Eindringversuche in meinem Home Server??

[Sakkone]

Hallo,

ich bin ein relativ neuer Home Server User und hab da mal ne Frage.

Ich habe heute das Add-Inn "Web Logs" installiert. Nach erfolgreicher Installation stellte ich fest, dass unzählige Einträge bereits aufgelistet sind. Bei Klick auf den Button "whois Lookup" erscheint dieInternetseite mit folgendenem Eintrag:
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam

Ist das ein ernst zu nehmender Eindringversuch und wenn ja, wie schütze ich mich davor?

Grüße und besten Dank vorab.
Sakkone

[Nobby1805]

Geh mal auf DNS und schau dir das Ergebnis an ... noch besser: dort dann oben Lookup auswählen und dann Go ...

Diese Rückübersetzungen müssten dir bekannter vorkommen

Ich bekomme übrigens auch den Hinweis auf RIPE, das ist der (ein) Root-DNS für das 79-er Netz

[Sakkone]

Hallo Nobody1805,

um ehrlich zu sein, verstehe ich Deine Antwort nicht so richtig.

"Geh mal auf DNS und schau dir das Ergebnis an ... noch besser: dort dann oben Lookup auswählen und dann Go ...
Diese Rückübersetzungen müssten dir bekannter vorkommen Ich bekomme übrigens auch den Hinweis auf RIPE, das ist der (ein) Root-DNS für das 79-er Netz"

Zum Einen versteh ich die Information nicht die mir angezeigt wird und zum Anderen kommt die mir auch keineswegs bekannt vor. Ich habe mir vorgestellt, dass ich über dieses Tool angezeigt bekomme, wann auf meinen Ordner z.B. -Öffentlich- zugeriffen wurde (vielleicht auch von wem, aber ich möchte es nicht gleich übertreiebn (-:)

Vielen Dank voarb und sorry für meine Unkenntniss!

[Nobby1805]

Hallo Nobody1805,

zum 3. mal in diesem Foerum, das gibt mitr doch sehr zu denken

Zum Einen versteh ich die Information nicht die mir angezeigt wird und zum Anderen kommt die mir auch keineswegs bekannt vor. Ich habe mir vorgestellt, dass ich über dieses Tool angezeigt bekomme, wann auf meinen Ordner z.B. -Öffentlich- zugeriffen wurde (vielleicht auch von wem, aber ich möchte es nicht gleich übertreiebn (-:)

Vielen Dank voarb und sorry für meine Unkenntniss!

t-dialin erinnert dich das nicht an t-online ?
Leider gibt es bei allen Anwendern, die keine eigene IP-Adresse haben keine Möglichkeit heraus zu bekommen wer genau sich bei dir aufgeschaltet hat, bei großen Firmen erkennst du auch nur die Firma, welcher Mitarbeiter es war kann ggf. die Staatsanwaltschaft erfragen wenn es einen Grund dafür gibt

Aber wann auf was zugegriffen wurde ist doch gut sichtbar

[sTunTe]

Hallo Sakkone.

Ich kann Dich beruhigen.
Auf Deinem Screenshot ist lediglich zu sehen, dass irgendwer die Remoteadmin-Seite aufgerufen hat.

Viel lustiger sind z.B. solche Logs, die sich bei meinem WHS finden lassen:

Code: Alles auswählen

2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /catalog/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /store/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /shop/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /zen/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /webshop/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /boutique/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /modules/my-downloads/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /ecommerce/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /onlineshop/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3
2009-07-06 06:42:02 W3SVC1 192.168.1.1 GET /site/admin/login.php - 80 - 94.76.206.200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) 404 0 3

Hier sind irgendwelche Skriptkiddies unterwegs, die mit ihren "Super-Hyper-Hackertools" versuchen, den Webserver zu "hacken"....
Dabei sind diese Halbgaren nicht einmal in der Lage zu erkennen, dass es sich hierbei um einen IIS-Server handelt, auf dem nichtmal PHP zum Einsatz kommt...

Solche und ähnliche "Versuche" habe ich praktisch mehrmals täglich.
Wem's Spaß macht...

Zum Thema Sicherheit hatte ich mal folgende Post verfasst:
viewtopic.php?p=18690#p18690
Lies ihn Dir einmal komplett durch!
Wenn Du ein halbwegs sicheres Passwort verwendest, wirst auch Du wieder ruhig schlafen können...


Gruß
sTunTe

[4711thomas]

Hi sTunTe

wo finde ich das Log file das du da zeigst ??

[Nobby1805]

Hi sTunTe

wo finde ich das Log file das du da zeigst ??

bin zwar nicht sTunTe ... aber das ist der Log des IIS !
C:\WINDOWS\system32\LogFiles\W3SVC1 bzw. C:\WINDOWS\system32\LogFiles\W3SVC2

[4711thomas]

gibt es eine gute freeware die diese logs auswertet, speziell die Anmeldungen .... ??

gruss
thomas

[Nobby1805]

so sähe es mit WHS Toolkit 1.0 aus

toolkit.JPG (43.4 KiB) 3351 mal betrachtet

von MS gibt es eine Freeware zum Log analysieren ... such mal mit Google