Server gehackt

[Zauberer 10]

hallo,

 

ich habe mir einen server angschafft um ihn als gameserver zu nutzen. bis jetzt hatte ich auch keine weitere probleme.

nun wollte ich den server mal etwas aufräumen, defrag usw und schaue da ich lese DVD, DIVX und stellte fest das statt 130GB freier plattenspeicher nur noch 25GB frei waren. nach langen suchen habe ich auf der platte dann den ordner gefunden:

 

D:\System Volume Information\_restore{997BC8BE-EDC5-4959-AA51-AE2C6B48163A}

 

dort waren über 100GB filme drauf welche ich sofort löschte. doch nun geht der spaß von vorne los. wie kommt da einer auf meinen server?

 

nun ist das problem das ich mich mit server nicht so auskenne, also sicherheitsrichtlinien usw. sollte ja auch nur als gameserver dienen und nicht als tauschbörse... :-(

 

ich habe kein IIS installiert nur einen FTP-server von filezilla. dort ist aber kein account den ich nicht angelgt hätte und in der log steht auch nix von einem fremdzugriff. zumindestens habe ich nix gelesen.

 

wie finde ich raus wie der .... das immer nur macht?

[Lord88 10]

Hi,

 

hat Du eine Hardwarefirewall (z.B. am Router)?

 

Ist die Windows Firewall aktiv?

 

Welche Ports hast Du geöffnet?

 

Welches Betriebssystem?

 

Lord

[Rudman 10]

ISt der System Volume Ordner so groß?

Darin werden die Wiederherstellungspunkte gespeichert!

 

geh in die Systemeigenschaften->Systemwiederherstellung->einstellung, dort kannst du die GRöße dieses Ordners ändern, oder du deaktivierst die Option, der Systemwiederherstellung.

[Zauberer 10]

also es ist ein windows2003 server.

habe nur die windows eigene firewall. ist ein server von strato.

ports habe ich offen 8000, 29700 (listenport für gameserver), 5000 - 514 (gameserver), 21, 88, dann TS, server web admin und das ganze nochmal als ssl, Microsoft Automated Deployment Services (was auch immer das ist)

so mehr ist es nicht

[Zauberer 10]

ISt der System Volume Ordner so groß?

Darin werden die Wiederherstellungspunkte gespeichert!

 

geh in die Systemeigenschaften->Systemwiederherstellung->einstellung, dort kannst du die GRöße dieses Ordners ändern, oder du deaktivierst die Option, der Systemwiederherstellung.

 

 

komisch das finde ich nicht...

[nerd 28]

Hi,

 

um sicher zu gehen, dass von aussen keiner auf deinen Server kommt würde ich mir an deiner Stelle vom BSI BOSS 2 downloaden und den Server vollständig scannen - damit kannst du evtl. vorhandenen Backdoors u. U. finden.

 

Gruß

[xcode-tobi 10]

Ich habe kein IIS installiert nur einen FTP-server von filezilla

???? warum das denn???

[StefanWe 14]

weil er entweder nciht auf den unsicheren IIS setzen möchte oder es nicht wusste das er IIS nen ftp benutzt oder weil er irgendeinen anderen für ihn wichtigen Grund hatte ?! :D

[xcode-tobi 10]

also wenn ich sowas schon mache, dann eben auch mit ner firewal - in diesem fall wohl mit dem ISA...

[WSUSPraxis 48]

@xcode-tobi

 

Das ist ein Mietserver von Strato............

 

Und wenn es ein W3K Webedition ist läuft kein ISA und auch sonst ist es lizentechnisch nicht zu bezahlen.

[Zauberer 10]

also es ist kein iis oder apache drauf, weil der server nur als gameserver dient. filezilla brauche ich nur um neue maps hoch zu laden. muss ich ja nicht mit dem server laden. ich werde nun mal den portscanner laden, wenn er kostenlos ist und den server scannen. dann schau ich mal was der so findet.

und danke für eure schnellen antworten. melde mich sicher danach wieder.

[xcode-tobi 10]

@xcode-tobi

 

Das ist ein Mietserver von Strato............

 

Und wenn es ein W3K Webedition ist läuft kein ISA und auch sonst ist es lizentechnisch nicht zu bezahlen.

 

gut, ok, konnte ja keiner wissen...

[Zauberer 10]

ok habe den scan mal gemacht. sollte mal english lernen. ok das sagt er

wird als warnung angezeigt:

 

 

 

ms-wbt-server (3389/tcp)

 

 

Synopsis :

 

It may be possible to get access to the remote host.

 

 

 

Description :

 

The remote version of Remote Desktop Protocol Server (Terminal Service) is

vulnerable to a man in the middle attack.

 

An attacker may exploit this flaw to decrypt communications between client

and server and obtain sensitive information (passwords, ...).

 

 

 

 

Solution:

 

Force the use of SSL as a transport layer for this service.

 

 

 

See Also :

 

http://www.oxid.it/downloads/rdp-gbu.pdf

How to secure remote desktop connections using TLS/SSL based authentication

 

 

 

Risk Factor :

 

Medium / CVSS Base Score : 6

(AV:R/AC:H/Au:NR/C:P/A:P/I:P/B:N)

CVE : CVE-2005-1794

BID : 13818

Other references : OSVDB:17131

Plugin ID : 18405

 

 

 

 

 

Port is open

Plugin ID : 11219

 

 

 

 

Synopsis :

 

The Terminal Services are enabled on the remote host.

 

 

 

Description :

 

Terminal Services allow a Windows user to remotely obtain

a graphical login (and therefore act as a local user on the

remote host).

 

If an attacker gains a valid login and password, he may

be able to use this service to gain further access

on the remote host. An attacker may also use this service

to mount a dictionary attack against the remote host to try

to log in remotely.

 

Note that RDP (the Remote Desktop Protocol) is vulnerable

to Man-in-the-middle attacks, making it easy for attackers to

steal the credentials of legitimates users by impersonating the

Windows server.

 

 

 

Solution:

 

Disable the Terminal Services if you do not use them, and

do not allow this service to run across the internet

 

 

 

Risk Factor :

 

None / CVSS Base Score : 0

(AV:R/AC:L/Au:NR/C:N/A:N/I:N/B:N)

BID : 3099, 7258

Plugin ID : 10940

[Zauberer 10]

ach ja den habe ich übersehen aber finde ihn auch nicht in der windows firewall:

 

unknown (49361/tcp)

 

Port is open

Plugin ID : 11219

[Zauberer 10]

habe in der firewall mal alle ports geshlossen auser den für den Remotedesktopverbindung. der scanner sagt es seien aber noch 15 offene ports da. wie finde ich die ports wenn die nicht in der firewall stehen? und wie schliese ich die?