6
Zuviele Zugriffe auf Windows2003Server
Seit ca. 5 Tagen werden auf unserem Windows SBS 2003 mehrere Tausend Anmeldeversuche von außen durchgeführt. Heute Nacht waren es 2956! Der Internetanschluß ist Arcor DSL. Die User, die versuchen, bei uns reinzukommen, sind auch bei Arcor laut Quellnetzwerkadresse.
Der Rechner wird so in die Knie gezwungen, daß nichts mehr geht. Er muß neu gestartet werden.
Frage: Kann es sein, daß eine Praktikantin durch ihren Chat auf HTML-Seiten-Basis (also keine Software wie Netmeeting o.ä.) da irgendwelche Hunde geweckt hat? Vorher kam es einmal im Monat vor, daß sich mal einer versucht hätte, sich anzumelden.
Die Berichterstattung zeigt beispielsweise folgendes:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Oliver
Domäne: OK-FK8WX1F15OSC
ANmeldetyp: 3
Anmeldevorgang NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: OK-FK8WX1F15OSC
Anruferbenutzername: -
bis
Übertragene Dienste: -
Quellnetzwerkadresse: 84.56.102.195
Quellport: 0
Als Router verwenden wir den SMC 7008 ABR.
(Diese Daten sind jetzt echt. Vielleicht kann mir einer sagen, ob es zu einer erfolgreichen Rückverfolgung kommen kann, oder ob es nichts bringt...)
Ich weiß nicht weiter. Jeden Tag muß der Server neu hochgefahren werden. Sicherung etc. werden nicht durchgeführt, weil die Kiste hängt.
Frage: Kann es sein, daß eine Praktikantin durch ihren Chat auf HTML-Seiten-Basis (also keine Software wie Netmeeting o.ä.) da irgendwelche Hunde geweckt hat? Vorher kam es einmal im Monat vor, daß sich mal einer versucht hätte, sich anzumelden.
Die Berichterstattung zeigt beispielsweise folgendes:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Oliver
Domäne: OK-FK8WX1F15OSC
ANmeldetyp: 3
Anmeldevorgang NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: OK-FK8WX1F15OSC
Anruferbenutzername: -
bis
Übertragene Dienste: -
Quellnetzwerkadresse: 84.56.102.195
Quellport: 0
Als Router verwenden wir den SMC 7008 ABR.
(Diese Daten sind jetzt echt. Vielleicht kann mir einer sagen, ob es zu einer erfolgreichen Rückverfolgung kommen kann, oder ob es nichts bringt...)
Ich weiß nicht weiter. Jeden Tag muß der Server neu hochgefahren werden. Sicherung etc. werden nicht durchgeführt, weil die Kiste hängt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8687
Url: https://administrator.de/contentid/8687
Printed on: April 24, 2024 at 22:04 o'clock
6 Comments
Latest comment
Welche Software zeigt Dir das an?
Ich würde mal als erstes einen Router nehmen der nicht alles rein läßt was nach Datenpacket aussieht. Ich habe mehrere Bintec im Einsatz, habe nie Probleme mit Würmern oder mit solchen Attacken wie Du sie hast! Allerdings sind diese Router auch nicht ganz günstig. Aber qualität will bezahlt werden!
Mfg
Thomas
PS: Ich glaube nicht das sowas durch einen HTML-Chat kommen kann. Und selbst wenn ist Deine IP ja nach jedem Einwählen eine andere und der Angreifer müßte Dich neu "suchen" Vielleicht hast Du ja irgendwas Wurmähnliches im Netz, schonmal geprüft?
Ich würde mal als erstes einen Router nehmen der nicht alles rein läßt was nach Datenpacket aussieht. Ich habe mehrere Bintec im Einsatz, habe nie Probleme mit Würmern oder mit solchen Attacken wie Du sie hast! Allerdings sind diese Router auch nicht ganz günstig. Aber qualität will bezahlt werden!
Mfg
Thomas
PS: Ich glaube nicht das sowas durch einen HTML-Chat kommen kann. Und selbst wenn ist Deine IP ja nach jedem Einwählen eine andere und der Angreifer müßte Dich neu "suchen" Vielleicht hast Du ja irgendwas Wurmähnliches im Netz, schonmal geprüft?
Das zeigt mir der Serverleistungsbericht in der Serververwaltungskonsole an.
Übrigens war der gestern zerschossen worden, so daß ich ihn nochmal nachinstallieren mußte.
Das einzige, was aber jetzt nicht mehr geht, ist die Übermittlung des Serverleistungsberichts an meine Mailadresse. Exchange funktioniert aber, die Emails können nach wie vor hin und her geschickt werden. Auch nach außen.
Welches Tool für eine Wurmsuche wäre aktuell gerade downloadbar?
Übrigens war der gestern zerschossen worden, so daß ich ihn nochmal nachinstallieren mußte.
Das einzige, was aber jetzt nicht mehr geht, ist die Übermittlung des Serverleistungsberichts an meine Mailadresse. Exchange funktioniert aber, die Emails können nach wie vor hin und her geschickt werden. Auch nach außen.
Welches Tool für eine Wurmsuche wäre aktuell gerade downloadbar?
Lade Dir mal den Stinger von Mc Afee runter der ist bei Chip.de immer aktuell!
http://www.chip.de/downloads/c1_downloads_13011160.html
Mfg
Thomas
http://www.chip.de/downloads/c1_downloads_13011160.html
Mfg
Thomas
Es ist nichts drauf. Ich habe gescannt, alle EXE.-Dateien durchsucht, fremde Benutzer, die Registry nach Run-Services, MSconfig usw. nichts zu finden, was nach einem Hintertürchen aussieht...
Dennoch kommen die Anmeldungsversuche sofort, sobald ich wieder den Router online mache.
Jetzt überlege ich gerade, ob es Sinn macht, wenn ich eine Portumleitung mache, die die Ports 80, 443, 445 usw. auf andere legt.
Ist denn sonst keinem soetwas schon mal passiert?
Dennoch kommen die Anmeldungsversuche sofort, sobald ich wieder den Router online mache.
Jetzt überlege ich gerade, ob es Sinn macht, wenn ich eine Portumleitung mache, die die Ports 80, 443, 445 usw. auf andere legt.
Ist denn sonst keinem soetwas schon mal passiert?
Mir ist außerdem aufgefallen, daß alle IP's von ARCOR-DSL-Kunden sind.
Kann es da irgend einen Zusammenhang geben?
Kann es da irgend einen Zusammenhang geben?
Hallo,
schließe deine Ports auf dem Router !!!
mfg
Ritchy
schließe deine Ports auf dem Router !!!
mfg
Ritchy
