unberechtigter Zugriff von außen?

Fragen zum Bereich Netzwerk
Antworten
Motorroller
Foren-Einsteiger
Beiträge: 13
Registriert: 15. Jul 2012, 19:49

unberechtigter Zugriff von außen?

Beitrag von Motorroller »

Guten Morgen,

ich habe im Eventvwr gesehen, dass in der Nacht mehrere angeblich erfolgreiche Anmeldungen per RDP am Server erfolgt sind.
Remotedesktopdienste: Die Benutzerauthentifizierung war erfolgreich:

Benutzer: actuser
Domäne:
Quellnetzwerkadresse: 124.205.189.219.
Einen solchen Benutzer habe ich nicht auf dem Server angelegt. Bedeutet diese Meldung auch, dass der Benutzer sich in den Freigaben auf dem Server bewegen konnte? Wie bekommt man so etwas raus? Ich habe keine Lust, dass ein Chinese (zumindest kommt die IP angeblich über einen chinesischen Server) auf meine Daten zugreift.
Benutzeravatar
Nobby1805
Moderator
Beiträge: 21372
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: unberechtigter Zugriff von außen?

Beitrag von Nobby1805 »

Hast du bei dir Application Center Test installiert ? https://msdn.microsoft.com/de-de/librar ... s.71).aspx
Welche ports hast du denn auf deinem Router zum WHS freigegeben ?
WHS:inzwischen abgeschaltet Acer H340 mit 1x 1 TB (WD10EAVS), 3x 2 TB (2 WD20EARS und 1 ST2000DM001), PP3+UR2
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
Motorroller
Foren-Einsteiger
Beiträge: 13
Registriert: 15. Jul 2012, 19:49

Re: unberechtigter Zugriff von außen?

Beitrag von Motorroller »

Nein, habe das nicht installiert. Aber wenn ich das richtig verstehe (mit meinen Englischkenntnissen) wäre es ja möglich, dass jemand anderes einen solchen "Stress-Test" von außen initiiert und schaut, was bei rum kommt.

In meiner Fritz!box waren auf Grund der Einrichtung für einen Remote-Zugriff bzw. von außen die Ports 21, 80 und noch einer freigegeben. Diese 3 Ports bzw. die Konfiguration der Freigabe habe ich in der Fritz!Box vorsorglich gelöscht.
Benutzeravatar
Nobby1805
Moderator
Beiträge: 21372
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: unberechtigter Zugriff von außen?

Beitrag von Nobby1805 »

Motorroller hat geschrieben:Nein, habe das nicht installiert. Aber wenn ich das richtig verstehe (mit meinen Englischkenntnissen) wäre es ja möglich, dass jemand anderes einen solchen "Stress-Test" von außen initiiert und schaut, was bei rum kommt.
dafür müsste aber vorher etwas installiert worden sein und der user eingerichtet ... hast du mal nachgeschaut, ob dieser user wirklich nicht existiert (nicht in der WHS-Verwaltung sondern direkt auf Windows-Ebene)?
In meiner Fritz!box waren auf Grund der Einrichtung für einen Remote-Zugriff bzw. von außen die Ports 21, 80 und noch einer freigegeben. Diese 3 Ports bzw. die Konfiguration der Freigabe habe ich in der Fritz!Box vorsorglich gelöscht.
21 ist FTP (braucht der WHS normalerweise nicht), 80 = HTTP (normaler WHS-WebZugang) ... noch einer ? 443 wäre HTTPS für den WHS-WebZugnag oder 3389, das wäre RDP und sollte nicht freigegeben sein.

Edit: PS der angegebene Link ist bei mir eine deutsche Seite ??
WHS:inzwischen abgeschaltet Acer H340 mit 1x 1 TB (WD10EAVS), 3x 2 TB (2 WD20EARS und 1 ST2000DM001), PP3+UR2
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
Motorroller
Foren-Einsteiger
Beiträge: 13
Registriert: 15. Jul 2012, 19:49

Re: unberechtigter Zugriff von außen?

Beitrag von Motorroller »

Den Benutzer gibt es nicht. Es war ja nicht nur der Benutzername. Es wurden zig Benutzer ausgewiesen. Test1, user, John, david, usw. Daher wurde ich ja stutzig.

Der Link hat bei mir nicht funktioniert. Daher habe ich selbst gegoogelt.

Mich wundert es, dass der Zugriff per RDP überhaupt möglich gewesen sein soll, da ich diese Funktion im Dashboard eigentlich für den Web-Zugriff deaktiviert habe. Der Server hätte also eigentlich gar nicht erreichbar sein sollen. Aber gut.

Die Frage steht immer noch aus, ob ich sehen kann, inwiefern der Login erfolgreich war. Gibt es ein Protokoll, welcher User was gemacht hat?
Benutzeravatar
Nobby1805
Moderator
Beiträge: 21372
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: unberechtigter Zugriff von außen?

Beitrag von Nobby1805 »

Motorroller hat geschrieben:Den Benutzer gibt es nicht. Es war ja nicht nur der Benutzername. Es wurden zig Benutzer ausgewiesen. Test1, user, John, david, usw. Daher wurde ich ja stutzig.
und die waren alle "erfolgreich"?
Der Link hat bei mir nicht funktioniert. Daher habe ich selbst gegoogelt.
ich habe den noch einmal angepasst, war nicht vollständig im Hyperlink
Mich wundert es, dass der Zugriff per RDP überhaupt möglich gewesen sein soll, da ich diese Funktion im Dashboard eigentlich für den Web-Zugriff deaktiviert habe. Der Server hätte also eigentlich gar nicht erreichbar sein sollen. Aber gut.
Wenn RDP weitergelietet wird dann passiert das auf Windows-Lvele und ist unabhängig von den WHS-Funktionen
Die Frage steht immer noch aus, ob ich sehen kann, inwiefern der Login erfolgreich war. Gibt es ein Protokoll, welcher User was gemacht hat?
Nein, leider nicht ... bzw. jein, teilweise, aber nur wenn man es VORHER aktiviert hat :(
Aber wenn du ALLE Weiterleitungsports im Router entfernt hast bist du auf der sicheren Seite
WHS:inzwischen abgeschaltet Acer H340 mit 1x 1 TB (WD10EAVS), 3x 2 TB (2 WD20EARS und 1 ST2000DM001), PP3+UR2
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
Motorroller
Foren-Einsteiger
Beiträge: 13
Registriert: 15. Jul 2012, 19:49

Re: unberechtigter Zugriff von außen?

Beitrag von Motorroller »

Dann werde ich mal sehen, was heute Nacht passiert.

Und erfolgreich sollen die alle gewesen sein, zumindest so, wie es auch oben im ersten Post geschrieben steht, egal welcher Benutzername probiert wurde. Das ist es ja, was mich wundert. Oder aber die Meldung selbst ist irreführend und es wurde lediglich von draußen erfolgreich eine RDP-Verbindung aufgebaut, an der sich aber niemand auf Grund des falschen Nutzernamens bzw. Kennworts anmelden konnte. Deswegen wollte ich ja wissen, ob man sonst noch irgendwo nachsehen kann, wie es nach der versuchten Anmeldung weiter ging.
Benutzeravatar
Nobby1805
Moderator
Beiträge: 21372
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: unberechtigter Zugriff von außen?

Beitrag von Nobby1805 »

Wo genau im Event-Viewer hast du die Meldung denn gefunden ? Wenn ich das bei mir nachvollziehe bekomme ich jeweils in Security-Eventlog eine positive oder negative Meldung die aber ganz anders aussieht :nw
WHS:inzwischen abgeschaltet Acer H340 mit 1x 1 TB (WD10EAVS), 3x 2 TB (2 WD20EARS und 1 ST2000DM001), PP3+UR2
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
Motorroller
Foren-Einsteiger
Beiträge: 13
Registriert: 15. Jul 2012, 19:49

Re: unberechtigter Zugriff von außen?

Beitrag von Motorroller »

Siehst Du, genau das hatte ich gesucht. Wenn ich da rein schaue, werden die Anmeldeversuche als fehlgeschlagen angezeigt wegen falschem Benutzernamen und Passwort. Das war es. Danke.
Antworten