magicpeter 11 Geschrieben 3. August 2010 Melden Teilen Geschrieben 3. August 2010 Hi, mir macht ein Server etwas Sorgen. Wir haben einen Kunden mit einem Windows 2003 SBS SP2 (Server01) und einen Windows 2003 Terminalserver Server02) laufen. Die Server sind mit einer Hardwarefirewall von gateprotect geschützt. Der Server steht in der DMZ und es sind die Ports 443, 3389 und 4125 offen. Damit man per https://remote.kundendomain.de/exchange zugreifen kann. Der Server ist mit einen Servervirenschutz von NOD32 Ver. 4.2 geschützt. Die Firewall stellt VPN-Tunnel zur Verfügung, da viele Mitarbeiter von aussen zugreifen. Es wird komplett über den Terminalserver gearbeitet. Im Ereignislog steht bei 2 Tagen 960 Ereigniseinträge Nr. 529. (Fehlgeschlagene Anmeldung, fehlerhafter Benutzername oder Passwort falsch) und es gibt auch Warnung Kontosperrung (Ereigniskennung: 539) Es treten seit dem 04.07.2010 ab 13:27 mehrere unregelmäßig Zugriff / Anmeldeversuche auf Ihren Server. Machmal 2 oder 3 pro Tag. Am 02 und 03.08.2010 gab es insgesamt 960 Ereigniseinträge Nr. 529. (Fehlgeschlagene Anmeldung, fehlerhafter Benutzername oder Passwort falsch) Die Zugriffszeiten unterliegen keinem reproduzierbarem Muster. Es gibt Zugriffsversuchen am 29.07.2010 um 04:04:09 genauso gibt Zugriffsversuche mittags am 02.08.2010 14:46:29. Also sehr willkürlich. Was auf einen automatischen Hackversuch hin deutet. Laut Ereignisprotokoll wurde Versucht über die Benutzerkonten Administrator, admin und Verwalter auf dem Server01 Zugriff zu erlangen. Da es das Benutzerkonto Verwalter nicht gibt besteht dort keine Gefahr. Ich würde als erste Aktion das Admin und Administrator Benutzerkonto deaktivieren und ein neues Konto für den Admin anlegen. Der Benutzername sollte etwas ausgefallener sein. ad23min zum Beispiel. Damit hätte man das Problem der bekannten Benutzerprofile zur Hackversuch unterbunden und man wäre etwas sicherer. Im Ereigniseintrag steht noch dring: Benutzername: admin Anmeldetype: 10 Anmeldevorgang: User32 oder Benutzername: administrator Anmeldetype: 4 Anmeldevorgang: ADVAPI deutet das auf den Angreifer oder seine Vorgehensweise hin? Aber das ist ja eigentlich kein Zustand. Wie kann man diese Hackversuche unterbinden? Gruss und Danke Peter Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 3. August 2010 Melden Teilen Geschrieben 3. August 2010 Hi. Wie kann man diese Hackversuche unterbinden? Das sind keine richtigen Hackversuche. Wenn der RDP Port 3389 offen ist, dann kann jeder Script Kiddy lustig herumprobieren, und hoffen, das PW des Administrator 123 lautet. Sperre Port 3389 und du hast Ruhe. Der Server steht in der DMZ Welcher Server steht in der DMZ, und was soll das bringen? LG Günther Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 4. August 2010 Autor Melden Teilen Geschrieben 4. August 2010 Hi Günther, stimmt Port 3389 hat in der DMZ nichts verloren. Danke ich mach den zu. Der Windows 2003 SBS SP2 (Server01) steht in der DMZ damit der Kunde sein Windows Mobile Handy abgleichen kann. Funktioniert auch sehr gut. Spricht doch eigentlich nicht gegen oder? Danke und Gruss Peter Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 4. August 2010 Melden Teilen Geschrieben 4. August 2010 Hi. Spricht doch eigentlich nicht gegen oder? Macht aber auch keinen Sinn, und bringt keinerlei Vorteile oder zusätzliche Sicherheit. LG Günther Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 4. August 2010 Autor Melden Teilen Geschrieben 4. August 2010 Ja, aber wie richtet man sonst die Syncronisation ein. Es muss doch der Port 443 auf den Exchangeserver weitergeleitet werden. Oder wie machst du das? Gruss Peter Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 4. August 2010 Melden Teilen Geschrieben 4. August 2010 Hi. Ja, aber wie richtet man sonst die Syncronisation ein. Genauso wie sonst auch. Eine DMZ würde Sinn machen, wenn der SBS im LAN hängt, und in der DMZ ein Proxy. Dann würde ein Zugriff WAN -> LAN überhaupt gesperrt werden, und der Zugriff könnte nur über WAN -> DMZ -> Proxy erfolgen. Schau dir noch einmal die Funktion einer DMZan - Demilitarized Zone ? Wikipedia - http://www.msxfaq.de/internet/firewall3.htm LG Günther Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 9. August 2010 Autor Melden Teilen Geschrieben 9. August 2010 Hi Günther, ich habe dem Port 3389 geschlossen. Es kommen aber immer noch Anmelde versuche am Server an. Die auch entsprechend Protokolloert werden. Es sind nur nich die Ports 443 und 4125 von aussen auf den Server offen. Können darüber anmelde Versuche an den Server gehen? Es könnte doch auch ein Angriff von Innen sein. Das auf einem der PC´s eine Hackprogramm läuft und die Anfragen startet. Was meinst du? Ich habe mit LAnGuard 9.0 den SErver überprüft und das Prg. sagt alles wäre korrekt eingerichtet. Danke und Gruss Peter Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 9. August 2010 Melden Teilen Geschrieben 9. August 2010 Hi. Es kommen aber immer noch Anmelde versuche am Server an. Die auch entsprechend Protokolloert werden Dann sollte aber doch im LOG auf die IP Adresse ersichtlich sein. Damit kannst du feststellen ob der Angriff von innen oder über das WAN kommt. LG Günther Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 13. August 2010 Autor Melden Teilen Geschrieben 13. August 2010 Auszug aus dem Ereignisprotokoll "Sicherheit" Benutzername: SERVER01$ Ereigniskennung: 540 Quellnetzwerkadresse: 192.68.30.100 Quellport: 14685 Anmeldetype: 3 Benutzername: SERVER01$ Ereigniskennung: 540 Quellnetzwerkadresse: 192.68.30.100 Quellport: 14707 Anmeldetype: 3 Es gibt dann zum gleichen Zeitpunkt noch weitere Ereignisskennungen. 538 und 576 alle mit dem Benutzername: SERVER01$ Das passiert jede Minuten. Was passiert da? Wer oder was greift den Server da an? Wir kann man das unterdrücken? Das macht mich einwenig nervös. Danke und Gruss Peter Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.