Angriff auf meinen W2K Server?

[Dikri]

Hallo, ich habe seit längerer Zeit in unterschiedlichen Zeitabständen folgende Wartung im Systemprotokoll, teilweise 3 mal pro Sekunde:

Der Server konnte das Windows NT-Konto 'Administrator' aufgrund des folgenden Fehlers nicht anmelden: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort. Die Daten enthalten Fehlerinformationen.
Weitere Informationen zu dieser Meldung finden Sie auf der Microsoft-Onlinesupportsite: http://www.microsoft.com/contentredirect.asp.

Quelle MSFTPSVC, Kategorie KEINE, Ereignis 100.

Der Name des Kontos ändert sich, ist nicht immer Administrator. Ich geh mal davon aus, das jemand versucht auf meinen Server zuzugreifen, oder? Ich arbeite als User Administrator auf dem Hobel.
Kann mir jemand sagen wie ich das abstellen kann? Irgendeinen Port sperren? Irgendeinen Dienst deaktivieren? Von aussen muss eigentlich niemand an den Server ran, wenn, dann geh ich da über VNC drauf, dadrüber laufen die Angriffe aber meiner Meinung nicht?!

Es handelt sich um eine alte Kiste, auf der Windows 2000 Advanced Server läuft. Der Server fungiert hauptsächlich als Router (2 sperate Netze, eins über die Netzwerkkarte, eins über WLAN) und hängt direkt am DSL Modem (Netzwerkkarte). Active Directory ist aktiv.

Falls jemand eine Idee hat, ich bin für alles Dankbar. Wenn noch Informationen fehlen, sagt bescheid.

Vorläufige Lösung: FTP Publishingdienst deaktiviert, die Angriffe blieben jetzt ca 3 Tage aus. Wird weiter beobachtet!

 

[markus1234]

Soweit ich weiß ist diese Meldung nichts besonderes auf Systemen, die als Router fungieren.
U.u. ist es nur ein Bot mit einer Passwortliste.

Sofern deine Passwörter als sicher einzustufen sind, braucsht du dir da keine weiteren Gedanken machen.
Viel mehr über dieses Thema findest du aber über google.

mfg,
Markus

 

[Dikri]

Jup, hab auch Google schon schwer bemüht, glaub mir!
Bis jetzt hats wohl noch keiner geschafft, der Server läuft schon ca 5 Jahre
Aber, es nervt halt weil das Systemlog als voll ist!
Von aussen soll ja eigentlich eh keiner an den Server ran, deswegen würd ich das gern abschalten!

Hab schon überlegt den betroffenen Port einfach via NAT an eine IP zu leiten die nicht existiert. Geht das? Welcher Port wäre das?

 

[Sannyboy111985]

Gehen wir davon aus, dass es der mstsc ist, dann ist es der Port 3389.
Alternatic kannst du auch die Firewall so einstellen, dass sie Anfragen an dem entsprechenden Interface zu diesem Port nicht zulässt.

 

[AlexandeKappner]

Wirf mal einen Blick in deine Logs... sofern der Server unter einer öffentlichen IP erreichbar ist, wirst du sehen, dass das arme Gerät in den 5 Jahren seines Lebens mit primitiven Exploits und Bruteforce-Attacken auf Passwörter nur so zugemüllt wurde. Den Server so zu konfigurieren, dass er den Port ins Nirvana weiterleitet, halte ich nicht für sinnvoll, da du damit diesem sinnlose Arbeit aufbürdest und sein Verbindungslimit strapazierst. Je nach Ausstattung / Auslastung des Servers fällt das nicht ins Gewicht; ein einfacher "drop" des Pakets wäre aber sinnvoller . Dienste, die du nicht benützt, zu sperren, ist ohnehin nie falsch - weniger Dienste = weniger Angriffsfläche = weniger Sorgen =)

LG
Alexander

 

[Dikri]

@Sannyboy: Alles klar, ich werd mal schauen ob ich das mit der Firewall hinbekomme und ob ich da dann Einschränkungen durch habe, was ich nicht glaube! Danke vor allem für die Portnummer

@AlexKappner: Öffentliche IP? Ei na klar, ich bekomm ganz normal von der Telekom eine IP zugewiesen, sind die nicht immer öffentlich? Zusätzlich hab ich noch einen DYNDNS dienst am laufen, allerdings sind die "Angriffe" unabhängig davon. Auch wenn das aus ist, gehen die Attacken weiter!
5 jahre sind in den Logs nicht nachzuvollziehen, da ich die alle 2 Wochen mindestens löschen muss, weil sie voll sind, vor allem das Systemprotokoll.
Wie droppe ich den so ein Paket? Ich denke das mit der Firewall passt soweit, werd ich am We mal testen! Wenn ich einen passenden Dienst zu MSFTPSVC finde, werd ich ihn deaktivieren, das würde das blocken mit der Firewall ja dann auch überflüssig machen! Gibts da einen speziellen, ich hoffe den brauch ich fürs Routen dann nicht irgendwie.

 

[AlexandeKappner]

Paket dropen ist in einer Firewall, egal ob Windows 2k3 server oder eine andere eines Drittherstellers nicht schwer... einfach eine Regel aufstellen und im Feld "Action" "refuse connection" oder "drop" einstellen. Im Firewalllog (ggf. separat aktivieren und nach erfolgreicher Überprüfung wieder deaktivieren, da potenziell performanceintensiv!) müssten die solcherart gesprengten Packets aufscheinen.
Was ich mit "öffentliche IP" meinte, ist, dass der Server nicht ausschließlich über eine private IP eines LANs zugreifbar ist. Das ist für einen Internetserver nicht wünschenswert, aber Win2k3 Server wird ja nicht nur für Webserver, sondern auch zb Rendernodes oder Domaincontroller verwendet.

LG
Alexander

P.S.: Grade ne Linuxbox aufgesetzt... da ist es nicht besser... SSH-Passwort-Bruteforce bis zum Abwinken. Botnets lassen grüßen. Ich werde bei Gelegenheit mal nen "Opfer-PC" konfigurieren, ich mag mal wissen, was diese Crackerkiddies machen, wenn sie drin sind.

 

[Dikri]

So, ich habe am Samstag einen FTP Dienst ausgeschaltet (FTP Publishingdienst) und seit dem sind keine Angriffe mehr ersichtlich. Wenn das so bleibt, dann bin ich glücklich und lass ihn aus, benötige ich eh nicht!

Alles klar, das mit den Regeln aufstellen kenn ich bei den Firewalls, hab nur nicht genau gewusst was gemeint ist!
Das mit der öffentlichen IP trifft also auf jeden Fall zu, weil das ist ja quasi mein Internetrouter! Vielen Dank für die Hilfe und viel Glück beim Kiddies fangen