ComputerBase Menü
Aktuelles

Angriffe auf meinen Server. Alles okay soweit?

  • Ersteller Ersteller DecentMan
  • Erstellt am Erstellt am
D

DecentMan

Gast
Hallo,

ich habe seit ein paar Wochen einen gemieteten V-Server bei Strato mit Windows Server 2012 R2.

Soweit bin ich ja recht zufrieden. Allerdings stelle ich in den letzten paar Tagen ständige Angriffsversuche fest.
Entweder wird versucht, sich Zugang über das Adminkonto zu verschaffen oder aber mein Mailserver soll als
SPAM-Schleuder missbraucht werden.

Bisher konnte ich die Versuche alle im Keim ersticken, weil ich den Server zuallererst einmal "gehärtet" habe,
bevor ich ihn produktiv in Betrieb nahm.

Zum Beispiel habe ich das Administrator-Konto umbenannt, den Remoteport in der Registry geändert, alle
unnötigen Dienste deaktiviert und nur die Ports in der Firewall geöffnet, die ich auch wirklich benötigte.
Außerdem hat das Passwort momentan 26 Zeichen...


Hier sind Grafiken eines aktuellen Hackingversuchs:
Server1.png
Server2.png
Wie man erkennen kann, wird gezielt das Admin-Konto angegriffen, was ja eigentlich auch normal ist.


Was würdet ihr tun, wenn ihr so ein Verhalten feststellt?
Vielleicht gibt es ja etwas, was ich noch nicht kenne oder bisher übersehen habe.

Ich meine, dass ich ja das Nötigste getan habe, um mein System sauber zu halten und werte
täglich mehrmals alle wichtigen Logs aus, prüfe Dienste, Konten, etc.

Natürlich ist mir bewusst, dass ich damit nicht alleine bin. Solche Versuche sind ja leider die Regel... :D
Vielen Dank im Voraus für die Hilfe!
 
Hallo Snooty,

Login sperren klingt gut! ;)

Danke für den Tipp!
IP-Bereich wäre auch interessant. Werde ich mal testen...

Nachtrag:
So wie es scheint, ist das mit Windows-Mitteln gar nicht so einfach.
Klar, man kann zwar ein Konto nach x Anmeldeversuchen sperren, aber anhand der IP
ist das nicht möglich, oder?

Also, dass die Sperrung nur für die IP gilt...
Werde ich mir halt selbst solch ein Tool basteln müssen. :p
Ich will ja nicht das Adminkonto generell sperren, sonst kann ich mich ja selbst nicht mehr
einloggen! :lol:
 
Zuletzt bearbeitet:
Einige Leute scheinen schon ähnliche Programme geschrieben zu haben. Vielleicht kannst Du die ja nutzen:

http://serverfault.com/questions/23...ed-on-x-number-of-unsuccessful-login-attempts
http://serverfault.com/questions/43360/cygwin-sshd-autoblock-failed-logins/43900#43900 (ähnlich fail2ban)

Greifst Du eigentlich von verschiedenen Orten auf deinen Server zu? Wenn nein, und Du nur von zu Hause auf deinen Rechner zugreifst könntest Du doch einfach alle IPs bis auf den IP-Bereich deines Providers sperren. Das geht doch bestimmt mit Bordmitteln.
 
Danke für die Links!
Ich habe inzwischen schon selbst eine Lösung programmiert.
Aber die Tools werde ich mir trotzdem mal anschauen...

Momentan gehe ich von drei verschiedenen Orten, sprich 3 verschiedenen IP-Bereichen, auf den Server.
Und leider sind zwei davon dynamisch. Sonst wäre das wirklich die einfachste Lösung, alle anderen auszusperren.
Na ja, und Port 80 muss auch über IP erreichbar sein, weil ich ja auch Inhalte anzeige. :p
Oder habe ich gerade einen Denkfehler?!?
 
DecentMan schrieb:
Oder habe ich gerade einen Denkfehler?!?
Zum Vergrößern anklicken....

Ne, ist schon richtig. Ich dachte eher daran beim Server-Login zu checken ob die IP aus den erlaubten IP-Bereichen stammt, und wenn nicht den Loginvorgang sofort abzubrechen.
 
Ich nutze das Tool: Cyberarms Intrusion Detection.

Es ist Kostenlos und damit kannst du alles wichtige nach mehrmaligen fehlversuchen blocken können.

Aber der Angrif geht deswegen weil den Remote nur ein schwaches protokol benutzt, das können die billig tool, höhere Protokole nicht, einfach umstellen und du bis 99% der Angriffe los.
 
Danke für eure Hinweise! :)
Mittlerweile ist mein eigenes Tool schon erprobt...

Habe ständig Eindringversuche aus Thailand und der Ukraine. Na ja, nach zwei Mal falschem Konto (Administrator-Konto ist ja umbenannt) oder Passwort ist die IP geblockt. Bin nur am überlegen, ob ich die dauerhaft oder temporär blocken soll.

Das zeigt dann die Zukunft...
Wie gesagt, vielen Dank für eure Hilfe!
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

f@llo
habe q8200 und p5q se übertaktet / alles okay soweit?
Antworten
3
Aufrufe
927
f@llo
f@llo
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz