ckateptb 10 Geschrieben 28. Juni 2003 Melden Geschrieben 28. Juni 2003 Hi Leute! hab Problemchen. ich hab ein Web-Rechner (Win2 Adv. Server), auf dem alle Ports (ausser 80) durch Firewall gesperrt sind. Frontpageerweiterungen sind deinstalliert. Hab von MS-Homepage alle möglichen Patchs für IIS + ServicePack 3 installiert. Auf dem System läuft auch MCAfee. Webverzeichnis liegt auf Partition D: Den Crackern ist es doch gelungen die Hauptseite auf dem Web-Server auszutauschen. Weis jemand vielleicht wie, und wie ich mein System schützen kann? bin kein Profi auf diesem Gebiet. Die Web-Seite brauche ich für die Befragung in Rahmen meiner Diplomarbeit. Vielen Dank im Voraus!
substyle 20 Geschrieben 28. Juni 2003 Melden Geschrieben 28. Juni 2003 Was für eine "FireWall" hast du denn am laufen ? subby
ckateptb 10 Geschrieben 28. Juni 2003 Autor Melden Geschrieben 28. Juni 2003 Norton Personal Firewall.
ckateptb 10 Geschrieben 28. Juni 2003 Autor Melden Geschrieben 28. Juni 2003 Mein Problem ist eigentlich, dass ich jetzt bis Montag nichts ändern kann (wg. Wochenende). Von Zuhause aus kann ich auch nicht viel anfangen, weil ich selber alle Ports gesperrt hab (es gibt aber Kerle, die das können) . Wenn ich schon am Montag, die Seite korregiere, wie verhindere ich solche Angriffe dann in Zukunft? Kann ich wirklich am diesen Wochenende nichts mehr machen? Gruss, ckateprb
zuschauer 10 Geschrieben 28. Juni 2003 Melden Geschrieben 28. Juni 2003 Hi ckateptb und willkommen im Board ! Wenn Du jetzt Tipps erwartest, wie Du wie die Cracker auf Deinen Server vor Montag kommst, muß ich Dich enttäuschen. Solchen Support geben wir nicht in diesem Board. Wie Du Deinen Server sicherer machen kannst, hat mullfreak hier beschrieben: http://www.mcseboard.de/showthread.php?s=&threadid=3670&highlight=hard%2A
ckateptb 10 Geschrieben 29. Juni 2003 Autor Melden Geschrieben 29. Juni 2003 Ne, Ne. ist klar. Danke für den Hinweis. Aber: ich bin mir nicht sicher, dass es sich in meinem Fall um DoS-Attacken handelt. Klar, das wäre noch eine wichtige Schützoption für diesen Server. Wieso kommen aber die Leute einfach so auf mein Server und tauschen die Seiten aus (ich meine jetzt, wie ist das technisch möglich) - ist mir immer noch nicht klar. D.h., wenn mir die Ursachen unbekannt sind, kann ich notwendige Gegenmassnahmen nicht durchführen. Trotzdem vielen Dank!
blub 115 Geschrieben 29. Juni 2003 Melden Geschrieben 29. Juni 2003 Hi ck... Hast du das Lockdowntool angewendet? http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/locktool.asp Solltest du tun. Und schau dir dieses Doku an: http://www.microsoft.com/germany/library/xml/technet/download/wsrvsec.doc Cu blub
Necron 71 Geschrieben 29. Juni 2003 Melden Geschrieben 29. Juni 2003 Wesentlich sicherer als der IIS ist der Apache 2.0 Webserver. http://www.apache.org
blub 115 Geschrieben 29. Juni 2003 Melden Geschrieben 29. Juni 2003 @necron, hast du einen Security-Vergleich zwischen beiden Servern? Würde mich interessieren. cu blub
Necron 71 Geschrieben 29. Juni 2003 Melden Geschrieben 29. Juni 2003 Leider nicht, kenne aber jemanden der vorher den IIS als Webserver eingesetzt hat, dem ist genau das gleiche passiert. Ist dann auf Apache umgestiegen und hatte bisher nie wieder so einen Vorfall. @ckateptb Es kann auch sein das die Angreifer es geschafft haben die Firewall zu deaktivieren und so vollen Zugriff auf den Webserver erhalten haben.
ckateptb 10 Geschrieben 29. Juni 2003 Autor Melden Geschrieben 29. Juni 2003 Danke Blub! Werde das unbedingt lesen. IISLockdown-Tool habe ich nicht installiert. habe aber die Konfigurationen, die IISLockdown-Tool bietet, zum Teil manuell gemacht.
ckateptb 10 Geschrieben 29. Juni 2003 Autor Melden Geschrieben 29. Juni 2003 Apache muss gut sein. habe ich auch gehört. Ich kenne mich mit Dem aber überhaupt nicht aus. Wenn sie die Firewall ausser Gefecht gesetzt haben, müssen sie schon irgendein Port benutzt haben. Ich hab auch mein Server vom zuhause aus nach offenen Ports durchscannt. 10 bis 15 waren offen. Ich hab aber alle (ausser 80) gesperrt. Wieso lässt die Firewall so was zu?
solinske 10 Geschrieben 29. Juni 2003 Melden Geschrieben 29. Juni 2003 diese FW ist ja auch nicht dafür degaacht ganze Webserver zu sichern !!! da solltest Du zuerst ran gehen, der Rest kommt von alleine.
Necron 71 Geschrieben 29. Juni 2003 Melden Geschrieben 29. Juni 2003 Original geschrieben von ckateptb Wenn sie die Firewall ausser Gefecht gesetzt haben, müssen sie schon irgendein Port benutzt haben. Ich hab auch mein Server vom zuhause aus nach offenen Ports durchscannt. 10 bis 15 waren offen. Ich hab aber alle (ausser 80) gesperrt. Wieso lässt die Firewall so was zu? Welche 10-15 Ports waren das denn?
ckateptb 10 Geschrieben 29. Juni 2003 Autor Melden Geschrieben 29. Juni 2003 |___ 80 World Wide Web HTTP |___ 81 HOSTS2 Name Server |___ 82 XFER Utility |___ 83 MIT ML Device |___ 389 Lightweight Directory Access Protocol |___ 1002 |___ 1080 Socks |___ 1863 |___ 8080 Standard HTTP Proxy |___ 8088 |___ 11523
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden