P100

Sorry, ich wollte das nicht einfach so stehen lassen. leider habe ich zu wenig Zeit. Ich habe jedoch ein wenig im Netz gesucht und fand dies: http://www.cloudvps.com/community/knowledge-base/windows-vpn-connections Besonders:

Unter Server Rollen und Feauters steht keine Network Policy and Access Service. Unter Server Rollen steht nur noch DNS-Server, welcher nicht installiert ist. Also wird nur IIS betrieben. Ich denke wir haben keine Lizenzen verletzt. Tortzdem danke für den Hinweis. Nach dieser Anleitung wird die VPN mit RDP zum Server aufgebaut. http://www.netzwerktotal.de/windows-7-anleitungen/153-virtual-private-network-vpn-unter-windows-7-einrichten.html Die Adminstration des Web Servers wird über RDP vorgenommen. Dort soll in naher Zukunft eine Webseite seinen Dienst nehmen. Zudem vorhin genannten "connection to Microsoft Routing and Remote Access server" steht im Windows\system32\IN1404.log Dort konnten wir die IP Adresse des Angreifers sehen. Beim zuvorigen Post war wohl ein Missverständiss von mir. Sorry about that.

Hallo nochmal, leider gibt es ein kleines Problem: >> NPS is not included in this edition of Windows Web Server 2008. << Routing and Remote Access service ist aktiviert. eine andere Idee? MfG

Vielen Dank. Ich werde gleich heute Abend ausprobieren MfG

Es ist ein standalone Server beim Provider(dedicated). Wird nur für eine Webseite benutzt. Verbindung zum Server wird generell über VPN und RDP aufgebaut. Ausser einem Web Admin (für Adminsitration) greift sonst niemand auf den Server. Wie oben geschrieben Im Log File des W3C kann der Angreifer IP gelesen werden. Der Angreifer versucht über RAS Zugang zu verschaffen. Weshalb jedoch beim Logon Type3 die IP Adresse des Angreifers nicht im Ereignis ID 4625 geloggt wird ist mir unverständlich. Gibt es hierfür eine konfigurationsmöglichkeit die IP des Angreifers im Ereignis ID 4625 mit zu protokolieren?

Hallo und einen schönen guten Abend, ich wollte fragen ob es eine Möglichkeit gibt auch bei Logon Type 3 die IP Adresse eines Angreifers im Ereignis Protokoll 4625 sichtbar zu machen. Ich kann die IP Adressse auf der Server Ebene sehen jedoch nicht im Ereignis ID 4625. Offensichtlich versucht er über Netzwerklayer ins System einzudringen. Das Ereignis Protokoll sieht folgendermassen aus. Windows Web Server 2008 R2 mit IIS 7.5 ------------------------------------------------- Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: "SERVERNAME" Kontodomäne: $SERVER$ Anmelde-ID: 0x3e7 Anmeldetyp: 3 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: xxx Kontodomäne: $Kontoname$ Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc0000064 Prozessinformationen: Aufrufprozess-ID: 0x374 Aufrufprozessname: C:\Windows\System32\svchost.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: IAS Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. ---------------------------------------------------------------------- Hat jemand eine Idee? MFG

Hallo nochmals, sorry das ich mich nicht früher melden konnte. Leider war ich mit vielen anderen Sachen sehr belastet gewesen. @NilsK Du hast mich bis auf eines richtig verstanden. Hätte ich diese zusatzsoftware nicht wäre imense Schaden entstanden. Ich konnte auch noch nicht alles untersuchen. Der Server ist vorerst schon mal ausser Netz. Der Angriff war nicht auf die Webseite gerichtet, sondern auf dem Remote Login Bereich des Servers. Ich vermute dass der Angreiffer aus Deutschland ist (-aus früheren Log-Files-), benutzte aber die Ausländischen IP- Adressen. Und zwar alle von ein und selben Provider, jedoch mit verschiedenen Ranges Einige dienste wie der Ereigniss Anzeige sowie die Windows Auditing System fielen aus. Auch einige zusätzliche Konfigurationen über Uberwachung des Servers fielen aus. weiteres muss ich noch anschauen. Nun, war meine Frage ob es sich hier eine Anzeige angebracht ist. Denn der Angreiffer machte sich wohl sehr viel Mühe, um sich die IPs(-wie auch immer-) zu beschaffen um gezielt und massiv meinen Server anzugeifen! Vielen Dank für eure Antworten Gruss

bei mir sind es normalerweise maximal 10 Versuche pro Tag. Und dies seit 2 Jahren.

Hallo, ich hatte gestern auf meinem Web-Server welcher beim ISP steht, massiven Angiff auf das Login Interface von 86 IP Adressen in 45 Min. zu verzeichnen. Nach Recherche konnte ich festellen, dass die benutzten IPs alle von einem einzigen Provider im Ausland stammen. Die gesamte IP Range der ISP habe ich nun gesperrt. Der Angreifer versuchte mit eine Brutforce-Angrif den Server zu knacken bzw zum Abstürz zu bringen. Dies gelang ihm jedoch nicht(-zusatz Software-). Leider war der Angrif so stark, dass einige dienste nicht mehr ausgeführt werden konnten. Die Log Files scheinen zunächst keine Auffäligkeiten zu zeigen(wahrscheinlich wegen dem Angriffs und die dadurch resultierende hohe Belastung). Ich bin davon überzeugt, das dieser Angriff von einem Täter oder eine Gruppe von Tätern ausgeführt wurde. Deshalb habe ich an eine Anzeige gedacht, wollte jedoch zuvor wissen was ihr in so einem Fall machen würdet?? MfG