Angriff von 86-IP Adressen in 45 Min

[P100 10]

Hallo,

ich hatte gestern auf meinem Web-Server welcher beim ISP steht, massiven Angiff auf das Login Interface von 86 IP Adressen in 45 Min. zu verzeichnen.

 

Nach Recherche konnte ich festellen, dass die benutzten IPs alle von einem einzigen Provider im Ausland stammen. Die gesamte IP Range der ISP habe ich nun gesperrt.

 

Der Angreifer versuchte mit eine Brutforce-Angrif den Server zu knacken bzw zum Abstürz zu bringen. Dies gelang ihm jedoch nicht(-zusatz Software-). Leider war der Angrif so stark, dass einige dienste nicht mehr ausgeführt werden konnten. Die Log Files scheinen zunächst keine Auffäligkeiten zu zeigen(wahrscheinlich wegen dem Angriffs und die dadurch resultierende hohe Belastung).

 

Ich bin davon überzeugt, das dieser Angriff von einem Täter oder eine Gruppe von Tätern ausgeführt wurde. Deshalb habe ich an eine Anzeige gedacht, wollte jedoch zuvor wissen was ihr in so einem Fall machen würdet??

 

MfG

[NeMiX 76]

86 Loginversuche nennst du Angriff und deswegen gehen Dienste bei dir nicht mehr?

Ich würde das niedriges Grundrauschen nennen auf einem Server im Internet steht...

[P100 10]

bei mir sind es normalerweise maximal 10 Versuche pro Tag. Und dies seit 2 Jahren.

[Dukel 457]

Was für Dienste gingen denn nicht mehr?

[NilsK 2.971]

Moin,

 

86 Loginversuche nennst du Angriff und deswegen gehen Dienste bei dir nicht mehr?

 

richtig lesen, bitte. Er schrieb von 86 IP-Adressen, nicht von 86 Angriffen. Es könnten ja durchaus hunderte oder tausende Brute-Force-Versuche pro Adresse gewesen sein ...

 

@P100: Wen würdest du denn anzeigen wollen? Und welcher Schaden ist entstanden? Nur wenn du auf beides eine plausible Antwort hast (und der Schaden wirklich hoch ist), bringt dir eine Anzeige gegen einen ausländischen Angreifer etwas außer Aufwand.

 

Gruß, Nils

[NeMiX 76]

NilsK auch 86 IPs finde ich nicht besonders viel, wenn es sich um einen Server handelt der relativ offen im Internet steht. Das wird dann vermutlich was gezieltes sein, trotzdem finde ich das nicht übermassig viel.

[NilsK 2.971]

Moin,

 

spielst du jetzt "wer hat den Längeren", oder was soll das werden? :rolleyes:

 

Wenn 86 IP-Adressen über eine dreiviertel Stunde lang die Loginseite angreifen und jeder Rechner nur, sagen wir, 10 Angriffe pro Minute ausführt, dann sind das 38.700 Angriffe - wohlgemerkt innerhalb von 45 Minuten. Das ist viel - vielleicht nicht für Google et al., aber für eine kleinere Webpräsenz, um die es hier wahrscheinlich geht.

 

Da ich allerdings weder der TO bin noch eine Lösung anzubieten habe, ist hier EOD für mich.

 

Gruß, Nils

[NeMiX 76]

Nein darum geht es mir nicht, ich fand einfach die Beschreibung vom TO etwas zu drastisch.

Da aber dort keine Reaktion mehr kommt, hat sich das ganze wahrscheinlich eh erledigt.

[P100 10]

Hallo nochmals,

 

sorry das ich mich nicht früher melden konnte. Leider war ich mit vielen anderen Sachen sehr belastet gewesen.

 

@NilsK Du hast mich bis auf eines richtig verstanden. Hätte ich diese zusatzsoftware nicht wäre imense Schaden entstanden. Ich konnte auch noch nicht alles untersuchen. Der Server ist vorerst schon mal ausser Netz.

 

Der Angriff war nicht auf die Webseite gerichtet, sondern auf dem Remote Login Bereich des Servers. Ich vermute dass der Angreiffer aus Deutschland ist (-aus früheren Log-Files-), benutzte aber die Ausländischen IP- Adressen. Und zwar alle von ein und selben Provider, jedoch mit verschiedenen Ranges

 

Einige dienste wie der Ereigniss Anzeige sowie die Windows Auditing System fielen aus. Auch einige zusätzliche Konfigurationen über Uberwachung des Servers fielen aus. weiteres muss ich noch anschauen.

 

Nun, war meine Frage ob es sich hier eine Anzeige angebracht ist. Denn der Angreiffer machte sich wohl sehr viel Mühe, um sich die IPs(-wie auch immer-) zu beschaffen um gezielt und massiv meinen Server anzugeifen!

 

Vielen Dank für eure Antworten

Gruss