Router Log - Angriff auf den WHS?

Die Sicherheit ist wichtiger Bestandteil beim Betrieb eines Home Servers, der mit dem Internet verbunden ist.
benbehr
Foren-Einsteiger
Beiträge: 25
Registriert: 16. Jan 2010, 00:18

Router Log - Angriff auf den WHS?

Beitrag von benbehr » 24. Jan 2010, 00:35

Hi,

ich bin mir nicht ganz sicher ob ich damit hier wirklich richtig bin aber auf einen Versuch lasse ich es einfach mal ankommen. Vielen dank für die Hilfe.

Ich habe vor ein paar tagen einen neuen Router bekommen und heute das erste mal ein ordentliches Log von eben jenem zugesandt bekommen.
Hier das Log:
Mein Router - Netgear WNDR3700 hat geschrieben: [Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 23:47:23
[DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 23:12:44
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 23:02:23
[DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 22:42:48
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 22:17:22
[DoS Attack: RST Scan] from source: 93.37.139.210, port 48128, Saturday, January 23,2010 21:39:05
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 21:32:22
[DoS Attack: RST Scan] from source: 89.211.101.132, port 33919, Saturday, January 23,2010 21:30:05
[WLAN access rejected: incorrect security] from MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 21:15:10
[DoS Attack: RST Scan] from source: 93.37.139.210, port 44642, Saturday, January 23,2010 21:02:53
[DHCP IP: 192.168.1.31] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 21:00:12
[DoS Attack: RST Scan] from source: 93.37.139.210, port 35021, Saturday, January 23,2010 20:58:00
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 20:47:22
[DoS Attack: RST Scan] from source: 93.37.139.210, port 45931, Saturday, January 23,2010 20:38:49
[DoS Attack: RST Scan] from source: 93.37.139.210, port 37618, Saturday, January 23,2010 20:34:17
[DoS Attack: RST Scan] from source: 93.37.139.210, port 48981, Saturday, January 23,2010 20:04:51
[DHCP IP: 192.168.1.31] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 20:04:07
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 20:02:21
[DoS Attack: RST Scan] from source: 93.37.139.210, port 42213, Saturday, January 23,2010 20:00:31
[DoS Attack: RST Scan] from source: 93.37.139.210, port 48089, Saturday, January 23,2010 19:58:46
[DoS Attack: RST Scan] from source: 93.37.139.210, port 48509, Saturday, January 23,2010 19:32:46
[DoS Attack: RST Scan] from source: 93.37.139.210, port 40152, Saturday, January 23,2010 19:31:25
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 19:17:21
[DHCP IP: 192.168.1.41] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 19:05:58
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 17:47:20
[DoS Attack: RST Scan] from source: 92.78.16.84, port 12679, Saturday, January 23,2010 17:33:18
[DHCP IP: 192.168.1.31] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 17:26:45
[LAN access from remote] from 61.186.95.106:60128 to 192.168.1.10:80, Saturday, January 23,2010 17:06:13
[LAN access from remote] from 61.186.95.106:59854 to 192.168.1.10:80, Saturday, January 23,2010 17:06:12
[LAN access from remote] from 61.186.95.106:59607 to 192.168.1.10:80, Saturday, January 23,2010 17:06:12
[LAN access from remote] from 61.186.95.106:59343 to 192.168.1.10:80, Saturday, January 23,2010 17:06:11
[LAN access from remote] from 61.186.95.106:59089 to 192.168.1.10:80, Saturday, January 23,2010 17:06:10
[LAN access from remote] from 61.186.95.106:58816 to 192.168.1.10:80, Saturday, January 23,2010 17:06:09
[LAN access from remote] from 61.186.95.106:58550 to 192.168.1.10:80, Saturday, January 23,2010 17:06:09
[LAN access from remote] from 61.186.95.106:58256 to 192.168.1.10:80, Saturday, January 23,2010 17:06:08
[LAN access from remote] from 61.186.95.106:57985 to 192.168.1.10:80, Saturday, January 23,2010 17:06:07
[LAN access from remote] from 61.186.95.106:57712 to 192.168.1.10:80, Saturday, January 23,2010 17:06:06
[LAN access from remote] from 61.186.95.106:57435 to 192.168.1.10:80, Saturday, January 23,2010 17:06:05
[LAN access from remote] from 61.186.95.106:55994 to 192.168.1.10:80, Saturday, January 23,2010 17:06:01
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 17:02:20
[DHCP IP: 192.168.1.10] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 16:56:24
[LAN access from remote] from 61.186.95.106:57263 to 192.168.1.10:80, Saturday, January 23,2010 16:30:23
[DHCP IP: 192.168.1.31] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 16:28:08
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 15:32:20
[DoS Attack: RST Scan] from source: 92.78.16.84, port 10692, Saturday, January 23,2010 15:15:42
[admin login] from source 192.168.1.20, Saturday, January 23,2010 14:58:39
[DHCP IP: 192.168.1.3] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 14:58:16
[DHCP IP: 192.168.1.21] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 14:57:39
[DHCP IP: 192.168.1.3] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 14:47:36
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 14:47:18
[admin login] from source 192.168.1.20, Saturday, January 23,2010 14:36:28
[DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 14:17:26
[DHCP IP: 192.168.1.20] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 14:16:44
[DHCP IP: 192.168.1.10] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 14:16:38
[admin login failure] from source 192.168.1.41, Saturday, January 23,2010 14:16:25
[DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 14:15:59
[admin login] from source 192.168.1.2, Saturday, January 23,2010 14:14:42
[admin login failure] from source 192.168.1.2, Saturday, January 23,2010 14:14:37
[DHCP IP: 192.168.1.2] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 14:13:23
[DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 14:02:26
[Internet connected] IP address: 130.149.4.20, Saturday, January 23,2010 14:02:11
[DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 13:40:11
[DHCP IP: 192.168.1.31] to MAC address xx:xx:xx:xx:xx:xx, Saturday, January 23,2010 13:40:03
[DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 13:39:57
[Time synchronized with NTP server] Saturday, January 23,2010 12:39:42
[Initialized, firmware version: V1.0.4.49] Saturday, January 23,2010 12:39:42
Für mich sieht vieles davon alles andere als nett aus. Zwei Sachen machen mir dabei besonders Gedanken.

1) [LAN access from remote] from 61.186.95.106:58256 to 192.168.1.10:80, Saturday, January 23,2010 17:06:08 usw.

Wenn man "whois 61.186.95.106" ausführt landet man bei "Asia Pacific Network Information Centre". Und mit denen habe ich eigentlich nichts zu tun. Kann ich aus dem WHS irgendwie herausbekommen was sie auf dem Server gemacht haben? Ich hoffe ja das sie nur diese Acer Seite gesehen haben und dann nicht weiter gekommen sind.

2) [DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 14:02:26 oder
[DoS Attack: RST Scan] from source: 92.78.16.84, port 10692, Saturday, January 23,2010 15:15:42

Muss ich mir deshalb sorgen machen?

Allgemein:
Kann es sein das wer auch immer über xxx.homeserver.com auf mich aufmerksam geworden ist? Würdet ihr mir raten einen alternativen service für Remot zu griffe zu nutzen?

Danke für die Hilfe.
Ben

Benutzeravatar
Nobby1805
Moderator
Beiträge: 21013
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: Router Log - Angriff auf den WHS?

Beitrag von Nobby1805 » 24. Jan 2010, 10:06

Da hat jemand einen Scan gemacht ... ich vermute aber, dass das nichts mit deiner xx.homeserver.com zu tun hat sondern eher dass dein IP-Bereich gerade "dran war" ...

Schau doch mal auf dem WHS nach was zeitgleich dort vom IIS gelogged worden ist
WHS: Acer H340 mit 2x 1 TB (WD10EAVS), 2x 2 TB (WD20EARS), PP3+UR2
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 1909
1 Lüfterlos fürs Wohnzimmer, Intel Celeron D 1900, 4 GB, 240 GB, Win 10 Pro x64 1909
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 1903
1 Sony Vaio EB 2H4E, Win7 Home Prem. x64 (bleibt auf W7 weil Sony keine W10-Grafiktreiber anbietet :cry: )
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 1803


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur

benbehr
Foren-Einsteiger
Beiträge: 25
Registriert: 16. Jan 2010, 00:18

Re: Router Log - Angriff auf den WHS?

Beitrag von benbehr » 24. Jan 2010, 10:45

Hi,

also ich bin mir nicht sicher of ich an der richtigen stelle nach gesehen habe. Kann ich das ISS Log über den Event Viewer einsehen?

Wenn ja steht da nichts drin was Zeitlich passen würde. Daher denke ich eher das ich auf dem Holzweg bin. Leider habe ich sonst nichts in der Richtung gefunden. Wo kann ich das Log den finden?

Danke,
Ben

Benutzeravatar
Nobby1805
Moderator
Beiträge: 21013
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: Router Log - Angriff auf den WHS?

Beitrag von Nobby1805 » 24. Jan 2010, 11:00

benbehr hat geschrieben:also ich bin mir nicht sicher of ich an der richtigen stelle nach gesehen habe. Kann ich das ISS Log über den Event Viewer einsehen?
Nein.
C:\WINDOWS\system32\LogFiles\W3SVC1 bzw. C:\WINDOWS\system32\LogFiles\W3SVC2
WHS: Acer H340 mit 2x 1 TB (WD10EAVS), 2x 2 TB (WD20EARS), PP3+UR2
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 1909
1 Lüfterlos fürs Wohnzimmer, Intel Celeron D 1900, 4 GB, 240 GB, Win 10 Pro x64 1909
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 1903
1 Sony Vaio EB 2H4E, Win7 Home Prem. x64 (bleibt auf W7 weil Sony keine W10-Grafiktreiber anbietet :cry: )
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 1803


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: Router Log - Angriff auf den WHS?

Beitrag von sTunTe » 24. Jan 2010, 11:05

Hallo Ben.

Edit: Da war Norbert schneller....

Unter
C:\WINDOWS\system32\LogFiles\W3SVC1
und
C:\WINDOWS\system32\LogFiles\W3SVC2
findest Du die Logfiles der beiden WHS-Webseiten.

Über solche "Angriffe" muss man sich nicht wundern und man braucht auch keine Angst zu bekommen.
Im Normalfall sind das (wie Norbert schon sagte) harmlose Scanversuche irgendwelcher Scriptkiddies.

Hier mal ein Beipiel:

Code: Alles auswählen

2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /pma/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /phpMyAdmin/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /mysql/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /admin/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /dbadmin/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /p/m/a/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /myadmin/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /php-my-admin/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /PHPMYADMIN/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-15 13:19:30 W3SVC1 192.168.1.1 GET /phpmyadmin/config/config.inc.php p=phpinfo(); 80 - 200.18.10.2 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
Hier war ganz offensichtlich jemand auf der Suche nach einem ungeschützten SQL-Server... :roll:

Gruß
sTunTe

benbehr
Foren-Einsteiger
Beiträge: 25
Registriert: 16. Jan 2010, 00:18

Re: Router Log - Angriff auf den WHS?

Beitrag von benbehr » 24. Jan 2010, 12:12

Ok, die Log files habe ich jetzt gefunden. Sie hören aber leider beide um ca. 15 Uhr auf. Die nächsten Einträge sind dann erst vom nächsten Tag.
W32SVC1 hat geschrieben: #Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-01-23 00:00:14
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2010-01-23 00:00:14 W3SVC1 192.168.1.10 POST /Remote/logon.aspx ReturnUrl=%2fremote%2fDefault.aspx 443 - 130.149.216.112 Mozilla/5.0+(Macintosh;+U;+Intel+Mac+OS+X+10.6;+en-US;+rv:1.9.1.6)+Gecko/20091201+Firefox/3.5.6 302 0 0
2010-01-23 00:00:14 W3SVC1 192.168.1.10 GET /remote/error.aspx aspxerrorpath=/Remote/logon.aspx 443 - 130.149.216.112 Mozilla/5.0+(Macintosh;+U;+Intel+Mac+OS+X+10.6;+en-US;+rv:1.9.1.6)+Gecko/20091201+Firefox/3.5.6 302 0 0
2010-01-23 00:00:14 W3SVC1 192.168.1.10 GET /Remote/logon.aspx
[...]
2010-01-23 15:07:10 W3SVC1 192.168.1.10 GET /p/m/a/config/config.inc.php p=phpinfo(); 80 - 61.186.95.106 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-23 15:07:10 W3SVC1 192.168.1.10 GET /config/config.inc.php p=phpinfo(); 80 - 61.186.95.106 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-23 15:07:10 W3SVC1 192.168.1.10 GET /PHPMYADMIN/config/config.inc.php p=phpinfo(); 80 - 61.186.95.106 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-23 15:07:10 W3SVC1 192.168.1.10 GET /db/config/config.inc.php p=phpinfo(); 80 - 61.186.95.106 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-23 15:07:10 W3SVC1 192.168.1.10 GET /pma/config/config.inc.php p=phpinfo(); 80 - 61.186.95.106 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2010-01-23 15:07:10 W3SVC1 192.168.1.10 GET /phpMyAdmin/config/config.inc.php p=phpinfo(); 80 - 61.186.95.106 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
und
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-01-23 00:44:48
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2010-01-23 00:44:48 W3SVC2 127.0.0.1 GET /EnrollId/Id.aspx q=1231151793 55000 - 127.0.0.1 - 200 0 0
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-01-23 11:19:52
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2010-01-23 11:19:52 W3SVC2 192.168.1.10 GET /ClientFiles.aspx q=1264245544 55000 - 192.168.1.5 Mozilla/4.0+(compatible;+Win32;+WinHttp.WinHttpRequest.5) 200 0 64
2010-01-23 11:19:52 W3SVC2 192.168.1.10 GET /ClientFiles.aspx q=1264245580 55000 - 192.168.1.5 Mozilla/4.0+(compatible;+Win32;+WinHttp.WinHttpRequest.5) 200 0 0
2010-01-23 11:19:53 W3SVC2 192.168.1.10 HEAD /setup/setup.exe - 55000 - 192.168.1.5 Microsoft+BITS/7.5 200 0 0
2010-01-23 11:19:53 W3SVC2 192.168.1.10 HEAD /setup/WHSConnector.msi - 55000 - 192.168.1.5 Microsoft+BITS/7.5 200 0 0
2010-01-23 11:19:53 W3SVC2 192.168.1.10 HEAD /setup/WHSConnectorInstall.exe - 55000 - 192.168.1.5 Microsoft+BITS/7.5 200 0 0
2010-01-23 11:19:53 W3SVC2 192.168.1.10 HEAD /setup/WHSConnector_x64.msi - 55000 - 192.168.1.5 Microsoft+BITS/7.5 200 0 0
[...]
2010-01-23 13:01:28 W3SVC2 192.168.1.10 POST /Enroll/Enroll.aspx - 56000 ASPIREHOME\Administrator 192.168.1.3 Mozilla/4.0+(compatible;+Win32;+WinHttp.WinHttpRequest.5) 200 0 0
2010-01-23 13:01:31 W3SVC2 192.168.1.10 GET /EnrollId/Id.aspx q=1264251678 55000 - 192.168.1.3 Mozilla/4.0+(compatible;+Win32;+WinHttp.WinHttpRequest.5) 200 0 0
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-01-23 14:38:34
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2010-01-23 14:38:33 W3SVC2 127.0.0.1 GET /EnrollId/Id.aspx q=1231151793 55000 - 127.0.0.1 - 200 0 0
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-01-23 15:02:14
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2010-01-23 15:02:14 W3SVC2 127.0.0.1 GET /EnrollId/Id.aspx q=1231151793 55000 - 127.0.0.1 - 200 0 0
2010-01-23 15:04:03 W3SVC2 127.0.0.1 GET /EnrollId/Id.aspx q=1231151793 55000 - 127.0.0.1 - 200 0 0
Ich hoffe diese Auszüge reichen.

Danke,
Ben

Benutzeravatar
NobisSoft
Foren-Mitglied
Beiträge: 462
Registriert: 11. Jan 2010, 10:10
Wohnort: Im kühlen Norden
Kontaktdaten:

Re: Router Log - Angriff auf den WHS?

Beitrag von NobisSoft » 25. Jan 2010, 10:33

benbehr hat geschrieben:Hi,

ich bin mir nicht ganz sicher ob ich damit hier wirklich richtig bin aber auf einen Versuch lasse ich es einfach mal ankommen. Vielen dank für die Hilfe.

Ich habe vor ein paar tagen einen neuen Router bekommen und heute das erste mal ein ordentliches Log von eben jenem zugesandt bekommen.

Für mich sieht vieles davon alles andere als nett aus. Zwei Sachen machen mir dabei besonders Gedanken.

1) [LAN access from remote] from 61.186.95.106:58256 to 192.168.1.10:80, Saturday, January 23,2010 17:06:08 usw.

Wenn man "whois 61.186.95.106" ausführt landet man bei "Asia Pacific Network Information Centre". Und mit denen habe ich eigentlich nichts zu tun. Kann ich aus dem WHS irgendwie herausbekommen was sie auf dem Server gemacht haben? Ich hoffe ja das sie nur diese Acer Seite gesehen haben und dann nicht weiter gekommen sind.

2) [DoS Attack: ACK Scan] from source: 81.169.145.103, port 993, Saturday, January 23,2010 14:02:26 oder
[DoS Attack: RST Scan] from source: 92.78.16.84, port 10692, Saturday, January 23,2010 15:15:42

Muss ich mir deshalb sorgen machen?

Allgemein:
Kann es sein das wer auch immer über xxx.homeserver.com auf mich aufmerksam geworden ist? Würdet ihr mir raten einen alternativen service für Remot zu griffe zu nutzen?

Danke für die Hilfe.
Ben
...Hallo Ben, mein Homeserver war gerade mal 18 Stunden online, da hatte ich schon zwei Einträge über Hackversuche, einmal aus Russia und einmal aus Polen. Es werden immer einige Schwachmaten versuchen auf deinen Homeserver zu kommen. Ich konnte auch eine Nacht nicht schlafen, weil ich mir Gedanken darüber gemacht haben. Zumal ich auch aus Erfahrung weiß, das die deutsche Justiz im Bereich Computerkriminalität hier ziemlich im Dunkeln steht. Doch andererseits denke ich wenn du alles über Freigaben laufen läßt bis du auf der sicheren Seite, zunächst einmal.
WHS: 1x HP MediaSmart EX470-AMD64LE1640 2,7GHz-2GB RAM (4xPlatten a 500GB) PP3 mit WHSv1 (Clientsicherung)
NAS: 1x HP DataVault 510-AMD64LE1640 2,7GHz-2GB RAM (4xPlatten a 500GB) mit OpenMediaVault (Datensicherung/Backup)
BackUp: 3x HP MediaVault Pro mv5020/5120 (je 2xPlatten a 1TB) Raid1/Zusammenschluss (Datenbearbeitung)
Netzwerk: 2x HP Envy6, 2x HP Mini 300, 2x HP Elitepad900
Notstromsicherung: HP USV750, HP USV1500
Betriebsysteme: WinVista,Win8.1Pro,Win10Pro,Linux Mint17LTS,Android
WLAN: 2x GalaxyTab2 10.1, GalaxyTab7.7, GalaxyS5Mini, GalaxyS7Edge
Drucker: HP Officejet 5610, HP Laserdrucker CM1312NFI, HP Photosmart 475, Brother QL500
Zubehör: 3x IP Webcam, PS3, 2x PSP/PSVita und PSPGo, Wetterstation WS-2300, Lametric Time

Benutzeravatar
NobisSoft
Foren-Mitglied
Beiträge: 462
Registriert: 11. Jan 2010, 10:10
Wohnort: Im kühlen Norden
Kontaktdaten:

Re: Router Log - Angriff auf den WHS?

Beitrag von NobisSoft » 26. Jan 2010, 11:41

Hallo, es gibt auch witzige Angreifer...(siehe Bild)
WHSCode.jpg
Witziger Angreifer...
WHSCode.jpg (4.17 KiB) 5419 mal betrachtet
WHS: 1x HP MediaSmart EX470-AMD64LE1640 2,7GHz-2GB RAM (4xPlatten a 500GB) PP3 mit WHSv1 (Clientsicherung)
NAS: 1x HP DataVault 510-AMD64LE1640 2,7GHz-2GB RAM (4xPlatten a 500GB) mit OpenMediaVault (Datensicherung/Backup)
BackUp: 3x HP MediaVault Pro mv5020/5120 (je 2xPlatten a 1TB) Raid1/Zusammenschluss (Datenbearbeitung)
Netzwerk: 2x HP Envy6, 2x HP Mini 300, 2x HP Elitepad900
Notstromsicherung: HP USV750, HP USV1500
Betriebsysteme: WinVista,Win8.1Pro,Win10Pro,Linux Mint17LTS,Android
WLAN: 2x GalaxyTab2 10.1, GalaxyTab7.7, GalaxyS5Mini, GalaxyS7Edge
Drucker: HP Officejet 5610, HP Laserdrucker CM1312NFI, HP Photosmart 475, Brother QL500
Zubehör: 3x IP Webcam, PS3, 2x PSP/PSVita und PSPGo, Wetterstation WS-2300, Lametric Time

MS6800
Foren-Mitglied
Beiträge: 66
Registriert: 23. Jul 2010, 14:46

Re: Router Log - Angriff auf den WHS?

Beitrag von MS6800 » 11. Mai 2011, 14:21

Hallo,

ist das eine Hack versuch ?

Der Versuch kommt aus den USA --> http://www.ip-adress.com/whois/66.143.207.19

also denke ich mal das es ein Versuch war oder etwa nicht ?


MFG
MS6800
Dateianhänge
112211.PNG
112211.PNG (2.42 KiB) 4789 mal betrachtet
Windows Server 2011 Standart
Eigenbau Server
3X 2 TB , 1 X 650 GB / Raid 10
2 X APC Back UPS PRO USV 1500VA

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: Router Log - Angriff auf den WHS?

Beitrag von sTunTe » 11. Mai 2011, 17:10

Hallo.

Ich würde soetwas nicht als "Hackversuch" einstufen.
Der "Angreifer" versucht hier eine php-Seite aufzurufen... und der WHS bzw. IIS unterstützt in seiner Grundkonfiguration erstmal kein php.
d.h. der "Angreifer" erkennt nicht einmal, das es sich hier um ein Windowssystem handelt.
Ein Scriptkiddie halt. ;)

Gruß
sTunTe

MS6800
Foren-Mitglied
Beiträge: 66
Registriert: 23. Jul 2010, 14:46

Re: Router Log - Angriff auf den WHS?

Beitrag von MS6800 » 11. Mai 2011, 17:26

a okay da bin ich ja beruigt habe gleich mal die ip geblockt :D, bringt das überhaupt was ?
Windows Server 2011 Standart
Eigenbau Server
3X 2 TB , 1 X 650 GB / Raid 10
2 X APC Back UPS PRO USV 1500VA

MS6800
Foren-Mitglied
Beiträge: 66
Registriert: 23. Jul 2010, 14:46

Re: Router Log - Angriff auf den WHS?

Beitrag von MS6800 » 12. Mai 2011, 17:28

Der Versucht es jede Stunde sich auf meinem Server einzuloggen , obwohl ich seine IP Geblockt habe ?. Was kann ich denn machen das das aufhört ? .
Windows Server 2011 Standart
Eigenbau Server
3X 2 TB , 1 X 650 GB / Raid 10
2 X APC Back UPS PRO USV 1500VA

Benutzeravatar
Nobby1805
Moderator
Beiträge: 21013
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: Router Log - Angriff auf den WHS?

Beitrag von Nobby1805 » 12. Mai 2011, 17:59

Bist du sicher, dass das nicht der dynDNS-Dienst von MS ist ...
WHS: Acer H340 mit 2x 1 TB (WD10EAVS), 2x 2 TB (WD20EARS), PP3+UR2
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 1909
1 Lüfterlos fürs Wohnzimmer, Intel Celeron D 1900, 4 GB, 240 GB, Win 10 Pro x64 1909
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 1903
1 Sony Vaio EB 2H4E, Win7 Home Prem. x64 (bleibt auf W7 weil Sony keine W10-Grafiktreiber anbietet :cry: )
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 1803


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: Router Log - Angriff auf den WHS?

Beitrag von sTunTe » 12. Mai 2011, 18:35

@Norbert:
Da liegst Du falsch. ;)
Die IP gehört zu einem ISP mit Sitz in Arkansas und nennt sich "Dlux Information Systems".
Anhand der registrierten IPs scheint das ein recht kleiner ISP zu sein... bzw. nur ein Reseller, da die Adressen eigentlich zu AT&T gehören.

Da ich kein php Experte bin, kann ich nur raten was sich hinter dem Aufruf der o.g. Seite verbergen könnte... :?:
Wenn die IP aber im Router gesperrt ist, kommt der Angreifer/Bot/was_auch_immer nicht auf den Server.
Und selbst wenn...
Außer der Errorpage 404 des IIS bekommt derjenige nichts zu sehen.

Ich würde einfach mal den ISP anschreiben und um Aufklärung bitten.
Auf der Webseite des ISPs (http://dluxlink.com/) unter "Feedback" einfach mal anfragen was es mit dieser IP bzw. dem dauernden Aufrufen der php-Seite auf sich hat.

Edit: Sorry... Direkt unten auf der Webseite findest Du auch Mailadressen.Die erste sollte für eine Anfrage die richtige sein.

Gruß
sTunTe

MS6800
Foren-Mitglied
Beiträge: 66
Registriert: 23. Jul 2010, 14:46

Re: Router Log - Angriff auf den WHS?

Beitrag von MS6800 » 12. Mai 2011, 19:12

danke, dennen werde ich aber eine Schöne e-mail schreiben

MFG
MS6800
Windows Server 2011 Standart
Eigenbau Server
3X 2 TB , 1 X 650 GB / Raid 10
2 X APC Back UPS PRO USV 1500VA

Antworten