
50793
13.07.2016
Unberechtigter Zugriff via RDP gibt es ein aktuelles Sicherheitsproblem was aktiv ausgenutzt wird???
Hallo alle miteinander,
aktuell häufen sich die anfragen von verschiedenen Usern/Firmen da sie Probleme mit einzelnen Rechnern haben.
Speziell ist folgende Situation:
RPD Zugriff über extern (egal ob std Port oder geändert)
es gibt auf diesen neue User (mit lokalen Admin rechten)
dann wird Stellenweise div. Software geladen + installiert (Bitcoinminer, xrdp,WinPcap,WinRar etc.)
folgende Situationen wurden schon bei verschiedenen Rechnern vorgefunden:
chrome offen mit Russischer Website (chrome war nie installiert)
div. Software installiert (Teilweise auf Russisch)
egal ob Win7 Rechner oder Server 2008,SBS etc.
die einzige gemeinsamkeit bei den Rechnern sehe ich aktuell im "von extern erreichbarem RDP" also ohne VPN. (und auch die Admin pw´s sind unterschiedlich und nicht gerade einfach)
und was noch gleich ist das die Zugriffe gegen gegen 20.00-22.00 erstmalig aufgetreten sind. dann wird meist was installiert und der Rechner einem neustart unterzogen.
die Rechner werden von unterschiedlichen Personen betreut bzw haben diese Stellenweise auch eigenes Personal dafür.
Updatestand beim letzten (SBS2008) zum Beispiel 26.6.16
Vielleicht sollte der eine oder andere mal unter Benutzer schauen ob da einer unbekannterweise existent ist und dann in diesem mal den download Ordner prüfen.
Gibt es hierfür Infos bzw hat einer von euch das auch schon beobachtet?
Grüße
aktuell häufen sich die anfragen von verschiedenen Usern/Firmen da sie Probleme mit einzelnen Rechnern haben.
Speziell ist folgende Situation:
RPD Zugriff über extern (egal ob std Port oder geändert)
es gibt auf diesen neue User (mit lokalen Admin rechten)
dann wird Stellenweise div. Software geladen + installiert (Bitcoinminer, xrdp,WinPcap,WinRar etc.)
folgende Situationen wurden schon bei verschiedenen Rechnern vorgefunden:
chrome offen mit Russischer Website (chrome war nie installiert)
div. Software installiert (Teilweise auf Russisch)
egal ob Win7 Rechner oder Server 2008,SBS etc.
die einzige gemeinsamkeit bei den Rechnern sehe ich aktuell im "von extern erreichbarem RDP" also ohne VPN. (und auch die Admin pw´s sind unterschiedlich und nicht gerade einfach)
und was noch gleich ist das die Zugriffe gegen gegen 20.00-22.00 erstmalig aufgetreten sind. dann wird meist was installiert und der Rechner einem neustart unterzogen.
die Rechner werden von unterschiedlichen Personen betreut bzw haben diese Stellenweise auch eigenes Personal dafür.
Updatestand beim letzten (SBS2008) zum Beispiel 26.6.16
Vielleicht sollte der eine oder andere mal unter Benutzer schauen ob da einer unbekannterweise existent ist und dann in diesem mal den download Ordner prüfen.
Gibt es hierfür Infos bzw hat einer von euch das auch schon beobachtet?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309696
Url: https://administrator.de/forum/unberechtigter-zugriff-via-rdp-gibt-es-ein-aktuelles-sicherheitsproblem-was-aktiv-ausgenutzt-wird-309696.html
Ausgedruckt am: 19.04.2025 um 04:04 Uhr
11 Kommentare
Neuester Kommentar
Zitat von @50793:
RPD Zugriff über extern (egal ob std Port oder geändert)
RPD Zugriff über extern (egal ob std Port oder geändert)
Warum ist RDp von extern erlaubt? das ist ein nicht tragbares Sicherheitsrisiko. RDP sollte nur über VPN erlaubt werden.
Aber als Sofortmaßnahmen:
- Alle System isolieren (Netzwerkstecker ziehen!)
- Image sichern für forensische Maßnahmen
- Sauberes backup einspielen.
Erst danach wieder die Systeme ans Netz lassen.
Wichtig: Alle Zugriffe von Extern nur üebr VPN!
lks
Und dann lasst ihr mal ein paar Fachleute ran. Evtl auch Forensiker. Verarbeitet Ihr Daten von Dritten? Erklärt Euren Datenschutzbeauftragtem das Euer gesamtes System kompromitiert ist. Benachrichtigt Eure Aufsichtsbehörde (falls es eine gibt). Schmeisst die Verantwortlichen für die IT raus und dann erklärt Euren Oberchefs das Überstunden anstehen.
Alles ernst gemeint.
Alles ernst gemeint.
Hallo,
Man stellt seinen Rechner auch nicht mit Tastatur und Maus auf die Straße.
Wenn die Logins gelogt werden kann man evtl noch rausbekommen wan die kompromitiert wurden.
Gruß
Chonta
Nachtrag: Auf rootkits prüfen, Adminzugang und reboot....
RPD Zugriff über extern (egal ob std Port oder geändert)
Wer auf einen Server der im Internet steht mit RDP rauf will MUSS ein VPN machen und RDP darf NIE ohne VPN über das Internet erreichbar sein.Man stellt seinen Rechner auch nicht mit Tastatur und Maus auf die Straße.
es gibt auf diesen neue User (mit lokalen Admin rechten)
Tjo wenn die nicht gewolt angelegt wurden dan frohes neuaufsetzen der Kompromitierten Systeme.die einzige gemeinsamkeit bei den Rechnern sehe ich aktuell im "von extern erreichbarem RDP" also ohne VPN. (und auch die Admin pw´s sind unterschiedlich und nicht gerade einfach)
Egal irgendwan ists geknackt und man ist drauf.Wenn die Logins gelogt werden kann man evtl noch rausbekommen wan die kompromitiert wurden.
von unterschiedlichen Personen betreut bzw haben diese Stellenweise auch eigenes Personal dafür.
Gelbe Seiten.Gruß
Chonta
Nachtrag: Auf rootkits prüfen, Adminzugang und reboot....
Nun da die einmal drauf waren wird evtl ne weitere Backdoor drauf sein.
Jedenfalls System vom Netzwerk/Internet trennen, Backup der Daten die jedoch Kompomitiert worden sind und ganze System neu Aufsetzten.
Möglich das es eine neue Lücke gibt oder die über ein anderen Weg zb Flash oder so reingekommen sind.
Aber Remote Zugang ohne Absichern/Verschlüsselung ist schon Leichtsinnig.
Da es welch aus Rusland sind und wenn ihr nicht unbedingt die Webseiten davon/Mails von dem Land braucht könntet ihr am Router des Land per IP sperren zb.
Bringt jedoch nix wenn die über andere Länder/Proxy kommen...
Es ist halt ein Katz und Maus Spiel.
Jedenfalls System vom Netzwerk/Internet trennen, Backup der Daten die jedoch Kompomitiert worden sind und ganze System neu Aufsetzten.
Möglich das es eine neue Lücke gibt oder die über ein anderen Weg zb Flash oder so reingekommen sind.
Aber Remote Zugang ohne Absichern/Verschlüsselung ist schon Leichtsinnig.
Da es welch aus Rusland sind und wenn ihr nicht unbedingt die Webseiten davon/Mails von dem Land braucht könntet ihr am Router des Land per IP sperren zb.
Bringt jedoch nix wenn die über andere Länder/Proxy kommen...
Es ist halt ein Katz und Maus Spiel.
Zitat von @St-Andreas:
Sag mal, wenn Du von verschiedenen Usern/Firmen sprichst: Arbeitest Du bei einem Systemhaus und redest Du über Kunden von Euch?
Sag mal, wenn Du von verschiedenen Usern/Firmen sprichst: Arbeitest Du bei einem Systemhaus und redest Du über Kunden von Euch?
du stellst ja fragen
Um auf die Eingangsfrage zurückzukommen:
Wenn die Ports 137, 138, 139 oder 445 nach außen erreichbar waren trifft eventuell das hier zu:
https://technet.microsoft.com/library/security/MS16-087
Nachtrag:
Ich habe mir von unseren IP-Netzen mal Flow-Statistiken gezogen. Da ist nicht wirklich mehr RDP-Traffic zu sehen als sonst auch, von daher bin ich mir nicht sicher ob es tatsächlich einen aktuellen 0day-Exploit für RDP gibt. Allerdings habe ich jetzt natürlich nur auf Port 3389 prüfen können, nicht auf eventuelle veränderte Ports. Und wir haben bisher auch ein normales Level an Abuse-Complaints.
Wenn die Ports 137, 138, 139 oder 445 nach außen erreichbar waren trifft eventuell das hier zu:
https://technet.microsoft.com/library/security/MS16-087
Nachtrag:
Ich habe mir von unseren IP-Netzen mal Flow-Statistiken gezogen. Da ist nicht wirklich mehr RDP-Traffic zu sehen als sonst auch, von daher bin ich mir nicht sicher ob es tatsächlich einen aktuellen 0day-Exploit für RDP gibt. Allerdings habe ich jetzt natürlich nur auf Port 3389 prüfen können, nicht auf eventuelle veränderte Ports. Und wir haben bisher auch ein normales Level an Abuse-Complaints.