Ständige Zugriffe vom IUSR_Homeserver

[homeadmin]

Hilfe, ich glaub, mein Homeserver muss ständige Angriffe aus dem Internet erleiden.
Wenn ich in die Ereignissanzeige schaue, stehen ständige erfolgreiche Anmeldungen von IUSR_Homeserver und nach kurzer Zeit wieder abmeldungen. Und das schlimme ist, das sich nach diesem Zugriff ein Konto abmeldet, das zwar ein Kennwort hat, aber gar nicht eingeloggt sein konnte. Brauch dringend Tipps, das zu Unterbinden. Da wir einen Router mit eingebauter Firewall und ich noch einen 2003 mit eingeschalteter Firewall, der die Verbindungen überbrückt, kann ich mir aber fast nicht vorstellen, das da irgendein Hacker sich die Mühe macht, meinen Home Server zu hacken. Der Spuck hört aber auf, sobald ich den Remotezugriff deaktiviere. Da ich diese Funktion aber dringend in der Schule benötige, muss ich sie angeschaltet lassen. BRAUCHE SCHNELLE HILFE!!!

[Nobby1805]

Was heißt dauernd ?
Poste mal nen Screenshot (oder schick ihn pern PN)
Bei mir sind dort auch jede Menege Einträge, das liegt an der Art wie der WHS mit den Shares arbeitet

[homeadmin]

Hab dir ma nen Screenshot per PN geschickt.

[sTunTe]

Ich weiß zwar nicht was dieser PN-Quatsch soll... aber nun gut.

@homeadmin:
Schau Dir mal folgenden Link an. Falls Du solche oder ähnliche Einträge findest, kann ich Dich beruhigen.
viewtopic.php?p=41815#p41815


Gruß
sTunTe

[Nobby1805]

Ich weiß zwar nicht was dieser PN-Quatsch soll... aber nun gut.

Es gibt schon die eine oder andere Info, die ich für meinen Teil nicht öffentlichen machen möchte

@homeadmin:
Schau Dir mal folgenden Link an. Falls Du solche oder ähnliche Einträge findest, kann ich Dich beruhigen.
viewtopic.php?p=41815#p41815

Der post bezieht sich auf einen IIS-Logfile, die ursprüngliche Frage auf den Event-Log

[sTunTe]

Hallo Nobby.

Es gibt schon die eine oder andere Info, die ich für meinen Teil nicht öffentlichen machen möchte

Jetzt verrat mir doch mal, welche brisanten Infos dort zu finden sind, die unter gar keinen Umständen hier stehen dürfen?

Der post bezieht sich auf einen IIS-Logfile, die ursprüngliche Frage auf den Event-Log

Ist schon richtig.
Der IUSR_xxx wird aber für verschiedene Dienste gebraucht.
U.A. auch für den IIS.
Wenn also Angriffe von außen stattfinden, wäre das IIS-Log-File die interessantere Quelle.


@homeadmin:
Wie bereits erwähnt sind An-/Abmeldungen des IUSER_xxx ganz normal.


Gruß
sTunTe

[homeadmin]

thx für die schnellen Antworten. Ich bin immer über die Ereignisanzeige von Windows reingegangen und nicht über den Home Server Toolkit. Aber, wenn ihr meint, das sind nur irgendwelche Skriptkiddies, die den IIS versuchen zu hacken, aber keinen Erfolg haben, bin ich schon ein wenig beruhigt, vor allem weil sie noch an meinem Monsterpasswort vorbei müssen

[sTunTe]

Hallo homeadmin.

Wie schon gesagt: Der IUSR_xxx ist kein Anzeichen dafür, dass jemand versucht den WHS zu hacken.
Du kannst in der Ereignisanzeige auch einen Filter (Ansicht Filter) benutzen, der Dir nur die fehlerhaften Einträge (Fehler, Fehlerüberwachung) anzeigt.
Denn es ist ziemlich unwahrscheinlich, dass ein "Fremder" gleich beim ersten Versuch das richtige Passwort erwischt.
Und solltest Du entsprechende Ports nicht freigegeben haben (z.B. RDP über WAN) kannst Du diesen Zugriff von außen sowieso vergessen.

Meistens wird ohnehin "nur" der Webserver angegreifen.
Schau Dir deshalb die Logflies des IIS an.

Und zum Thema Passwort:
viewtopic.php?p=18690#p18690


Gruß
sTunTe