none
Windows Server 2008 -> Hacker meldet sich als Gast an und startet vom Server aus Angriffe auf andere Server RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo,
    wir haben einen Windows 2008 Root Server. Es sind alle aktuellen Updates installiert.

    Vor einigen Tagen wurden wir darauf aufmerksam gemacht, das von unserem Server aus Angriffe auf einen anderen Server stattfinden.
    Bei genauer Kontrolle ergab sich, das von dem Gast Account aus ein Programm gestartet wurde, was diese Angriffe ausführt.

    Daraufhin haben wir den Gast Account bei der Benutzersteuerung deaktiviert. Wobei ich nicht weiß wie dieser verwendet werden konnte. Wir selber kommen nur mit Anmeldenamen und Passwort auf den Server.

    Heute trat das gleiche aber wieder auf. Es hatte wieder sich jemand als Gast angemeldet und ein Programm auf den Server kopiert und gestartet.

    Ich suche jetzt nach der Sicherheitslücke, also wie jemand so was schaffen kann und nach einen Hinweis auf die Identität des Verursachers, wie IP Adress. Leider werde ich aus dem Eventlog nicht wirklich schlau.

    Hoffe auf Hilfe.

    Montag, 7. Dezember 2009 20:08
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hallo Markus

    Führe das MSBA Tool aus. Das sollte dir potentielle Sicherheitslücken anzeigen.

    Gibt es im Sicherheit Log keinen Eintrag für das Anmelden des Gast Benutzerkontos? Dort sollte auch die IP-Adresse angezeigt werden. Alternativ könntest du den Firewall Log einschalten und da einen Blick werfen, wenn du die Anmeldezeit kennst: http://technet.microsoft.com/de-de/library/cc947815(WS.10).aspx 

    Das System würde ich auch mit dem Sysinternals RootkitRevealer analysieren lassen.

    Falls das ein Produktivsystem ist, wäre meine Empfehlung einen Support Call für das Problem aufzumachen.

    Gruß
    Andrei
    Dienstag, 8. Dezember 2009 12:05
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hallo Markus

    Führe das MSBA Tool aus. Das sollte dir potentielle Sicherheitslücken anzeigen.

    Gibt es im Sicherheit Log keinen Eintrag für das Anmelden des Gast Benutzerkontos? Dort sollte auch die IP-Adresse angezeigt werden. Alternativ könntest du den Firewall Log einschalten und da einen Blick werfen, wenn du die Anmeldezeit kennst: http://technet.microsoft.com/de-de/library/cc947815(WS.10).aspx 

    Das System würde ich auch mit dem Sysinternals RootkitRevealer analysieren lassen.

    Falls das ein Produktivsystem ist, wäre meine Empfehlung einen Support Call für das Problem aufzumachen.

    Gruß
    Andrei
    Dienstag, 8. Dezember 2009 12:05
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden
    Hallo Markus

    gibt es Neuigkeiten zu deinem Problem?

    Gruß
    Andrei
    Freitag, 11. Dezember 2009 11:41
    |
    Moderator