Hallo Forum,
ich betreibe einen kleinen V-Server für eine kleine Datenbankapplikation.
Dieser Server ist vor einigen Wochen angegriffen worden und ich habe jetzt natürlich immernoch "Sorgen", dass das jemand zugriff hat.
Deswegen habe ich mir die Ereignisprotokolle zum Thema Sicherheit angeschaut und finde da Ereignisse quasi im Minutentakt.
Gibt es irgendwo eine verständliche Doku, welche Ereignisse mich beunruhigen sollten und welche ich ignorieren kann?
Ich habe z.B. jede Menge Ereignisse (erfolgreich) mit dieser Sicherheits-ID: Window Manager\DWM-4
Oder Überwachung gescheitert, Fehler beim Abmelden: SYSTEM, Kontoname: <Servername>$
Oder Überwachung erfolgreich, Konto angemeldet: SYSTEM, Kontoname: <Servername>$
Oder Überwachung gescheitert, Konto, für das die Anmeldung fehlgeschlagen ist: NULL SID, Kontoname Guest
Ich habe auf meinem Server nur noch einen User aktiv, weder Admin noch Guest, bekomme natürlich immernoch diese Anmeldeversuche, wie den letzten.
Kann man gegen diese Fehlversucher sowas wie fail2ban einrichten, also die IP-Adresse blockieren, bei fehlerhafter Anmeldung?
Gibt es da was brauchbares?
Welche Viren-Software kann man hier empfehlen, bei einzelnem Server (im Serverbereich wollen einem die Hersteller immer gleich die Schuhe ausziehen :( )
Danke schonmal
Gruß Carsten
