SecureIt 10 Geschrieben 28. September 2011 Melden Teilen Geschrieben 28. September 2011 hallo liebe MCSEboard Gemeinde, ich habe einen windows server 2008 r2 Ich steuere diesen über die windows remote funktion. Nun, auf dem server läuft ein "game server" und ein "authentifizierungsserver". das ganze läuft über sql 2008 r2 express. In diesen gameserver kann man kommandos eingeben um z.B. etwas zu verändern etc.. Leider wurde ich gehackt, der hacker konnte einfach so trotz eingeschalteter Firewall selbst etwas in diese Konsole eingeben. Nun zu meiner Frage,wie kommt er darein? Und, wie kann ich ihn blocken, ich habe das system bereits 3 mal neu aufgesetzt, kein Erfolg. Meine Idee war jetzt alles zu blocken ausser remote acess,sql server und auth und gameserver. Zitieren Link zu diesem Kommentar
Loki-123 10 Geschrieben 28. September 2011 Melden Teilen Geschrieben 28. September 2011 Hi, Der Firewall brauchst Du die Schuld nicht geben. DU definierst ja schließlich, was zugelassen wird und was nicht. Da Du Remote Access zulässt solltest Du dir im klaren sein, dass auch jeder andere versuchen kann über Remote Access Zugriff auf den Server zu erlangen. Du solltest Dir daher Gedanken machen, welche Dienste überhaupt von extern erreichbar sein müssen und inwieweit Du deren Zugriff einschränken kannst. Gruß, Thomas Zitieren Link zu diesem Kommentar
SecureIt 10 Geschrieben 28. September 2011 Autor Melden Teilen Geschrieben 28. September 2011 ja,ich wurde port 3389 ja auch gerne blocken aber wie soll ich dann noch den server steuern? :/ und natürlich habe ich ein Passwort für diesen Account gesetzt. Mir wurde gesagt dass diese Konsole einträge die nicht von meinem root kommen blockt,aber wie macht das der hacker? ich glaube nicht das der das windows passwort hat. Zitieren Link zu diesem Kommentar
Loki-123 10 Geschrieben 28. September 2011 Melden Teilen Geschrieben 28. September 2011 Er muß ja auch nicht zwangsläufig über Port 3389 reinkommen (eine Alternative zum Remote Access wäre z.B. Teamviewer). Evtl. besitzen "game server" und und "authentifizierungsserver" Hintertürchen, die Dir nicht bekannt sind. Gibt es denn Einträge in der Ereignisanzeige Einträge, die auf Authentifizierungsversuche deuten? Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 29. September 2011 Melden Teilen Geschrieben 29. September 2011 was ist das denn für eine software für den gameserver und für den authentifizierungsserver? Hast du alle aktuellen Updates eingespielt? Hast du ein sicheres, langes Windows Admin Kennwort? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 29. September 2011 Melden Teilen Geschrieben 29. September 2011 Hast du RDP per SSL abgesichert? Zitieren Link zu diesem Kommentar
SecureIt 10 Geschrieben 30. September 2011 Autor Melden Teilen Geschrieben 30. September 2011 ssl,glaube nicht ;/ also meinst du ich mach das ganz über tw und blocke port 3389..hmm admin kennwort denke ja,er hat kein einziges mal etwas am pc verändert,daraus schliess eich das er nur etwas in die konsolo eingeben kann. edit: firefox crasht immer wenn ich eine seite aufrufen will,klasse(root) installieren kann ich auch nix mehr,NSIS error Zitieren Link zu diesem Kommentar
kamikatze 84 Geschrieben 30. September 2011 Melden Teilen Geschrieben 30. September 2011 Moin Mein Tip - Platt machen und neu aufsetzen.... Gruss Markus Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 30. September 2011 Melden Teilen Geschrieben 30. September 2011 Oder neu machen lassen von jemand der das richtig macht. Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 30. September 2011 Melden Teilen Geschrieben 30. September 2011 Hi! @SecureIt Die deutsche Rechtschreibung kennt Groß- und Kleinschreibung. Halte Dich bitte daran, es erleichtert das Lesen und die Bereitschaft Dir zu helfen. Zitieren Link zu diesem Kommentar
stb112 10 Geschrieben 5. Oktober 2011 Melden Teilen Geschrieben 5. Oktober 2011 Hallo, ich würde 3389 zu machen und ne saubere VPN Verbindung erstellen um danach auf 3389 zuzugreifen. Am besten direkt auf der Firewall terminieren. Ansonsten in der Firewall, den Remoteaccess zu dem RDP Port nur von einer bestimmten IP erlauben lassen. Zitieren Link zu diesem Kommentar
SecureIt 10 Geschrieben 10. Oktober 2011 Autor Melden Teilen Geschrieben 10. Oktober 2011 ok,habe es herausgefunden ,ist eine backdoor in dem Programm selbst. Nur,immer wenn ich versuche das Passwort (für den backdoor Zugang) zu ändern, sagt mir windows das es nun keine zulässige win32 Anwendung sei. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 10. Oktober 2011 Melden Teilen Geschrieben 10. Oktober 2011 Du hast herausgefunden, dass du eine Backdoor hast und versuchst nicht das System vom Internet / Netzwerk zu trennen sondern die Backdoor zu konfigurieren? Zitieren Link zu diesem Kommentar
kamikatze 84 Geschrieben 10. Oktober 2011 Melden Teilen Geschrieben 10. Oktober 2011 Ich wiederhole mich gern: Platt machen und neu aufsetzen:suspect: Alles andere wäre sträflich. Und eine Backdoor umzukonfigurieren sollte wohl in das Reich der unerfüllter Wünsche verschoben werden. Gruss Markus Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 10. Oktober 2011 Melden Teilen Geschrieben 10. Oktober 2011 Jetzt verrate uns doch mal endlich, was das für eine Software ist und wo Du die her hast. Ist die Backdoor von Anfang an drauf? Und hast Du überhaupt einen Firewall-Router dazwischen? Off-Topic:secureIT, täh! Den Namen müsste man Dir weg nehmen :o Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.