Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Unbekannte RDP User an Windows Server

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 05.12.2016, 10:32   #1
desti84
 
Unbekannte RDP User an Windows Server - Standard

Unbekannte RDP User an Windows Server



Hallo Board !

Mir ist in der letzten Zeit bei div. Servern (nicht von mir administriert, ich wurde jedoch mit an Board geholt) aufgefallen, dass sich unbekannte RDP User in Windows Server Installationen (2008/2011) "eingeschlichen" haben. Diese haben immer sehr klangvolle Namen wie "admin10", "WINNT", "System_NT". Bei den Servern, die diese unbekannten User beinhalten, sind alle ausnahmslos direkt per RDP aus dem Internet erreichbar.
Habe grad erst einen Server gehabt, bei dem der User System_NT im Juni diesen Jahres eine RDP Session (laut IP ist der Ursprung in Russland) erfolgreich aufgebaut hat. In der Session wurde dann ein Google Chrome installiert... eine Beeinträchtigung wurde jedoch nicht festgestellt (im Alltag). Also kein Verschlüsselungstrojaner... wohl eher ein Bot?

Der Server wurde heute platt gemacht. Dennoch bin ich natürlich besorgt. Ist jemanden ein ähnlicher Fall / bzw. ähnliche Problematik bekannt und ggf. ein paar Background Infos für mich ?

SuFu hat mir leider nicht weitergeholfen.

Danke an euch !

MfG,

Desti84

Alt 05.12.2016, 13:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Unbekannte RDP User an Windows Server - Standard

Unbekannte RDP User an Windows Server



Moin


Was genau verstehst du unter RDP User?

Sind das lokale User nur auf diesem Server oder sind das Domänenuser, die Mitglied der Gruppe Remotedesktopuser auf dem betroffenen Server sind?

Welcher Depp erlaubt den Zugriff auf RDP also Port 3389 aus dem Internet????
__________________

__________________

Alt 05.12.2016, 14:58   #3
desti84
 
Unbekannte RDP User an Windows Server - Standard

Unbekannte RDP User an Windows Server



Zitat:
Zitat von cosinus Beitrag anzeigen
Moin


Was genau verstehst du unter RDP User?

Sind das lokale User nur auf diesem Server oder sind das Domänenuser, die Mitglied der Gruppe Remotedesktopuser auf dem betroffenen Server sind?

Welcher Depp erlaubt den Zugriff auf RDP also Port 3389 aus dem Internet????
Hi ! Und danke für deine Antwort


Ich roll sie mal von hinten nach vorne auf

Das "Welcher Depp" habe ich mich auch gefragt, jedenfalls beim 1. Server. Nun , nach X weiteren Servern kann ich bestätigen, dass ein "Wald-und-Wiesen" - Admin sich darüber scheinbar 0 Gedanken macht. Es wird eine vom Kunden Ferneinwahl verlangt und diese dann, mit geringstem Aufwand, vom Admin eingerichtet. Das führt dazu das "Remote-User" mal eben als Dom-Admin eingetragen werden, weil ist ja so schön einfach. Wenn dieser dann noch mit dem Kennwort 123 versehen ist, ist der Aufbau perfekt.


Die an den Servern angelegten User sind Dom.Admins + in der Gruppe RDP User!!! In dem Fall heute passt meine Aussage von grad 1 zu 1 überein. RDP aktiv, lauscht direkt im WWW User mit PW 123...

Nun werden von mir VPNs aufgebaut

MfG,

Desti84
__________________

Alt 05.12.2016, 15:16   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Unbekannte RDP User an Windows Server - Standard

Unbekannte RDP User an Windows Server



Also wenn man das so dämlich einrichtet muss man sich nun wirklich nicht wundern, dass da irgendwelche Einbrecher reingehen!

NIEMALS würde ich native Windows-Dienste wie RDP nach draußen anbieten (also per DNAT auch bekannt als Portforwading). Sowas sollte immer nur max. intern verfügbar ein und wenn man denn doch von außerhalb kommt, über nen VPN-Zugang

Dir ist schon klar, dass die Server als kompromittiert zu betrachten sind?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Unbekannte RDP User an Windows Server
bekannte, board, bot, direkt, erfolgreich, festgestellt, google, heute, infos, installationen, interne, internet, jahres, namen, natürlich, platt, problematik, server, servern, system, unbekannte, unbekannten, windows, winnt, ähnlicher




Ähnliche Themen: Unbekannte RDP User an Windows Server


  1. Windows 7: Fehlermeldung: RegSvr32 nach Systemstart nur bei einem User
    Log-Analyse und Auswertung - 26.11.2014 (21)
  2. Windows 7, download protector 2.2.0 nicht zu entfernen, firefox user
    Log-Analyse und Auswertung - 19.04.2014 (13)
  3. Windows 7: Unbekannte .exe Datei in Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 05.03.2014 (9)
  4. Unbekannte Dateien im Downloadordner und unbekannte Programme auf dem Desktop
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (11)
  5. Weisser Bildschirm nach User-Login (Windows 7)
    Plagegeister aller Art und deren Bekämpfung - 01.08.2013 (3)
  6. weißer Bildschrim nach User Login unter Windows 7
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (32)
  7. Unbekannte Stimme von Hostprozess für Windows-Dienste
    Plagegeister aller Art und deren Bekämpfung - 21.10.2012 (5)
  8. ständig neue Trojaner-Funde in C:User/user/AppData
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (31)
  9. Windows Advanced User Patch entfernen
    Anleitungen, FAQs & Links - 05.05.2012 (2)
  10. Deutschlandflagge - Windows Blockiert auf einem User-Konto
    Log-Analyse und Auswertung - 04.04.2012 (7)
  11. Windows User Satellite entfernen
    Anleitungen, FAQs & Links - 18.02.2011 (2)
  12. der server lieferte eine ungültige oder unbekannte rückmeldung
    Alles rund um Windows - 11.12.2010 (3)
  13. Antivir Secure für alle Windows user jetzt kostenlos
    Antiviren-, Firewall- und andere Schutzprogramme - 16.10.2010 (0)
  14. Habe folgendes problem <System>=>C:\Dokumente und Einstellungen\user\Cookies\user@adviva[1].txt
    Log-Analyse und Auswertung - 30.07.2010 (18)
  15. Asus-User aufgepasst: Server als Virenschleuder
    Plagegeister aller Art und deren Bekämpfung - 07.04.2007 (2)
  16. Eigener User bei Windows für das Surfen
    Antiviren-, Firewall- und andere Schutzprogramme - 01.04.2005 (4)

Zum Thema Unbekannte RDP User an Windows Server - Hallo Board ! Mir ist in der letzten Zeit bei div. Servern (nicht von mir administriert, ich wurde jedoch mit an Board geholt) aufgefallen, dass sich unbekannte RDP User in - Unbekannte RDP User an Windows Server...
Archiv
Du betrachtest: Unbekannte RDP User an Windows Server auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.