Windows 2K3 Server wurde gehackt

[rkw 10]

Hallo Zusammen,

 

vielleicht kann mir hier jemand einen Tipp geben. Bereits zum zweiten Mal innerhalb weniger Tager wurde ein WebServer von uns gehackt. Der Server dient zum Glück nur zu Testzwecken, aber besorgt sind wir hier trotzdem.

 

Auf dem Server läuft der MS Terminalserver. Also ist natürlich auch das RD verfügbar. Zur Sicherheit haben wir den Namen den Administrators und auch des Gastzuganges geändert. Bei der Anmeldung erscheint der letzte Anmeldename nicht. Die Kennwörter sind so sicher wie möglich. FTP läuft auch auf der Kiste, allerdings nicht der MS FTP. User und Kennwörter sind dort natürlich nicht mit denen des TS identisch. Die W2K3 Firewall ist aktiv. Per Portfilterung lasse ich nur die wirklich benötigten Ports offen.

 

Jetzt ist es zweimal vorgekommen, dass auf einmal ein User Admin bzw. Microsoft mit Adminrechten angelegt wurde. Ich kann aber nirgends eine Lücke entdecken. Die Meldung im Log lautet:

 

Ereignistyp: Erfolgsüberw.

Ereignisquelle: Security

Ereigniskategorie: An-/Abmeldung

Ereigniskennung: 683

Datum: 16.01.2009

Zeit: 12:32:08

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: THUNDER

Beschreibung:

Verbindung der Sitzung mit Winstation abgebrochen:

Benutzername: Admin

Domäne: THUNDER

Anmeldekennung: (0x0,0x418AB889)

Sitzungsname: RDP-Tcp#30

Clientname: PC

Clientadresse: 201.41.245.86

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

 

Die IP kommt aus Brasilien. Der Hacker hat beide Male die Software IMRC gestartet. Offenbar ein Chatprogramm. In der Aplication History des Users Admin finde ich zwei Aufrufe:

 

1. RunDll32.exe.9ccf110c.ini

2. SpsWrapper.exe.9125ed07.ini.inuse

 

Hat jemand eine Idee, wie ich diese Art Angriffe abwehren kann? Ich bin mit meinem Latein am Ende!

 

Besten Dank!:confused:

[NilsK 2.803]

Moin,

 

solche Angriffe setzen meist voraus, dass die Zielmaschine nicht vollständig gegen bekannte Schwachstellen gepatcht ist. Als grundlegende Maßnahme musst du bei einem System, das über das Internet erreichbar ist, also ein schnelles und vollständiges Patchmanagement sicherstellen. Das gilt natürlich auch für alle Applikationen, die auf der Maschine sind.

 

Darüber hinaus hoffe ich, dass ihr die Maschine nach dem ersten Hack vollständig platt gemacht hattet.

 

Wenn ich es richtig verstehe, steht keine separate Firewall vor dem Server? Das wäre schlecht. Ebenso schlecht ist, dass ein Terminalserver direkt ins Web zeigt. Wozu das?

 

Und: Wie sicher sind die Kennwörter wirklich? Sind sie lang und komplex genug? Unterscheiden sie sich von allen anderen Kennwörtern auf anderen Rechnern?

 

Ohne das System direkt zu begutachten, kann man nicht viel Genaueres sagen.

 

Gruß, Nils

[zahni 525]

Welcher FTP-Server ist es denn ?

 

Übrigens halte ich es für ein wenig fahrlässig einen Windowsserver deartig ins Internet zu stellen. Du solltest den Zugriff mindestens über eine externe Firewall absichern. Den Zugriff auf den TS-Server solltest Du über VPN herstellen. Am Besten über Zertifikate.

 

Welcher FTP-Server ist es denn und welche Version ? Was läuft das noch drauf und IP-Ports offen ?

 

Möglichweise ist das Ding auch schon längst verseucht und sollte komplett von virenfreien Datenträgern neu installiert werden. Bedenke auch das Teil, bevor es ans Internet kommt, mit *allen* Updates von Windowsupdate zu versehen

 

Siehe

 

http://www.heise.de/security/F-Secure-Jetzt-neun-Millionen-Windows-PCs-mit-Con****er-Wurm-befallen--/news/meldung/121945

 

 

-Zahni

[rkw 10]

Hallo Nils,

 

besten Dank für die schnelle Antwort. Der Server wird gepatcht, sobald Updates verfügbar sind. Auf dem Server läuft ein Gene6 FTP Server. Dazu sind mir keine aktuellen Lücken bekannt.

Den TS brauche ich zumindest für die Fernwartung. Auf den Rest könnte ich verzichten.

Ich habe mit diversen Tools nach Viren etc. gesucht. Kein Tool (Panda,McAffe...) konnte etwas finden.

 

Kann mann nicht irgendwo ein Log mitlaufen lassen, aus dem ersichtlich ist, wann und wie ein neuer User angelegt wurde? Oder kann man das Anlegen neuer User generell sperren?

 

Kennwörter sind bei mir mindestens 10 Zeichen lang mit diversen Sonderzeichen etc. Mehr geht in der Praxis nicht.

 

Welche weitere Firewall kann man denn bedenkenlos einsetzen?

 

Gruß, Ralph

[NilsK 2.803]

Moin,

 

Dazu sind mir keine aktuellen Lücken bekannt.

 

das heißt ja nicht, dass es keine gibt.

 

Den TS brauche ich zumindest für die Fernwartung.

 

Aber doch bitte nicht ohne Firewall davor. Und nicht nur mit Konto/Kennwort.

 

Ich habe mit diversen Tools nach Viren etc. gesucht. Kein Tool (Panda,McAffe...) konnte etwas finden.

 

Eine Sicherheitslücke muss ja auch kein Virus sein.

 

Kann mann nicht irgendwo ein Log mitlaufen lassen, aus dem ersichtlich ist, wann und wie ein neuer User angelegt wurde? Oder kann man das Anlegen neuer User generell sperren?

 

Das würde dir exakt gar nichts nützen.

 

Kennwörter sind bei mir mindestens 10 Zeichen lang

 

Alles unter 15 Zeichen ist zu kurz.

 

Mehr geht in der Praxis nicht.

 

Quatsch.

 

Gruß, Nils

[zahni 525]

Auch bei dem FTP-Server gab es div. Lücken:

 

9 Results for [gene6]

 

Außerdem wird die Software wohl nicht mehr weiterentwickelt. Letzte Version von 2007.

 

Ich würde den FTP-Server von MS nehmen. Es gibt es jetzt auch eine Version speziell für den IIS7:

 

Microsoft FTP Publishing Service for IIS 7.0 (x86) : Download : The Official Microsoft IIS Site

 

-zahni

[solinske 10]

Entschuldige bitte, aber wenn ein Server 2 x innerhalb weniger Tage gehackt wurde, dann würde ich mir ersthaft Gedanken über das Design der Infrastruktur machen.

 

Server haben nichts im Internet verloren.

Im Netz gibt es genug Material, welche Maßnahmen man zur Veröffentlichung man ergreifen sollte.

 

Firewalls und DMZ sind da unabdingbar. Wie hier bereits erwähnt wurde, sollten TS niemals direkt am Internet hängen.

 

TS mit Zertifikaten geht out of the Box und kostet nicht viel Zeit.

 

Frank´s kleiner Brainpool - Terminalserversessions durch Zertifikate schuetzen.