemacht, da ich nicht weiss ob ich mich damit strafbar machen würde wenn ich sie hier öffentlich schreibe:

Man sieht hier deutlich das jemand versucht sich einzuloggen, welches aber zuerst fehlschlägt
Bad rcon from 109.93.*.*:*
Say
Bad rcon from 109.93.*.*:*
g_password
Bad rcon from 109.93.*.*:*
Say
Bad rcon from 109.93.*.*:*
g_password
Ab hier kann sich die betreffende Person einloggen und zugriff auf den Gameserver nehmen.
Rcon from 109.93.*.*:*:
Say
Rcon from 109.93.*.*:*:
g_password
Rcon from 109.93.*.*:*:
gamename
Rcon from 109.93.*.*:*:
sv_punkbuster
Rcon from 109.93.*.*:*:
status
Bad rcon from 80.86.*.*: <-- das ist der Windows Server wo der Gameserver drauf läuft, das "bad rcon" heißt soviel wie, das der Root Server sich nicht mehr mit dem ursprünglichen Rcon passwort einloggen kann.
status
Rcon from 109.93.*.*:*:
status


Wo bzw. Wie kann ich die entsprechene IP weitreichend vom Server aussperren, auf das er nicht mehr verbindungen von dort entgegennimmt?

Edit: Sry wegen der vollen IP meines anbieters, war keine absicht

Content-ID: 136476

Url: https://administrator.de/forum/isp-range-erstellen-oder-wie-kann-ich-auf-einem-windows-root-server-eine-bestimmte-ip-range-sperren-136476.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

aqui
aqui 21.02.2010, aktualisiert am 18.10.2012 um 18:41:13 Uhr
Goto Top
So so...nun weiss jeder das dein Server bei SERVER4YOU http://www.server4you.de steht. War das jetzt ne Schleichwerbung für den Server oder was ?? Das Niveau der beiden Threads lässt ja eher darauf schliessen...?!
Was dem remoten Zugang anbetrifft hören sich deine Versuche ziemlich naiv und hilflos an.... An ein VPN wie es in der Regel üblich ist hast du wohl noch nicht gedacht, oder ??
Mit ein paar Mausklicks aktiviert man auf einem öffentlichen Server einen PPTP_Server oder installiert OpenVPN und ist alle Sorgen los, da man dann getrost alle Remote Ports schliessen kann und nur das auflässt was minimal zum Spielen und fürs VPN benutzt wird....so einfach ist das...!

Was das Thema IP Adressen anbetrifft trägst du diese IPs oder die Range einfach in die Windows Firewall ein und gut ist. Wo ist da dein Problem ??
Ist nur vollkommen überflüssig, denn in ein paar Stunden hat der Angreifer eine neue IP und irgendwann hast du dann das ganze Internet in der Firewall eingetragen...ein auf Dauer unsinniges Unterfangen also !
Denk also mal etwas über dein remote Access Strategie nach und nutze ein VPN wie es jeder nur halbwegs intelligente Server Admin macht !
StefanKittel
StefanKittel 21.02.2010 um 14:22:25 Uhr
Goto Top
Hallo,
das mit der IP vergiss. Das hilft nur kurz.
Entweder er hat ne dynamische dann ist die spätestens nach 24std anders oder er hat ne feste IP dann wird er auch noch andere haben.

es gibt ja nur 2 Möglichkeiten
a) kein rcon-Password ist für die Tonne -> anderes verwenden
b) rcon hat fehler und ist angreifbar -> update auf die aktuellste version.
Man kann auch garantiert einstellen, dass man nur 3 Kennwörter ausprobieren kann.

Wieviele Leute müssen denn dort per rcon drauf?
Anderer Port, VPN, etc...

Stefan
RoiDanton
RoiDanton 21.02.2010, aktualisiert am 18.10.2012 um 18:41:13 Uhr
Goto Top
Zitat von @aqui:
So so...nun weiss jeder das dein Server bei SERVER4YOU http://www.server4you.de steht. War das jetzt ne Schleichwerbung für
den Server oder was ?? Das Niveau der beiden Threads lässt ja eher darauf schliessen...?!
Was dem remoten Zugang anbetrifft hören sich deine Versuche ziemlich naiv und hilflos an.... An ein VPN wie es in der Regel
üblich ist hast du wohl noch nicht gedacht, oder ??
Mit ein paar Mausklicks aktiviert man auf einem öffentlichen Server einen
PPTP_Server oder installiert OpenVPN und ist alle Sorgen los, da man dann
getrost alle Remote Ports schliessen kann und nur das auflässt was minimal zum Spielen und fürs VPN benutzt wird....so
einfach ist das...!

Was das Thema IP Adressen anbetrifft trägst du diese IPs oder die Range einfach in die Windows Firewall ein und gut ist. Wo
ist da dein Problem ??
Ist nur vollkommen überflüssig, denn in ein paar Stunden hat der Angreifer eine neue IP und irgendwann hast du dann das
ganze Internet in der Firewall eingetragen...ein auf Dauer unsinniges Unterfangen also !
Denk also mal etwas über dein remote Access Strategie nach und nutze ein VPN wie es jeder nur halbwegs intelligente Server
Admin macht !

Vielen Dank für deine Aufschlussreiche Antwort !
Wenn ich alles wüßte dann würde ich hier sicherlich nicht fragen...
Das ist doch ein Forum wo man sich austauscht und auch hilfestellungen bekommt wenn man ein Problem hat oder ?
Leider fehlt mir das nötige fachwissen und auch die Zeit dafür, als das ich das alles selber einstellen könnte.
RoiDanton
RoiDanton 21.02.2010 um 17:12:44 Uhr
Goto Top
Zitat von @StefanKittel:
Hallo,
das mit der IP vergiss. Das hilft nur kurz.
Entweder er hat ne dynamische dann ist die spätestens nach 24std anders oder er hat ne feste IP dann wird er auch noch andere
haben.

es gibt ja nur 2 Möglichkeiten
a) kein rcon-Password ist für die Tonne -> anderes verwenden
b) rcon hat fehler und ist angreifbar -> update auf die aktuellste version.
Man kann auch garantiert einstellen, dass man nur 3 Kennwörter ausprobieren kann.

Wieviele Leute müssen denn dort per rcon drauf?
Anderer Port, VPN, etc...

Stefan
Hallo Stefan,
Danke für deine Antwort !
Das Problem ist einfach das man bei dem Spiel als solchem keine einstellungen hat, dass nur einer per Rcon darauf zugreifen kann oder man nur 3 versuche hat als wenn man direkt auf einen Root Server zugreifen möchte. Dort kann man ja solche Versuche protokollieren und automtisch sperren lassen mit den entsprechenden programmen.
Leider benötigt das Spiel aber ein rcon damit man es "ingame" kontrollieren kann !
Auch ist es so das auf die Ip 80.86.*.*:* des Gameserver natürlich sehr viele zugriffe drauf sind, da es die Spiel - connect adresse ist.
Das mit dem VPN ist eine interessante sache, nur leider habe ich davon überhaupt keine Ahnung. Vielleicht könntest du mir erläutern was ich zu installieren und einzustellen habe ? Mit der Anleitung die auf der Seite hier eingestellt ist, kann ich nicht viel anfangen, da mir das Hintergrund/Basis Wissen einfach dazu fehlt.
Eine Schritt für Schritt erklärung wäre super, gerne wenn möglich auch per Xfire oder ICQ falls vorhanden.

Danke
maretz
maretz 21.02.2010 um 17:44:37 Uhr
Goto Top
Moin,

wenn du nicht alles weisst dann stellt sich die Frage warum du nen Root-Server betreibst? Wobei ich nicht ganz schlau daraus geworden bin:

[Quote]
von dem mein Gameserver letzte Nacht zuletzt wieder übernommen wurde
[/Quote]

Spätestens JETZT wäre doch dann der Zeitpunkt sich zu überlegen den Server abzuschalten und entweder diesen abgeschaltet zu lassen ODER jemanden der sich damit auskennt die neuinstallation machen zu lassen!

Es mag sein das dir die Zeit dafür fehlt - dann geht auch nur der Weg über die Fachperson! Ich weiss das auch du es sicher nicht gern hören wirst - aber überlege mal ne Minute mit mir zusammen:
Person X übernimmt deinen Server und findet eine Lücke die es ihm/ihr ermöglicht weitere Dinge auf deinen Server auszuführen.
Person X startet einen Angriff auf meine Firmensysteme. Ich entdecke diesen Angriff und muss dafür dann erstmal 1-2 Tage Arbeiten um mein System wieder klar zu kriegen.

Frage 1: Rate mal an wen ICH mich jetzt wegen Schadensersatz halte?
Frage 2: Rate mal was passiert wenn du vorm Richter stehst und dem sagst dass das schon öfters vorkam aber du leider nicht die Zeit hattest dein System zu sichern
Frage 3: Rate mal was nen Ausfall einer Firma und 2-3 Tage Arbeit eines Admins kosten

Und glaube bitte nicht das es den "richtigen" Admins hier irgendwas ausmacht ob man dich dafür in die Privat-Insolvenz treibt oder nicht. Ich kann zwar nur für mich sprechen aber ich glaube viele hier stimmen mir da zu: Ich habe keine Lust auf irgendwelchen Hobby-Admins rücksicht zu nehmen die sich für 20 Euro nen Root-Server kaufen und damit jedem Angreiffer auch noch das nötige Futter geben damit die MEINE Arbeit behindern können. Ich würde heute Abend nichtmal schlecht einschlafen wenn ich weiss das hier ne Person gehörige finanzielle Probleme bekommt weil die durch unfähigkeit und unlust den Server nicht gesichert bekommen hat und deshalb plötzlich vor Schadensersatzforderungen im 5-6stelligem Bereich steht.

Wie gesagt - es ist wirklich weder Böse noch gegen dich Persönlich gerichtet. Es ist einfach nur der gut gemeinte Ratschlag dir das Vorgehen mal zu überlegen. Leider ist es so das du als Server-Betreiber generell erstmal für alles was von dort aus gestartet wird verantwortlich bist!

Und zum Schluss: Es bringt dir rein GAR NICHTS wenn du zwar die Log hier postest aber nicht nen Schritt weiter gehst. Du brauchst nichtmal gleich zur Polizei zu gehen -> ich würde erstmal eine Nachricht an den BETREIBER dieses Angreiffers schicken (inkl. Log-File usw.). Da kann es dann schon schnell passieren das da ruhe einkehrt -> weil der Provider dem Benutzer entweder die Verbindung kappt oder den Anruft und da ne Diskussion über den Vertrag startet. Da solche Angriffe zu 95% von Kindern gestartet werden die nicht mehr können als nen Script runterladen und starten wird es dann vermutlich der Daddy sein dem die Leitung gehört. Und jetzt stell dir vor was passieren würde wenn dein Dad so einen Anruf vom Provider bekommt und dann erfährt das DU da unsinn machst. ICH hätte definitiv die nächsten 3 Monate nur auf dem Bauch schlafen können... Und das ist manchmal mehr Wert als wenn du gleich zur Polizei rennst - ne ordentliche Tracht Prügel vom Daddy dürfte solchen Kiddys DEUTLICH mehr den Tag vermiesen ;)
RoiDanton
RoiDanton 21.02.2010 um 18:13:13 Uhr
Goto Top
Zitat von @maretz:
Moin,

wenn du nicht alles weisst dann stellt sich die Frage warum du nen Root-Server betreibst? Wobei ich nicht ganz schlau daraus
geworden bin:

[Quote]
von dem mein Gameserver letzte Nacht zuletzt wieder übernommen wurde
[/Quote]

Spätestens JETZT wäre doch dann der Zeitpunkt sich zu überlegen den Server abzuschalten und entweder diesen
abgeschaltet zu lassen ODER jemanden der sich damit auskennt die neuinstallation machen zu lassen!

Es mag sein das dir die Zeit dafür fehlt - dann geht auch nur der Weg über die Fachperson! Ich weiss das auch du es
sicher nicht gern hören wirst - aber überlege mal ne Minute mit mir zusammen:
Person X übernimmt deinen Server und findet eine Lücke die es ihm/ihr ermöglicht weitere Dinge auf deinen Server
auszuführen.
Person X startet einen Angriff auf meine Firmensysteme. Ich entdecke diesen Angriff und muss dafür dann erstmal 1-2 Tage
Arbeiten um mein System wieder klar zu kriegen.

Frage 1: Rate mal an wen ICH mich jetzt wegen Schadensersatz halte?
Frage 2: Rate mal was passiert wenn du vorm Richter stehst und dem sagst dass das schon öfters vorkam aber du leider nicht
die Zeit hattest dein System zu sichern
Frage 3: Rate mal was nen Ausfall einer Firma und 2-3 Tage Arbeit eines Admins kosten

Und glaube bitte nicht das es den "richtigen" Admins hier irgendwas ausmacht ob man dich dafür in die
Privat-Insolvenz treibt oder nicht. Ich kann zwar nur für mich sprechen aber ich glaube viele hier stimmen mir da zu: Ich
habe keine Lust auf irgendwelchen Hobby-Admins rücksicht zu nehmen die sich für 20 Euro nen Root-Server kaufen und damit
jedem Angreiffer auch noch das nötige Futter geben damit die MEINE Arbeit behindern können. Ich würde heute Abend
nichtmal schlecht einschlafen wenn ich weiss das hier ne Person gehörige finanzielle Probleme bekommt weil die durch
unfähigkeit und unlust den Server nicht gesichert bekommen hat und deshalb plötzlich vor Schadensersatzforderungen im
5-6stelligem Bereich steht.

Wie gesagt - es ist wirklich weder Böse noch gegen dich Persönlich gerichtet. Es ist einfach nur der gut gemeinte
Ratschlag dir das Vorgehen mal zu überlegen. Leider ist es so das du als Server-Betreiber generell erstmal für alles was
von dort aus gestartet wird verantwortlich bist!

Und zum Schluss: Es bringt dir rein GAR NICHTS wenn du zwar die Log hier postest aber nicht nen Schritt weiter gehst. Du brauchst
nichtmal gleich zur Polizei zu gehen -> ich würde erstmal eine Nachricht an den BETREIBER dieses Angreiffers schicken
(inkl. Log-File usw.). Da kann es dann schon schnell passieren das da ruhe einkehrt -> weil der Provider dem Benutzer entweder
die Verbindung kappt oder den Anruft und da ne Diskussion über den Vertrag startet. Da solche Angriffe zu 95% von Kindern
gestartet werden die nicht mehr können als nen Script runterladen und starten wird es dann vermutlich der Daddy sein dem die
Leitung gehört. Und jetzt stell dir vor was passieren würde wenn dein Dad so einen Anruf vom Provider bekommt und dann
erfährt das DU da unsinn machst. ICH hätte definitiv die nächsten 3 Monate nur auf dem Bauch schlafen
können... Und das ist manchmal mehr Wert als wenn du gleich zur Polizei rennst - ne ordentliche Tracht Prügel vom Daddy
dürfte solchen Kiddys DEUTLICH mehr den Tag vermiesen ;)

Auch dir danke, das du dir mühe gemacht hast zu antworten!

Der Angreifer hat nur zugriff auf den gameserver an sich, es ist nicht möglich irgendwelche dateien mit hilfe dieses Rcon passwortes zu löschen,programme einzubinden oder ähnliches, man kann damit nur das Spiel steuern auf dem Gameserver.
Der Root Server an sich ist durch eine firewall entsprechend geschützt und wurde auch noch nicht attackiert, das habe ich vielleicht etwas falsch erklärt gehabt. Auch bin nicht ICH der ROOT Besitzer, ich suche hier nur eine möglichkeit was man denn tun könnte, da der eigentliche ROOT Besitzer mir nur einen gefallen tun wollte und den "GameServer" bei sich installiert hat. Ich möchte ihm natürlich nicht auch noch zusätzliche arbeit machen.
Wenn hier aber jemand sagt ok, ich bin Fachpersonal gib mir X Euro und ich erledige das problem für dich ( sprich den gameserver sichern), dann sage ich ok wenn es sich in einem Finanzierbaren rahmen bewegt!

Das mit dem Provider informieren hatte ich auch schon entsprechend vorbereitet und mir per http://www.db.ripe.net/whois die ip aufgeschlüsselt gehabt.
aqui
aqui 21.02.2010, aktualisiert am 18.10.2012 um 18:41:13 Uhr
Goto Top
Deine Threads liest du nicht wirklich durch, oder ??
Dies Tutorial hat einen Link wie du auf einem Windows Server mit 5 Mausklicks den VPN Server aktivierst !!!
VPNs einrichten mit PPTP
Damit machst du dann alles was RCON ist dicht und gut ist.
Mit jedem beliebigen PPTP Client den Windows an Bord hat kannst du dich dann per VPN auf dem Server einwählen wie man eben sowas professionell löst.
Phalanx82
Phalanx82 22.02.2010 um 12:31:11 Uhr
Goto Top
Moin,

ein VPN wird hier wohl nicht helfen im Bezug auf Rcon.
Soweit mir bekannt, ist Rcon die Remote Administration eines CounterStrike Servers.
Damit kann man den Server steuern wie z.B. Maps auswählen, Game Modes ändern etc.
Das ganze geschieht unverschlüsselt und ist auch imho nicht verschlüsselbar.

Da dein PW wohl öfters geknackt wird, solltest du einmal über ein besseres (und längeres) nachdenken.
Dazu könnte eventl. helfen den Rcon Port zu ändern (falls möglich) und nicht den Standard Port zu benutzen.

Was eventl. doch ginge, wäre das Rcon von außen abzuschotten. Danach müsstest du allerdings immer per
Remote-Desktop auf den Server connecten und lokal die Rcon Administration tätigen.

Mfg.
aqui
aqui 22.02.2010 um 21:43:34 Uhr
Goto Top
Ein VPN hilft sehr wohl ! Damit hast du eine Verbindung genau wie im lokalen LAN und Rcon funktioniert ohne jegliche Einschränkung !
Phalanx82
Phalanx82 22.02.2010 um 23:56:41 Uhr
Goto Top
Zitat von @aqui:
Ein VPN hilft sehr wohl ! Damit hast du eine Verbindung genau wie im lokalen LAN und Rcon funktioniert ohne jegliche
Einschränkung !


Mhm joa würde wenn er den Rcon von außen nicht erreichbar macht, dann kann ers wie geschrieben per RDP machen
oder halt über nur über den VPN.
Hilft ihm aber halt nur was wenn Rcon von außen keinen Zugriff bekommt sonst kann er zwar seine Verbindung sichern
aber jeder Sepp von außen kann auch ohne dran rum fummeln.

/cheer Aqui

Mfg.
kingkong
kingkong 24.02.2010 um 14:14:31 Uhr
Goto Top
Sorry, aber diese Antwort verstehe ich jetzt nicht ganz.... Das einzige, was Aqui meinte - und wo er auch Recht hat - ist, dass "RoiDanton" eine VPN-Verbindung zu dem Rechner einrichten soll (bzw. seinen Bekannten fragen, ob der VPN aktivieren kann). Dann baut er eine VPN-Verbindung zu dem Rechner auf und adressiert Rcon eben über den selben Port aber die VPN-Adresse. Ich persönlich würde das übrigens mit OpenVPN machen. Ist wirklich einfach zu konfigurieren und läuft stabil!

EDIT: Ok, jetzt hab ich die Antwort doch noch verstanden... Dass die Ports für Rcon natürlich von außen nicht mehr erreichbar sein sollen ist ja klar - das ist ja der Sinn des ganzen. RDP ist in meinen Augen übrigens zu viel, wenn er wirklich allein auf Rcon will.
todie76
todie76 10.03.2010 um 17:32:29 Uhr
Goto Top
Hallo
ich bin auch auf der suche gewesen eine bestimmte ip range zu blocken.
es gibt fälle in denen man die remotedesktopverbindung benötigt!!!
ich finde es richtig asi wie hier aqui und maritz antworten fehlt eigentlich nur noch der standart spruch frag google.
solchen leuten wünsche ich auch mal ein problem und dann auch nur solche asi hochnäsigen antworten, niemand weiß alles.
habe mich nur für diese antwort angemeldet weil ich es zum kotzen finde solche leute sollten gedellt werden!!!
außerdem denke ich wenn ein gutes root passwort genommen wird und dieses regelmäßig geändert wird, sollte es nicht so einfach sein den server zu hacken, auch der einsatz der firewall bringt hier einiges indem man alle ports schließt die man nicht benötigt!
viel spaß euch beiden noch hier in diesem forum
ac h und bei windows 2008 server ist auch gar kein vpn enthalten!!!