✔ Windows-Server2003 vor Hacks schützen! Wie?

[Martin Schaefer]

Viele Hackversuche kommen auch aus dem Ausland. So beispielsweise Brasilien,
ehemalige Ostblockstaaten oder Asien. Diese kannst du schonmal relativ einfach
aussperren und damit vielleicht schon einen Teil deiner Probleme ohne viel Mühe
loswerden.

Aber das nur als ein kleiner Anfangstipp.

Gruß
Martin

 

[thecamillo]

Ein paar Moeglichkeiten:
Alle unnoetigen Dienste deaktivieren
Alle Dienste die nur lokal (Loopback) benoetigt werden vor Zugriffen aus dem LAN schuetzen
Den Server hinter eine Firewall in eine DMZ stellen und die Zugriffe von der Firewall regulieren lassen.

Einer unserer Mitarbeiter meinte gerade, dass wir es so eingerichtet hatten!

Weis sonst noch jemand was gehen könnte?

thecamillo

 

[MCIglo]

Die Dienste, die benötigt werden und laufen (wie z.B. der IIS, Windows selbst usw.) auf den aktuellesten Stand bringen (patchen).

Woran erkennst --grad kommt mir die Frage, ob ich dir überhaupt helfen sollte...-- du, dass jemand auf dem Server war? gibt es detailierte Logfiles oder gar sniffs?

 

[JohannesR]

Gute Frage, was meinst du mit »dubiosen Hacks«? Wovon sprichst du genau?

 

[thecamillo]

Wir haben bereits alles gepatched!

Komischerweise gab es keine Logs oder dergleichen! Wir sind hier ziehmlich

Naja, gesehen hab ichs nachdem auf all unseren Seiten ein "Bild" eingefügt war und im Title der Seite: "hacked by zeus!" stand! Also von den Mitarbeitern wars mit Sicherheit keiner!

thecamillo

 

[JohannesR]

Ein gehacktes System *muss* neu aufgesetzt werden. Einem »gehackten« System kann und darf man nicht mehr trauen.

Als erstes sollte der gesamte Datenbestand gesichert werden und (am besten mit einer Linux-Live-CD) auf Viren, Backdoors etc. geprüft werden. Dann sollte die gesamte Festplatte formatiert und Windows neu installiert werden. Den frischen Rechner unter keinen Umständen in das öffentliche Netz geben, sondern zuerst aus dem lokalen Netz heraus auf den neusten Stand bringen. Dann sollten alle nicht benötigten Services deaktiviert werden - per nmap kann man das ganze checken. Wenn dann alles unnötige deaktiviert wurde, kann der Server wieder ans Netz gehen - bestenfalls hinter einer UNIX/BSD/Linux-Firewall. Services sollten nicht mit Administrator-Rechten laufen, sondern als eigener Nutzer; der Zugriff sollte auf eine möglichst kleine Menge an ausgewählten Menschen beschränkt sein, so kommt potentiell weniger Malware etc. pp. auf den PC.

 

[thecamillo]

Es bringt doch nix, das System neu aufzusetzen, wenn wir noch nicht einmal wissen wie der oder die Zugriff erlangt haben! Es gab weder Logs noch andere Textdateien in denen ein Eindringen von aussen ersichtlich ist, ganz so als hätte man gründlich gerabeitet!

 

[JohannesR]

Wenn eh keine Spuren hinterlassen wurden, bleibt doch eh nichts anderes übrig? Was willst Du tun? Dich vor den kompromitierten PC setzen und schmollen? Ihn am Netz lassen?

 

[TakaBo]

Tja, schon heftig so ein gehacktes System. Offensichtlich waren es keine Skriptkiddies, sonst wären ggf. noch Logdateien übrig geblieben.

Aber vielleicht hilft ja folgender Link für W2K:
http://labmice.techtarget.com/articles/securingwin2000.htm

Was mich wundert ist, daß der oder die Hacker offensichtlich an priviligierte Rechte gekommen sind. Unter BSD kenne ich die Möglickeit Rootzugänge nur direkt am Rechner zuzulassen. Loginversuche als root z.B. über ssh werden gleich geblockt. Sowas sollte es doch auch unter W2K3 geben.

Ein weiteres Problem sind Praktikanten ;-)). Oft hat sich herausgestellt, daß Hacker Praktikas in den Firmen machen, die sie hacken wollen, um so z.B. an Gewohnheiten des Admins bzw. gleich direkt an das Passwort zu kommen.

Gruss TB

 

[Dr Dau]

Hallo!

Ich kann mich Johannes nur anschliessen.
Dass keine Logeinträge vorhanden sind, kann doch eigentlich nur 2 Ursachen haben:
1. der/die brauchten erst garnicht versuchen den Server zu knacken weil sie die entsprechenden Zugangsdaten hatten.
2. der Server wurde geknackt und anschliessend alle Spuren (Logeinträge) über die zuvor fehlgeschlagenen Versuche beseitigt (Adminrechte).

Zu Punkt 1, irgendwo muss eine undichte Stelle sein.
Zu Punkt 2, wenn dass der Fall ist, kannst Du nie wissen was noch gemacht wurde.

Auch wenn es warscheinlich eher wenig bringt, solltet ihr auf jedenfall erstmal die Passwörter ändern (sofern nicht schon geschehen), auch die der User.
Dieses solltet ihr auch in regelmässigen Abständen wiederholen.

Eine Firewall sollte Pflicht sein, ob dies eine UNIX/BSD/Linux Lösung ist oder doch eher die gehobene Variante (z.b. Cisco PIX) ist allerdings eine Kostenfrage.
Mir persönlich langt mein Linux Router.... aber ich habe hier ja auch kein Firmennetz mit evtl. vertraulichen Daten.

Gruss Dr Dau