Kompromitierter Windows 2003 Server

F

FLAGSHiP

0
Servus,

ich habe einen Windows 2003 (SP2) Root-Server gemietet, welchen ich nichtkomerziell privat betreibe. Gestern Abend gegen 16:00 wurde dieser Server auf eine von mir noch nicht nachvollziehbare weise kompromitiert. Diese Kompromitierung macht sich dadurch bemerkbar, dass ein zusätzlicher (sechster) svchost läuft, welcher offensichtlich eine Tarnung für einen Hacker Defender zu sein scheint, außerdem ein FTP-Servertool. Nach einigem Suchen habe ich auch die Schädlinge an sich (also die Executables) ausfindig und unschädlich gemacht.

Weiterhin wurde ein weiteres Benutzerkonto, offensichtlich per script, angelegt und der installierte Antivirus deaktiviert (Antivir für Server in aktuellster Version).

Mein Problem ist, dass ich zwar ein wenig Ahnung von Rechnern und dessen Absicherung an sich habe, allerdings ist ein Root-Server ein anderes Kaliber.

Das Säubern des Servers bekomme ich alleine hin, allerdings benötige ich Hilfe, bei der Absicherung gegen einen erneuten Einbruch. Welche Dienste sind bei einer Windows 2003 Maschiene "out-of-box" sicherheitskritisch und sollten unbedingt deaktivert werden? Was für Sicherheitsrichtlienen sind unbedingt zu setzen/verändern?

Wichtig ist, dass der Server per RDP administriert wird und diese Funktionalität selbstverständlich undbedingt erhalten bleiben muss.

Danke für die Denkarbeit im Voraus...

FLAGSHiP

J.H.
 
Damit du in Zukunft mal nachvollziehen kannst, wie ein Angreifer in's System gekommen ist, würde ich dir ein IDS wie Snort empfehlen: http://www.snort.org/ Server ohne IDS zu betreiben finde ich persönlich fahrlässig. Die schlimmsten Angriffe lassen sich damit auch blocken und man kann z.B. die IDS-Logs auf einen anderen Server auslagern, indem man das Logging in einer Datenbank macht. Damit wird es einem Angreifer schwer fallen seine Spuren zu verwischen und man kann nachvollziehen was er gemacht hat. Ausserdem gibt es bestimmt auch für Windows Tools, mit denen man Dateiänderungen überwachen kann. Tripwire z.B. gibt es meines Wissens auch für Windows. Damit lassen sich dann die meisten Schäden wieder rückgängig machen, weil man genau sehen kann welche Dateien im System hinzugefügt oder geändert wurden ohne erstmal einen Virenscanner bemühren zu müssen, der Rootkits u.ä. meist nicht findet.

Allgemein würde ich dir aber zu einem Managed Server raten, wenn du selbst schon der Meinung bist, daß ein Rootserver dich überfordert. Dann kümmern sich Leute darum, die sich damit auskennen.
 
Servus,

danke für die Ratschläge, das IDS klingt vernünftig, allerdings konnte ich bis jetzt noch keine win32 Version von tripwire finden, es gibt aber bestimmt ähnliche Software für Windows.

Ein Managed-Server ist nicht das, was ich will, was ich will, ist mehr über die Absicherung von Windows-Servern zu lernen und nicht die Arbeit einem anderen zu überlassen.

Dass Server angegriffen werden ist ärgerlich, aber nicht ungewöhnlich und da ich den Server als mein Privatvergnügen betreibe, habe ich dadurch keinen finanziellen Schaden und alle Daten sind ordentlich gebackuped.

Ich muss sagen, eigentlich bin ich über den Angriff sogar ein wenig froh (sofern man das so sagen kann...), da er mir aufgezeigt hat, dass der Server wohl doch nicht so sicher ist, wie ich dachte, was mir die Chance gibt, bei der Behebung der Schwachstellen etwas dazuzulernen.

Ich hoffe auf weitere kompetente Antworten...

FLAGSHiP

J.H.
 
Entschuldige, aber deine Einstellung zu Servern kann ich nicht teilen, denn daß dir kein finanzieller Schaden entstehen kann, ist einfach nicht richtig. Die Verwaltung und Absicherung eines Servers lernt man nicht auf einem 100MBitler, sondern auf einem Testrechner, den man schön hinter eine Firewall klemmt und Dokus liest, verschiedene Angriffe ausprobiert und den Rechner versucht dagegen zu sichern. Auf jeden Fall sollte ein "Lern-Server" keine 100MBit-Anbindung zum Internet haben um im Fall einer Kompromittierung den Schaden in Grenzen zu halten.

Ein finanzieller Schaden kann dir ganz schnell entstehen, wenn jemand einen Bot/Trojaner installiert, der von deinem Antivirus nicht erkannt wird und deinen Server z.B. zum Spammen oder zum Verteilen von Warez u.a. illegalen Aktivitäten mißbraucht. Als Eigentümer des Servers trägst du dafür die volle Verantwortung und wenn z.B. ein Firmennetzwerk von deinem Server aus zugespammt wird, dadurch zusätzliche Arbeit in dieser Firma entsteht usw., dann kannst du mit ziemlicher Sicherheit mit einer Anzeige rechnen und das kann dann schnell in die Tausende Euro gehen, wenn der betroffenen Firma auch noch finanzielle Ausfälle z.B. durch DoS-Angriffe o.ä. entstanden sind. Beim Mißbrauch zum Verteilen von Warez, kannst du sogar mit Summen weit über 5000 Euro rechnen.

Nicht umsonst werden Administratoren so gut bezahlt. Schließlich trägt man als Administrator eines oder mehrerer Server auch eine gewisse Verantwortung.

Aber genug der Belehrung... ;)

Zu Tripwire: Die OpenSource-Version scheint es tatsächlich nicht für Windows zu geben, aber Tripwire Enterprise und Tripwire for Servers gibt es für Windows. Und gerade bei einem Windows-Server würde ich mir Sicherheit durchaus etwas kosten lassen. Aber evtl. kann dir jemand auch etwas kostenloses für Windows empfehlen, bin da nicht ganz so bewandert. Definitiv sollte aber kein Server ohne IDS und Datei-Überwachung mit 100MBit am Netz hängen.
 
Original von FLAGSHiP
Welche Dienste sind bei einer Windows 2003 Maschiene "out-of-box" sicherheitskritisch und sollten unbedingt deaktivert werden? Was für Sicherheitsrichtlienen sind unbedingt zu setzen/verändern?
Zum Vergrößern anklicken....


Um mal eines Vorweg zu nehmen, Deine Szenario kann man nicht mit ein paar Sätzen lösen noch nicht einmal mit einigen Metern an Büchern.

Mal ganz kurz ein paar Grundlegende Dinge.
Beim Administrator gilt ganz klar die Highlander Regel ? ES KANN NUR EINEN GEBEN ?

Somit gilt für Dich in der Gruppe der Administratoren LOCAL / Domäne sollte es wenn möglich nur einen geben.

Zweitens solltest Du dringend das Konto des Administrators umbenennen, um eine Kompromitierung wesentlich zu erschweren.


Vollansicht z.B. mit ...
Datei admin.GIF
Hochgeladen am Apr 16, 2007
Größe 32.1 KB
Download Datei


Das das System Up- to date ist davon gehe ich mal aus.

Lese mal in der Bücherei um die Ecke die Ausgaben MS Press 70-290 und 70-299 hilfreich ist noch die 70-291 zu überfliegen um die Basics aufzufrischen.

In diesem Sinne

Gruß


PS. Das was Du hören oder lesen möchtest, sind viele viele Bücher, dass kann man nicht so pauschal beantworten :rolleyes:
 
Hallo,
wenn du was über Server-Sicherheit lernen möchtest, wäre ein Honeypot evt. ratsamer, im Bezug auf den Lerneffekt auf alle Fälle. Aber um die Logs zu verstehen, braucht man doch schon ein fundiertes Hintergrundwissen.

Gute Seite dazu: honeynet.org

Besonders die White-Papers sind am Anfang ganz gut, und dann die Challenges sind nützlich, wenn man sich vertiefen möchte auf die Auswertung von Logs.
 
Mahlzeit!

So wie sich Dein Szenario anhört, könnte es durchaus sein, dass ein Intruder bspw. über Port 1433 reingekommen ist. Hierfür gibt es meines Wissens das Tool SQLchk, welches dem Eindringling eine CMD zur Verfügung stellt. Somit könnte er mit dem 'net user'-Befehl einen Adminaccount anlegen, seine FTP.exe z.B. als Dienst starten, Rootkits, Scripte, etc. da geht so einiges, wenn bspw. ein 'weak password' verwendet wurde.

Hört sich für mich nach ner Warez-Geschichte an, mag mich aber auch irren. In diesem Fall geht da dann meistens recht viel Traffic rüber und manche Rootkits sind wie die Pest.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben