r2d2-1
Goto Top

Windows server 2008 R2 - RDP - hacked?

Hallo Leute,

ich habe mir vor nem Monat einen kleinen server gekauft, der jetzt seit ein paar Tagen läuft.
Absichern wollte ich RDP vor allen nach diesem leitfaden: http://www.itmz.uni-rostock.de/software/windows/sicherheit/absicherung- ...

wie gesagt, WOLLTE..

Ich bin eben ein paar Logfiles durchgegangen und bin da ueber Eintraege gestolpert die ich absolut nicht nachvollziehen kann.


Ereignisanzeige: TerminalService - Remote Connection Manager

Remotedesktopdienste: Die Benutzerauthentifizierung war erfolgreich:
Benutzer: guest
Domäne:
Quellnetzwerkadresse: 103.224.251.191.


Ähm ja. Es finden sich ziemlich viele Eintraege die so aussehen. Mit guest, mit admin1, mit adm.
Alles Konten die nicht vorhanden sind.

Sehe ich das richtig, dass die sich mit dem benutzerkonto angemeldet haben? "Die Benutzerauthentifizierung war erfolgreich"

Wie zur Hoelle ist das möglich?

Leider bietet Server 2008 r2 keine wirklich guten RDP logfiles an. Gibt es da was besseres als das oben erwaehnte?

Bin ich mit Sicherheit hacked oder was?

Grüße

r2

Content-Key: 299496

Url: https://administrator.de/contentid/299496

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: Chonta
Chonta 18.03.2016 um 15:52:12 Uhr
Goto Top
Hallo,

genau deswegen darf RDP nur über VPN oder von bestimmten IP überhaupt erreeichbar ein.
Guest ist ein Standardkonto, das normalerweise deaktiviert ist und eine Anmeldung nicht möglich sein sollte.
Sobald ein Server im Internet erreichbar ist und seine IP erreichbar ist, wird versucht darauf zuzugreifen, wenn keine Firewall davor ist.
Und wenn in der Windowsfirewall RDP für alle IP-Bereiche offen ist, werden auch alle versuchen eine Kombination aus Benutzer und Paswort zu finden.,

Im Sicherheitslog solltest Du mal nach erfolgreichen Anmeldungen filtern und wenn noch nicht die Protokollierung davon erstmal einschalten.

Mach die Absicherung und ändere die Passwörter!
Und nicht ausadministreiren.


Gruß

Chonta
Mitglied: r2d2-1
r2d2-1 18.03.2016 um 16:03:16 Uhr
Goto Top
Hi und Danke.

Also den Gast account habe ich damals als erstes deaktiviert. Adm oder admin1 existieren bei mir nicht. Auch nicht in der registry in der profil liste.

Es waren also lediglich Anmeldeversuche? Warum steht dann da, dass die Authentifizierung erfolgreich war?

Klaro, ich werde alles absichern, aber ich will auf jedenfall verstehen was da vor sich geht / ging.

Grüße

r2
Mitglied: 127103
127103 18.03.2016 um 16:11:53 Uhr
Goto Top
Die Chinesen warens! face-smile
Mitglied: r2d2-1
r2d2-1 18.03.2016 um 16:14:38 Uhr
Goto Top
ja, das habe ich bereits gesehen :wut:
Mitglied: Chonta
Chonta 18.03.2016 um 16:16:19 Uhr
Goto Top
Hallo,

Du musst erfolgreiche und nichterfolgreiche Anmeldeversuche überwachen.
Dann wird mitgelogt wer sich erfolgreich anmeldet.
Eine Sicherheitsrichtlinie dass das Konto nach X Versuchen für Zeit X gesperrt wird brauchst Du auch.

In welchem Log hast Du welche ID?
Eigendlich steht nur Im Sicherheitslog drin ob einer Im System drin war oder nicht. (aber erst wenn die Überwachung auch eingeschaltet wird)

Gruß

Chonta
Mitglied: tomolpi
tomolpi 18.03.2016 um 16:33:32 Uhr
Goto Top
Hi,

Wo läuft der Server? Bei dir daheim?

Dann solltest du schleunigst deinen Router auf eventuelle Portfreigaben und Portweiterleitungen checken!

Falls der Server eine virtuelle Kiste bei einem Hoster ist, einfach den rdp-Port (3389) zumachen und gut ist. Für Arbeiten am Server dann bitte VNC, TeamViewer nehmen, oder eine Verbindung zum Server per VPN und dann RDP benutzen.

Grüsse,

tomolpi
Mitglied: r2d2-1
r2d2-1 18.03.2016 um 17:19:58 Uhr
Goto Top
Ja bei mir zu Hause. Es war mir klar das er gescannt werden WIRD auf Port 3389 und ich hab nun alles Dicht gemacht.
Bin jetzt direkt drauf.

Was ich immer noch nicht weiß ist, ob es reine Anmeldeversuche waren oder eben nicht.

Grüße
Mitglied: Chonta
Chonta 18.03.2016 um 17:25:12 Uhr
Goto Top
Ich würde sagen es waren Versuche.
Aber wenn die Kiste eh bei Dir zu hause steht, löschen und neu aufsetzen und auf Nummer sicher gehen.

Gruß

Chonta
Mitglied: 70866
70866 13.04.2016 aktualisiert um 18:01:43 Uhr
Goto Top
also ich hatte ein Windows 2003 R2 und auch ein XP mehrere Monate lang im Netz, geschützt mit einem Virenscanner und der Tatsache daß der RDP Port ganz woanders war. Geknackt wurde das ganze nicht. Andererseits würde ich meine rechte Hand auch nicht gerade ins Feuer legen für die Unknackbarkeit des RDP Dienstes... ´

ich vermute mal daß das System schon vorher ein wenig angeknackst war, evtl auch noch mehr Ports als der für RDP offen etc, dann RDP auf dem Standardport... aktiviertes Gastkonto z.B., aber damit das über RDP zugänglihc ist MUSS da z.B. eine Gruppenmitgliedschaft in der Gruppe der Remotedesktopbenutzer bestehen.