Windows Server und Callback Server

Moin zusammen,

heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.

Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar der Trendmicro Client an.

System 192.168.3.22:443 68.183.212.246:56266 Blocked Relevance Rule (HTTP_TRICKBOT_REQUEST)

Die IP Addresse ist per utrace in den USA gelistet. War für mich erstmal komisch, da die Firewall Regel nur IP Adressen aus Deutschland zulässt.
Meine Firewall (Watchguard) gibt beim Lookup IP aber eine deutsche Herkunft an, gleicher "Besitzer", einem Cloud-Hostinganbieter.

Die Watchguard selber hat den Access also erstmal zugelassen, aber die Rückantwort des Servers geblockt.

Meine Frage an die Security Spezialisten wäre jetzt, warum antwortet mein Server überhaupt auf eine Anfrage die per https Port 443 gekommen ist.

Der Server selber hat keine Auffälligkeiten, die ich auch nach mehrmaligen Scannen von div. Tools feststellen könnte. Ich habe die Logs in der Firewall studiert und keine Verbindungen nach außen sonst feststellen können. Der Server spricht lediglich mit Addressen von Microsoft und Trendmicro.

Trotzdem bleibt ein blödes Gefühl.

Die IP scheint als "böse" bekannt zu sein, bei Google gibt es zahlreiche Einträge zu einem Trojaner.

Vielleicht kann mir von Euch jemand zum Verständnis sagen, warum der Server auf die https Anfrage antwortet...

Grüße
Stefan

Content-Key: 667637

Url: https://administrator.de/contentid/667637

Ausgedruckt am: 27.07.2021 um 11:07 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.06.2021 um 12:58:43 Uhr
Goto Top
Zitat von @samrein:

Moin zusammen,

heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.

Angriff würde ich das nicht nennen. Vermutlich nur ein Portscan.


Vielleicht kann mir von Euch jemand zum Verständnis sagen, warum der Server auf die https Anfrage antwortet...

Ganz einfach. Du hast gesagt

Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist ...

Wenn das Gateway über ssl/tls ereichbar ist, antwortet der natürlich wenn jemand höflich per ssl/tls anklopft.

lks
Mitglied: samrein
samrein 16.06.2021 um 13:39:43 Uhr
Goto Top
Hey Iks,

dank Dir.

Normalerweise lässt die Firewall gar keinen Portscan durch und blockt die IP.

Der Portscan ist bei mir mit den Standardwerten konfiguriert, 10 dest/Ports IP per second.

Welche Werte nutzt ihr?

Danke und Grüße
Stefan
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 16.06.2021 aktualisiert um 14:26:19 Uhr
Goto Top
Zitat von @samrein:


Der Portscan ist bei mir mit den Standardwerten konfiguriert, 10 dest/Ports IP per second.

Portscan heißt heutzutage nicht, daß man alle möglichen Ports testet schnell hinterinander testet, sondern einfach ab und zu mal vorbeischaut und schaut, ob auf einem Port jemand antwortet, also heute mal 443, morgen 80 übermorgen 25, u.s.w. Das kann sich durchaus über Tage und Wochen hinziehen. Die Tools sind da sehr geduldig und es gibt da viele Gruppen, die das Internet "Kartographieren", nicht zuletzt die Geheimdienste.

Bei einem Haus würde es auch eher auffallen, wenn der Möchtegern-Einbrecher alle Ports Türen und Fenster gleich ausprobiert, ob sie abgeschlossen oder einfach zu öffnen sind. Wenn er hingegen in gewissem Abstand kommt udn mal das eine oder mal das andere probiert, ist das viel unauffälliger.

Wenn der als nur ein "Ping" auf SSL gemacht hat, reicht da schon ein Verbindungsversuch.

lks
Mitglied: samrein
samrein 16.06.2021 um 14:08:38 Uhr
Goto Top
Dank Dir... für die ausführliche Erklärung.

Ich werde das im Auge behalten :-) face-smile

Viele Grüße
Stefan
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 17 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 17 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 10 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...