|
| login forsøg Fra : J.K.Arning |
Dato : 09-12-04 23:44 |
|
Win 2003 server standart med alle updates.
Eventloggen er fuld til bristepunktet med fejlslagne login forsøg som
f.eks.:
*****************************************************************
Logon Failure:
Reason: Unknown user name or bad password
User Name: administrateur
Domain: ANGELA
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: ANGELA
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 69.81.165.113
Source Port: 0
******************************************************************
Lige nu er det som i kan se 69.81.165.113 der forsøger dig .. tidligere
har det været andre men kendetegnene er det at der går ca. 5 sec. mellem
de enkelte login forsøg og såvidt jeg har observeret via netstat skifter
forsøgene konstant port systematisk og som det endvidere fremgår af
eventloggen skifter de også "administrator" brugernavn .. som i kan se
er "vedkommende" lige nu nået til hvad der kunne ligne det franske
administrateur.
Jeg er ret sikker på det er en virus der er igang og er ikke videre
nervøs da de er langt fra at gætte bare brugernavnet på administrator
kontoen men det irriterer mig en del.
Serveren er en "sprit ny" dedikeret server der indtil nu kører på hobby
basis. Jeg har ikke fået "hærdet" den endnu og der er ikke installeret
firewall på den.
det med firewallen ville jeg gerne gøre for at dæmme op for det værste
men jeg er lidt lunken ved at installeret noget på en server jeg kun kan
nå via RDP.
Har i et bud på en firewall der lader mig slippe afsted med dette ?
Jeg vil meget nødigt lukkes ude af systemet. Windows indbygget firewall
kommer ikke på tale(*).
(*) Jeg har haft aktiveret firewallen men den lukkede mig netop ude ..
selvom den var sat til at lade RDP passere .. jeg fik supporterne til at
kontrolere det og den var god nok .. firewallen gjore det gang på gang
... hvergang supporterne aktiverede firewallen og satte den til at lade
RDP passere lukkede den alligevel for det.
--
Regards
J.K.Arning :: 09-12-2004 23:32:49 :: http://arning.dk
| |
J.K.Arning (10-12-2004)
| Kommentar Fra : J.K.Arning |
Dato : 10-12-04 00:07 |
|
On Thu, 9 Dec 2004 23:43:57 +0100, J.K.Arning in newsgroup
dk.edb.sikkerhed wrote:
> ... såvidt jeg har observeret via netstat skifter
> forsøgene konstant port systematisk
>
Rettlse .. der er knapt så meget system i det .. men port range ligger
mellem ca. 1400 og op til 3500 .. ca.
--
Regards
J.K.Arning :: 10-12-2004 00:05:47 :: http://arning.dk
| |
Troels Arvin (10-12-2004)
| Kommentar Fra : Troels Arvin |
Dato : 10-12-04 10:08 |
|
On Thu, 09 Dec 2004 23:43:57 +0100, J.K.Arning wrote:
> Serveren er en "sprit ny" dedikeret server der indtil nu kører på hobby
> basis. Jeg har ikke fået "hærdet" den endnu og der er ikke installeret
> firewall på den.
Det er mig en stor gåde, hvordan man kan finde på at smække en server på
et offentligt (eller større privat) netværk uden at have hærdet den.
Nå, men:
Når du skriver, at den ikke er hærdet endnu, betyder det så også, at
du ikke har installeret patches/service-packs på den? - I så fald ville
jeg i dit sted ud fra forsigtighedsprincipper betragte maskinen som brudt
ind i, også selv om der endnu ikke måtte være tydelige tegn derpå.
Konsekvens: Reinstallation.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
J.K.Arning (10-12-2004)
| Kommentar Fra : J.K.Arning |
Dato : 10-12-04 10:24 |
|
On Fri, 10 Dec 2004 10:08:28 +0100, Troels Arvin in newsgroup
dk.edb.sikkerhed wrote:
>
> Det er mig en stor gåde, hvordan man kan finde på at smække en server på
> et offentligt (eller større privat) netværk uden at have hærdet den.
Også mig men nu er det en dedikeret server der er lejet .. jeg afgør
ikke i hvilken stand den sættes online.
og nu vi er ved det med at undres .. så er det _mig_ en stor gåde at
folk aldrig gør sig den ulejlighed at læse de indlæg de svarer på
ordentligt .. fordi ..
> Nå, men:
> Når du skriver, at den ikke er hærdet endnu, betyder det så også, at
> du ikke har installeret patches/service-packs på den?
Som det fremgår at første linje i mit indlæg .. jeg citerer:
>> Win 2003 server standart med alle updates.
> I så fald ville
> jeg i dit sted ud fra forsigtighedsprincipper betragte maskinen som brudt
> ind i, også selv om der endnu ikke måtte være tydelige tegn derpå.
> Konsekvens: Reinstallation.
Den evige arrogante stil i den her gruppe er kvalmende.
Jeg stiller et konktret spørgsmål og det burde fremgå af mit indlæg at
jeg ikke er helt blank på området .. jeg påstår ikke at jeg er en server
haj .. men det faktum at jeg ikke er det gør måske at jeg ikke har krav
på et ordentligt svar ?
Jeg er umådeligt bevidst om farerne ved at have en win boks online der
ikke er "hærdet" men jeg har "desværre" et job der tager en hel del af
min tid og jeg har derfor ikke haft mulighed for at få den "hærdet" 100%
... dog er administrator kontoen omdøbt plus et par andre småting.
Da situationen er som den er beder jeg derfor om et råd i retning af en
firewall jeg kan lægge på maskinen til at tage det værste indtil jeg kan
få den sat ordentligt op .. er det noget du kan hjælpe med ?
Hvis ikke er du velkommen til at lade din forfejlede bitterhed gå ud
over mig men gør det i så fald på min mail .. der er ingen grund til at
forurene gruppen med endnu mere af det du har lagt ud med her .. der er
_rigeligt_ af det i forvejen.
Måske man kunne oprette en
dk.edb.sikkerhed.for-dem-der-faktisk-vil-hjaelpe
--
Regards
J.K.Arning :: 10-12-2004 10:12:17 :: http://arning.dk
| |
Troels Arvin (10-12-2004)
| Kommentar Fra : Troels Arvin |
Dato : 10-12-04 10:41 |
|
On Fri, 10 Dec 2004 10:24:20 +0100, J.K.Arning wrote:
> Som det fremgår at første linje i mit indlæg .. jeg citerer:
>>> Win 2003 server standart med alle updates.
Sorry.
> Den evige arrogante stil i den her gruppe er kvalmende.
Køl lige ned.
> Jeg stiller et konktret spørgsmål og det burde fremgå af mit indlæg at
> jeg ikke er helt blank på området
Du er netop ikke særlig konkret: Dit indlæg er ret langt og lettere
fabulerende. - Og det er lidt uklart, hvad du egentlig vil have hjælp til
at opnå.
Tilbage til spørgsmålet: Du vil gerne have en server afskærmet vha.
firewalling, men er nervøs for, at pakkefiltrering skal hindre din adgang
til fjernkontrol(?)
Hvis du har et fast IP-nummer, hvorfra du øver fjernkontrol, kan du
sørge for, at åbne for nævnte IP-nummer og lade denne regel være den
første. Dernæst kan du fx. lukke for al anden adgang. På den måde
burde du ikke havne i en situation, hvor du har lukket dig selv ude.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
J.K.Arning (10-12-2004)
| Kommentar Fra : J.K.Arning |
Dato : 10-12-04 10:57 |
|
On Fri, 10 Dec 2004 10:40:30 +0100, Troels Arvin in newsgroup
dk.edb.sikkerhed wrote:
> On Fri, 10 Dec 2004 10:24:20 +0100, J.K.Arning wrote:
>
>> Som det fremgår at første linje i mit indlæg .. jeg citerer:
>>>> Win 2003 server standart med alle updates.
>
> Sorry.
>
Helt iorden
>> Den evige arrogante stil i den her gruppe er kvalmende.
>
> Køl lige ned.
>
Jeg er hurtigt oppe og hurtigt nede .. er kølet af .. beklager udbrudet
men temperamentet er lettere sydlandsk
>> Jeg stiller et konktret spørgsmål og det burde fremgå af mit indlæg at
>> jeg ikke er helt blank på området
>
> Du er netop ikke særlig konkret: Dit indlæg er ret langt og lettere
> fabulerende. - Og det er lidt uklart, hvad du egentlig vil have hjælp til
> at opnå.
>
ok mente jeg var konkret .. jeg vil have hjælpe til at vælge en firewall
som jeg kan installere på serveren via RD der (firewallen) tillader mig
at åbne for RDP i første gennemgang af installationen sådan at forstå at
firewallen ikke bar erebooter serveren efter afsluttet install og lukker
mig ude før jeg kan få åbnet de nødvendige porte.
> Tilbage til spørgsmålet: Du vil gerne have en server afskærmet vha.
> firewalling, men er nervøs for, at pakkefiltrering skal hindre din adgang
> til fjernkontrol(?)
>
Korrekt
> Hvis du har et fast IP-nummer, hvorfra du øver fjernkontrol, kan du
> sørge for, at åbne for nævnte IP-nummer og lade denne regel være den
> første. Dernæst kan du fx. lukke for al anden adgang. På den måde
> burde du ikke havne i en situation, hvor du har lukket dig selv ude.
Jeg har fast IP (eller rettere 2)
Har du et konkret bud på en firewall der kan løse mit problem ?
Det gør selvsagt ikke noget hvis den ikke er for dyr eller måske
ligefrem gratis da den kun skal ligge på serveren indtil jeg får den
"hærdet".
Jeg går ikke ud fra at de forskellige personlige firewalls på markedet
er en option til en 2003 server ?
--
Regards
J.K.Arning :: 10-12-2004 10:48:00 :: http://arning.dk
| |
Troels Arvin (10-12-2004)
| Kommentar Fra : Troels Arvin |
Dato : 10-12-04 11:29 |
|
On Fri, 10 Dec 2004 10:56:31 +0100, J.K.Arning wrote:
> Har du et konkret bud på en firewall der kan løse mit problem ?
Jeg ville som udgangspunkt starte med den indbyggede firewall, også
selvom at du ikke er så glad for den: Den findes allerede på systemet og
er dermed "gratis", den opdateres automatisk ved generel opdatering af
operativsystemet, osv. Med andre ord ville jeg give den en chance til.
Prøv at se punktet "Does Remote Desktop work with Windows Firewall?" på
http://www.microsoft.com/windowsxp/using/mobility/rdfaq.mspx
Artiklen omhandler Windows XP, men mit bud er, at dens anvisninger til XP
SP 1 svarer nogenlunde til situationen i Windows Server 2003. Giver
artiklen et hint om, hvorfor dine tidligere forsøg på konfigurering er
endt i selv-udelukkelse?
Anyways:
Et standardtrick i unix-verdenen for at sikre sig mod at blive lukket
ude, mens man sidder og fedter med pakkefilter-regler, er at opsætte et
cron-job, der hvert kvarter lukker firewall'en. På den måde behøver man
ikke at køre ud til maskinen, hvis man begår en fejl (men skal blot
tage sig et stykke chokolade, mens man venter på, at der igen er adgang).
Når man føler sig sikker på, at man har opnået et godt regelsæt,
fjernes cron-jobbet. Metoden kan umiddelbart synes lidt uelegant, men den
er praktisk, og ret produkt-neutral.
Windows har også et system til automatisk afvikling af programmer (såsom
batch-jobs). Måske nogen her eller i en Windows-gruppe kan give nogle
tricks til, hvorledes firewall'en lukkes (dvs. lukke-regler afbrydes)
hvert kvarter via et batch-job?
Hvis den indbyggede firewall virkelig ikke kan anvendes, melder jeg pas;
men der er måske andre, der har forslag.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
J.K.Arning (10-12-2004)
| Kommentar Fra : J.K.Arning |
Dato : 10-12-04 12:02 |
|
On Fri, 10 Dec 2004 11:29:04 +0100, Troels Arvin in newsgroup
dk.edb.sikkerhed wrote:
> Hvis den indbyggede firewall virkelig ikke kan anvendes, melder jeg pas;
> men der er måske andre, der har forslag.
Jeg har eksperimenteret lidt rundt med firewallen .. jeg kan aktivere
den uden at blive smidt af den session jeg er på .. men prøver jeg
samtidigt at forbinde med en ny session er der lukket.
Man kan sætte RDP reglen til fast IP og det virker .. umiddelbart kan
jeg derefter logge på med en ny session på den IP der er specificeret i
reglen.
Specificerer jeg derefter er regel for http acccess på den anden public
IP kan jeg ikke komme på webserveren ?
For at gøre det kort .. firewallen kan ikke håndtere at maskinen har 2
public IP adresser!
--
Regards
J.K.Arning :: 10-12-2004 11:56:35 :: http://arning.dk
| |
Povl H. Pedersen (11-12-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 11-12-04 08:29 |
|
In article <4pij9ggtu82z$.dlg@arning.org>, J.K.Arning wrote:
> For at gøre det kort .. firewallen kan ikke håndtere at maskinen har 2
> public IP adresser!
Få din serverudlejer til at beskytte maskinen med pakkefiltre hvis han
ikke har en firewall. Og så så åbnet for 80+443+3389 eller hvad du nu
skal bruge.
Det er IKKE god latin at sætte en Windows boks på Internet uden en
selvstændig firewall/router med pf foran.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk
| |
Andreas Plesner Jaco~ (11-12-2004)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 11-12-04 13:21 |
|
On 2004-12-11, Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local> wrote:
>
> Det er IKKE god latin at sætte en Windows boks på Internet uden en
> selvstændig firewall/router med pf foran.
Unuanceret pladder. Det kan man sagtens hvis man ved, hvad man laver.
--
Andreas Plesner Jacobsen | Will your long-winded speeches never end?
| What ails you that you keep on arguing?
| -- Job 16:3
| |
Povl H. Pedersen (12-12-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 12-12-04 19:25 |
|
In article <slrncrlphi.a0h.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
> On 2004-12-11, Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local> wrote:
>>
>> Det er IKKE god latin at sætte en Windows boks på Internet uden en
>> selvstændig firewall/router med pf foran.
>
> Unuanceret pladder. Det kan man sagtens hvis man ved, hvad man laver.
>
Men det gør spørgeren jo åbenbart ikke.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk
| |
Alex Holst (13-12-2004)
| Kommentar Fra : Alex Holst |
Dato : 13-12-04 03:17 |
|
Povl H. Pedersen wrote:
> In article <slrncrlphi.a0h.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
>
>>On 2004-12-11, Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local> wrote:
>>
>>>Det er IKKE god latin at sætte en Windows boks på Internet uden en
>>>selvstændig firewall/router med pf foran.
>>
>>Unuanceret pladder. Det kan man sagtens hvis man ved, hvad man laver.
>>
>
> Men det gør spørgeren jo åbenbart ikke.
Det virker saa som en bedre ide at opfordre vedkommende til at finde ud
af hvad han laver, fremfor at give upraecise raad.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
J.K.Arning (13-12-2004)
| Kommentar Fra : J.K.Arning |
Dato : 13-12-04 14:11 |
|
On Mon, 13 Dec 2004 03:17:17 +0100, Alex Holst in newsgroup
dk.edb.sikkerhed wrote:
> Det virker saa som en bedre ide at opfordre vedkommende til at finde ud
> af hvad han laver, fremfor at give upraecise raad.
Det virker frem for alt .. altid .. som en bedre ide at læse hele tråden
og tage højde for det der er blevet skrevet i sit svar fremfor at smide
om sig med "jeg ved bedre" standart svar.
og så er jeg ellers færdig med den her tråd .. det fører ingen stader
hen.
--
Regards
J.K.Arning :: 13-12-2004 14:09:45 :: http://arning.dk
| |
Povl H. Pedersen (13-12-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 13-12-04 17:59 |
|
In article <41bcfb92$0$179$edfadb0f@dtext02.news.tele.dk>, Alex Holst wrote:
> Povl H. Pedersen wrote:
>> In article <slrncrlphi.a0h.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
>>
>>>On 2004-12-11, Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local> wrote:
>>>
>>>>Det er IKKE god latin at sætte en Windows boks på Internet uden en
>>>>selvstændig firewall/router med pf foran.
>>>
>>>Unuanceret pladder. Det kan man sagtens hvis man ved, hvad man laver.
>>>
>>
>> Men det gør spørgeren jo åbenbart ikke.
>
> Det virker saa som en bedre ide at opfordre vedkommende til at finde ud
> af hvad han laver, fremfor at give upraecise raad.
Men det er stadig optimalt at have en anden firewall foran, som dækker
de fejl der eventuelt laves på Windows maskinen. Defense-in-depth.
MS Opdateringer kan også finde på at lave ulykker.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk
| |
Stig Johansen (13-12-2004)
| Kommentar Fra : Stig Johansen |
Dato : 13-12-04 17:43 |
|
J.K.Arning wrote:
> Har i et bud på en firewall der lader mig slippe afsted med dette ?
> Jeg vil meget nødigt lukkes ude af systemet. Windows indbygget firewall
> kommer ikke på tale(*).
Du kan tage et kig på denne her:
< http://www.tinysoftware.com/home/tiny2?la=EN>
og se om den opfylder dit behov.
--
Med venlig hilsen
Stig Johansen
| |
|
|