Windows Server und Callback Server

samrein
Goto Top
Moin zusammen,

heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.

Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar der Trendmicro Client an.

System 192.168.3.22:443 68.183.212.246:56266 Blocked Relevance Rule (HTTP_TRICKBOT_REQUEST)

Die IP Addresse ist per utrace in den USA gelistet. War für mich erstmal komisch, da die Firewall Regel nur IP Adressen aus Deutschland zulässt.
Meine Firewall (Watchguard) gibt beim Lookup IP aber eine deutsche Herkunft an, gleicher "Besitzer", einem Cloud-Hostinganbieter.

Die Watchguard selber hat den Access also erstmal zugelassen, aber die Rückantwort des Servers geblockt.

Meine Frage an die Security Spezialisten wäre jetzt, warum antwortet mein Server überhaupt auf eine Anfrage die per https Port 443 gekommen ist.

Der Server selber hat keine Auffälligkeiten, die ich auch nach mehrmaligen Scannen von div. Tools feststellen könnte. Ich habe die Logs in der Firewall studiert und keine Verbindungen nach außen sonst feststellen können. Der Server spricht lediglich mit Addressen von Microsoft und Trendmicro.

Trotzdem bleibt ein blödes Gefühl.

Die IP scheint als "böse" bekannt zu sein, bei Google gibt es zahlreiche Einträge zu einem Trojaner.

Vielleicht kann mir von Euch jemand zum Verständnis sagen, warum der Server auf die https Anfrage antwortet...

Grüße
Stefan

Content-Key: 667637

Url: https://administrator.de/contentid/667637

Ausgedruckt am: 19.08.2022 um 14:08 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.06.2021 um 12:58:43 Uhr
Goto Top
Zitat von @samrein:

Moin zusammen,

heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.

Angriff würde ich das nicht nennen. Vermutlich nur ein Portscan.


Vielleicht kann mir von Euch jemand zum Verständnis sagen, warum der Server auf die https Anfrage antwortet...

Ganz einfach. Du hast gesagt

Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist ...

Wenn das Gateway über ssl/tls ereichbar ist, antwortet der natürlich wenn jemand höflich per ssl/tls anklopft.

lks
Mitglied: samrein
samrein 16.06.2021 um 13:39:43 Uhr
Goto Top
Hey Iks,

dank Dir.

Normalerweise lässt die Firewall gar keinen Portscan durch und blockt die IP.

Der Portscan ist bei mir mit den Standardwerten konfiguriert, 10 dest/Ports IP per second.

Welche Werte nutzt ihr?

Danke und Grüße
Stefan
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 16.06.2021 aktualisiert um 14:26:19 Uhr
Goto Top
Zitat von @samrein:


Der Portscan ist bei mir mit den Standardwerten konfiguriert, 10 dest/Ports IP per second.

Portscan heißt heutzutage nicht, daß man alle möglichen Ports testet schnell hinterinander testet, sondern einfach ab und zu mal vorbeischaut und schaut, ob auf einem Port jemand antwortet, also heute mal 443, morgen 80 übermorgen 25, u.s.w. Das kann sich durchaus über Tage und Wochen hinziehen. Die Tools sind da sehr geduldig und es gibt da viele Gruppen, die das Internet "Kartographieren", nicht zuletzt die Geheimdienste.

Bei einem Haus würde es auch eher auffallen, wenn der Möchtegern-Einbrecher alle Ports Türen und Fenster gleich ausprobiert, ob sie abgeschlossen oder einfach zu öffnen sind. Wenn er hingegen in gewissem Abstand kommt udn mal das eine oder mal das andere probiert, ist das viel unauffälliger.

Wenn der als nur ein "Ping" auf SSL gemacht hat, reicht da schon ein Verbindungsversuch.

lks
Mitglied: samrein
samrein 16.06.2021 um 14:08:38 Uhr
Goto Top
Dank Dir... für die ausführliche Erklärung.

Ich werde das im Auge behalten face-smile

Viele Grüße
Stefan