|
Unbekannte RDP User an Windows Server Hallo Board ! Mir ist in der letzten Zeit bei div. Servern (nicht von mir administriert, ich wurde jedoch mit an Board geholt) aufgefallen, dass sich unbekannte RDP User in Windows Server Installationen (2008/2011) "eingeschlichen" haben. Diese haben immer sehr klangvolle Namen wie "admin10", "WINNT", "System_NT". Bei den Servern, die diese unbekannten User beinhalten, sind alle ausnahmslos direkt per RDP aus dem Internet erreichbar. Habe grad erst einen Server gehabt, bei dem der User System_NT im Juni diesen Jahres eine RDP Session (laut IP ist der Ursprung in Russland) erfolgreich aufgebaut hat. In der Session wurde dann ein Google Chrome installiert... eine Beeinträchtigung wurde jedoch nicht festgestellt (im Alltag). Also kein Verschlüsselungstrojaner... wohl eher ein Bot? Der Server wurde heute platt gemacht. Dennoch bin ich natürlich besorgt. Ist jemanden ein ähnlicher Fall / bzw. ähnliche Problematik bekannt und ggf. ein paar Background Infos für mich ? SuFu hat mir leider nicht weitergeholfen. Danke an euch ! MfG, Desti84 |
Moin Was genau verstehst du unter RDP User? Sind das lokale User nur auf diesem Server oder sind das Domänenuser, die Mitglied der Gruppe Remotedesktopuser auf dem betroffenen Server sind? Welcher Depp erlaubt den Zugriff auf RDP also Port 3389 aus dem Internet???? :wtf: |
Zitat:
Ich roll sie mal von hinten nach vorne auf :daumenhoc Das "Welcher Depp" habe ich mich auch gefragt, jedenfalls beim 1. Server. Nun , nach X weiteren Servern kann ich bestätigen, dass ein "Wald-und-Wiesen" - Admin sich darüber scheinbar 0 Gedanken macht. Es wird eine vom Kunden Ferneinwahl verlangt und diese dann, mit geringstem Aufwand, vom Admin eingerichtet. Das führt dazu das "Remote-User" mal eben als Dom-Admin eingetragen werden, weil ist ja so schön einfach. Wenn dieser dann noch mit dem Kennwort 123 versehen ist, ist der Aufbau perfekt. :headbang: Die an den Servern angelegten User sind Dom.Admins + in der Gruppe RDP User!!! In dem Fall heute passt meine Aussage von grad 1 zu 1 überein. RDP aktiv, lauscht direkt im WWW User mit PW 123... :stirn: Nun werden von mir VPNs aufgebaut :) MfG, Desti84 |
Also wenn man das so dämlich einrichtet muss man sich nun wirklich nicht wundern, dass da irgendwelche Einbrecher reingehen! :stirn: NIEMALS würde ich native Windows-Dienste wie RDP nach draußen anbieten (also per DNAT auch bekannt als Portforwading). Sowas sollte immer nur max. intern verfügbar ein und wenn man denn doch von außerhalb kommt, über nen VPN-Zugang Dir ist schon klar, dass die Server als kompromittiert zu betrachten sind? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board