Win Server 2008 r2 Firewall Frage

[SecureIt 10]

hallo liebe MCSEboard Gemeinde,

 

ich habe einen windows server 2008 r2

 

Ich steuere diesen über die windows remote funktion.

 

Nun, auf dem server läuft ein "game server" und ein "authentifizierungsserver".

 

das ganze läuft über sql 2008 r2 express.

 

In diesen gameserver kann man kommandos eingeben um z.B. etwas zu verändern etc..

 

Leider wurde ich gehackt, der hacker konnte einfach so trotz eingeschalteter Firewall selbst etwas in diese Konsole eingeben.

 

Nun zu meiner Frage,wie kommt er darein?

Und, wie kann ich ihn blocken, ich habe das system bereits 3 mal neu aufgesetzt, kein Erfolg.

Meine Idee war jetzt alles zu blocken ausser remote acess,sql server und auth und gameserver.

[Loki-123 10]

Hi,

 

Der Firewall brauchst Du die Schuld nicht geben. DU definierst ja schließlich, was zugelassen wird und was nicht. Da Du Remote Access zulässt solltest Du dir im klaren sein, dass auch jeder andere versuchen kann über Remote Access Zugriff auf den Server zu erlangen. Du solltest Dir daher Gedanken machen, welche Dienste überhaupt von extern erreichbar sein müssen und inwieweit Du deren Zugriff einschränken kannst.

 

Gruß, Thomas

[SecureIt 10]

ja,ich wurde port 3389 ja auch gerne blocken aber wie soll ich dann noch den server steuern? :/

und natürlich habe ich ein Passwort für diesen Account gesetzt.

 

Mir wurde gesagt dass diese Konsole einträge die nicht von meinem root kommen blockt,aber wie macht das der hacker? ich glaube nicht das der das windows passwort hat.

[Loki-123 10]

Er muß ja auch nicht zwangsläufig über Port 3389 reinkommen (eine Alternative zum Remote Access wäre z.B. Teamviewer). Evtl. besitzen "game server" und und "authentifizierungsserver" Hintertürchen, die Dir nicht bekannt sind.

Gibt es denn Einträge in der Ereignisanzeige Einträge, die auf Authentifizierungsversuche deuten?

[StefanWe 14]

was ist das denn für eine software für den gameserver und für den authentifizierungsserver?

 

Hast du alle aktuellen Updates eingespielt?

Hast du ein sicheres, langes Windows Admin Kennwort?

[Dukel 454]

Hast du RDP per SSL abgesichert?

[SecureIt 10]

ssl,glaube nicht ;/

also meinst du ich mach das ganz über tw und blocke port 3389..hmm

admin kennwort denke ja,er hat kein einziges mal etwas am pc verändert,daraus schliess eich das er nur etwas in die konsolo eingeben kann.

 

edit: firefox crasht immer wenn ich eine seite aufrufen will,klasse(root)

 

installieren kann ich auch nix mehr,NSIS error

[kamikatze 84]

Moin

Mein Tip - Platt machen und neu aufsetzen....

Gruss

Markus

[Dukel 454]

Oder neu machen lassen von jemand der das richtig macht.

[günterf 45]

Hi!

 

@SecureIt

 

Die deutsche Rechtschreibung kennt Groß- und Kleinschreibung.

Halte Dich bitte daran, es erleichtert das Lesen und die Bereitschaft Dir zu helfen.

[stb112 10]

Hallo,

 

ich würde 3389 zu machen und ne saubere VPN Verbindung erstellen um danach auf 3389 zuzugreifen. Am besten direkt auf der Firewall terminieren. Ansonsten in der Firewall, den Remoteaccess zu dem RDP Port nur von einer bestimmten IP erlauben lassen.

[SecureIt 10]

ok,habe es herausgefunden ,ist eine backdoor in dem Programm selbst.

 

Nur,immer wenn ich versuche das Passwort (für den backdoor Zugang) zu ändern, sagt mir windows das es nun keine zulässige win32 Anwendung sei.

[Dukel 454]

Du hast herausgefunden, dass du eine Backdoor hast und versuchst nicht das System vom Internet / Netzwerk zu trennen sondern die Backdoor zu konfigurieren?

[kamikatze 84]

Ich wiederhole mich gern: Platt machen und neu aufsetzen:suspect:

Alles andere wäre sträflich. Und eine Backdoor umzukonfigurieren sollte wohl in das Reich der unerfüllter Wünsche verschoben werden.

Gruss

Markus

[iDiddi 27]

Jetzt verrate uns doch mal endlich, was das für eine Software ist und wo Du die her hast. Ist die Backdoor von Anfang an drauf?

Und hast Du überhaupt einen Firewall-Router dazwischen?

 

Off-Topic:

secureIT, täh! Den Namen müsste man Dir weg nehmen :o