Windows Server und Callback Server
Moin zusammen,
heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.
Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar der Trendmicro Client an.
System 192.168.3.22:443 68.183.212.246:56266 Blocked Relevance Rule (HTTP_TRICKBOT_REQUEST)
Die IP Addresse ist per utrace in den USA gelistet. War für mich erstmal komisch, da die Firewall Regel nur IP Adressen aus Deutschland zulässt.
Meine Firewall (Watchguard) gibt beim Lookup IP aber eine deutsche Herkunft an, gleicher "Besitzer", einem Cloud-Hostinganbieter.
Die Watchguard selber hat den Access also erstmal zugelassen, aber die Rückantwort des Servers geblockt.
Meine Frage an die Security Spezialisten wäre jetzt, warum antwortet mein Server überhaupt auf eine Anfrage die per https Port 443 gekommen ist.
Der Server selber hat keine Auffälligkeiten, die ich auch nach mehrmaligen Scannen von div. Tools feststellen könnte. Ich habe die Logs in der Firewall studiert und keine Verbindungen nach außen sonst feststellen können. Der Server spricht lediglich mit Addressen von Microsoft und Trendmicro.
Trotzdem bleibt ein blödes Gefühl.
Die IP scheint als "böse" bekannt zu sein, bei Google gibt es zahlreiche Einträge zu einem Trojaner.
Vielleicht kann mir von Euch jemand zum Verständnis sagen, warum der Server auf die https Anfrage antwortet...
Grüße
Stefan
heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.
Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar der Trendmicro Client an.
System 192.168.3.22:443 68.183.212.246:56266 Blocked Relevance Rule (HTTP_TRICKBOT_REQUEST)
Die IP Addresse ist per utrace in den USA gelistet. War für mich erstmal komisch, da die Firewall Regel nur IP Adressen aus Deutschland zulässt.
Meine Firewall (Watchguard) gibt beim Lookup IP aber eine deutsche Herkunft an, gleicher "Besitzer", einem Cloud-Hostinganbieter.
Die Watchguard selber hat den Access also erstmal zugelassen, aber die Rückantwort des Servers geblockt.
Meine Frage an die Security Spezialisten wäre jetzt, warum antwortet mein Server überhaupt auf eine Anfrage die per https Port 443 gekommen ist.
Der Server selber hat keine Auffälligkeiten, die ich auch nach mehrmaligen Scannen von div. Tools feststellen könnte. Ich habe die Logs in der Firewall studiert und keine Verbindungen nach außen sonst feststellen können. Der Server spricht lediglich mit Addressen von Microsoft und Trendmicro.
Trotzdem bleibt ein blödes Gefühl.
Die IP scheint als "böse" bekannt zu sein, bei Google gibt es zahlreiche Einträge zu einem Trojaner.
Vielleicht kann mir von Euch jemand zum Verständnis sagen, warum der Server auf die https Anfrage antwortet...
Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667637
Url: https://administrator.de/forum/windows-server-und-callback-server-667637.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
4 Kommentare
Neuester Kommentar
Zitat von @samrein:
Moin zusammen,
heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.
Moin zusammen,
heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen.
Angriff würde ich das nicht nennen. Vermutlich nur ein Portscan.
Vielleicht kann mir von Euch jemand zum Verständnis sagen, warum der Server auf die https Anfrage antwortet...
Ganz einfach. Du hast gesagt
Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist ...
Wenn das Gateway über ssl/tls ereichbar ist, antwortet der natürlich wenn jemand höflich per ssl/tls anklopft.
lks
Der Portscan ist bei mir mit den Standardwerten konfiguriert, 10 dest/Ports IP per second.
Portscan heißt heutzutage nicht, daß man alle möglichen Ports testet schnell hinterinander testet, sondern einfach ab und zu mal vorbeischaut und schaut, ob auf einem Port jemand antwortet, also heute mal 443, morgen 80 übermorgen 25, u.s.w. Das kann sich durchaus über Tage und Wochen hinziehen. Die Tools sind da sehr geduldig und es gibt da viele Gruppen, die das Internet "Kartographieren", nicht zuletzt die Geheimdienste.
Bei einem Haus würde es auch eher auffallen, wenn der Möchtegern-Einbrecher alle
Wenn der als nur ein "Ping" auf SSL gemacht hat, reicht da schon ein Verbindungsversuch.
lks