rkw

Hallo Nils, besten Dank für die schnelle Antwort. Der Server wird gepatcht, sobald Updates verfügbar sind. Auf dem Server läuft ein Gene6 FTP Server. Dazu sind mir keine aktuellen Lücken bekannt. Den TS brauche ich zumindest für die Fernwartung. Auf den Rest könnte ich verzichten. Ich habe mit diversen Tools nach Viren etc. gesucht. Kein Tool (Panda,McAffe...) konnte etwas finden. Kann mann nicht irgendwo ein Log mitlaufen lassen, aus dem ersichtlich ist, wann und wie ein neuer User angelegt wurde? Oder kann man das Anlegen neuer User generell sperren? Kennwörter sind bei mir mindestens 10 Zeichen lang mit diversen Sonderzeichen etc. Mehr geht in der Praxis nicht. Welche weitere Firewall kann man denn bedenkenlos einsetzen? Gruß, Ralph

Hallo Zusammen, vielleicht kann mir hier jemand einen Tipp geben. Bereits zum zweiten Mal innerhalb weniger Tager wurde ein WebServer von uns gehackt. Der Server dient zum Glück nur zu Testzwecken, aber besorgt sind wir hier trotzdem. Auf dem Server läuft der MS Terminalserver. Also ist natürlich auch das RD verfügbar. Zur Sicherheit haben wir den Namen den Administrators und auch des Gastzuganges geändert. Bei der Anmeldung erscheint der letzte Anmeldename nicht. Die Kennwörter sind so sicher wie möglich. FTP läuft auch auf der Kiste, allerdings nicht der MS FTP. User und Kennwörter sind dort natürlich nicht mit denen des TS identisch. Die W2K3 Firewall ist aktiv. Per Portfilterung lasse ich nur die wirklich benötigten Ports offen. Jetzt ist es zweimal vorgekommen, dass auf einmal ein User Admin bzw. Microsoft mit Adminrechten angelegt wurde. Ich kann aber nirgends eine Lücke entdecken. Die Meldung im Log lautet: Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 683 Datum: 16.01.2009 Zeit: 12:32:08 Benutzer: NT-AUTORITÄT\SYSTEM Computer: THUNDER Beschreibung: Verbindung der Sitzung mit Winstation abgebrochen: Benutzername: Admin Domäne: THUNDER Anmeldekennung: (0x0,0x418AB889) Sitzungsname: RDP-Tcp#30 Clientname: PC Clientadresse: 201.41.245.86 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. Die IP kommt aus Brasilien. Der Hacker hat beide Male die Software IMRC gestartet. Offenbar ein Chatprogramm. In der Aplication History des Users Admin finde ich zwei Aufrufe: 1. RunDll32.exe.9ccf110c.ini 2. SpsWrapper.exe.9125ed07.ini.inuse Hat jemand eine Idee, wie ich diese Art Angriffe abwehren kann? Ich bin mit meinem Latein am Ende! Besten Dank!:confused: