2
Wie erkenne ich ob mein (Web)Server angegriffen wurde? Oder schon angegriffen ist
Win 2003 IIS 6 Isa Server 2000
Hi zusammen, (wenn das Forum hier falsch ist bitte ins richtige verschieben) ich betreibe ene private Webseite welche in asp geschrieben wurde.
Sie läuft auf einem eigen betriebenen Webserver (Win 2003 Server IIS 6) und einem vorgeschalteter ISA Server Firewall.
Als Datenbank benutze ich einen SQL Server 2000
In der Logfiles kann ich sehen, das irgendwelche Leute immer diverse Urls (u.a. admin.php oder andere ) aurufen.
Alles läuft normal und habe auch so keine Veränderungen bemerkt. DIe Festplatten zeigen alle die Kapazität an die sie auch haben sollten.
Trotzdem habe ich den Eindruck das ich gehackt wurde. Wie kann ich es denn rausfinden ob und wie "Fremde" auf meinem Webserver sind?
Die Webseiten die ausgeliefert werden, sind jedenfalls nicht durch irgendwelchen Schadcode infiziert.
Hi zusammen, (wenn das Forum hier falsch ist bitte ins richtige verschieben) ich betreibe ene private Webseite welche in asp geschrieben wurde.
Sie läuft auf einem eigen betriebenen Webserver (Win 2003 Server IIS 6) und einem vorgeschalteter ISA Server Firewall.
Als Datenbank benutze ich einen SQL Server 2000
In der Logfiles kann ich sehen, das irgendwelche Leute immer diverse Urls (u.a. admin.php oder andere ) aurufen.
Alles läuft normal und habe auch so keine Veränderungen bemerkt. DIe Festplatten zeigen alle die Kapazität an die sie auch haben sollten.
Trotzdem habe ich den Eindruck das ich gehackt wurde. Wie kann ich es denn rausfinden ob und wie "Fremde" auf meinem Webserver sind?
Die Webseiten die ausgeliefert werden, sind jedenfalls nicht durch irgendwelchen Schadcode infiziert.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 151582
Url: https://administrator.de/contentid/151582
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
schwierig bis gar nicht. Es ist das selbe wie mit Viren auf PCs.
Solange man keinen Nachweis/Hinweis auf Aktivitäten kann man nur beobachten und suchen.
Z.B. Taskmanager, AV Programm suchen lassen, etc
Server im Internet sind begehrtes Ziel aufgrund der schnellen Anbindung. Dies sollte aber sehr schnell auffallen.
Es gibt aber auch genug Programme die erstmal nur beobachten und warten..
Gegenfrage: Wie kann man sicher sein, dass ein Virus wirklich weg ist?
Bei unklarer Lage in beiden Fällen: Image zurückspielen oder neu installieren
Stefan
schwierig bis gar nicht. Es ist das selbe wie mit Viren auf PCs.
Solange man keinen Nachweis/Hinweis auf Aktivitäten kann man nur beobachten und suchen.
Z.B. Taskmanager, AV Programm suchen lassen, etc
Server im Internet sind begehrtes Ziel aufgrund der schnellen Anbindung. Dies sollte aber sehr schnell auffallen.
Es gibt aber auch genug Programme die erstmal nur beobachten und warten..
Gegenfrage: Wie kann man sicher sein, dass ein Virus wirklich weg ist?
Bei unklarer Lage in beiden Fällen: Image zurückspielen oder neu installieren
Stefan
das irgendwelche Leute immer diverse Urls (u.a. admin.php oder andere ) aurufen.
Völlig normal, sowas habe ich ständig in den Logs.
Das sind einfach Bots die alte Versionen von Standardprogrammen suchen und dann Sicherheitslücken oder Standardpasswörter ausprobieren...
Unter Linux kann man dem einfach einen Riegel vorschieben, wenn man unter einer dieser URLs ein Script versteckt, was die Quell-IP in einen iptables Filter aufnimmt.
