Komische RDP Logins und Eine sicherheitsaktivierte lokale Gruppenmitgliedschaft wurde aufgezählt.

[einfachpeer]

Hallo zusammen,

hab temporär einen Server über RDP freigegeben.
In der Ereignisanzeige kamen auf einmal ganz komische Anmeldeversuche (aber alle gescheitert)

Jetzt habe ich erfolgreich

-Port geändert
-Username und PW geändert
- Gast Konto etc deaktiviert

Neugestartet
Jetzt kommen keine Login versuche mehr, aber in der Ereignisanzeige kommt sekündlich
Eine sicherheitsaktivierte lokale Gruppenmitgliedschaft wurde aufgezählt.

Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7

Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege

Was ist das ?
Was mache ich jetzt ?

 

[madmax2010]

Platt machen.
Backup Platten die währenddessen dran waren gleich mit.
Wenn man sich "Am Login Vorbei" aka unter Nutzung einer Sicherheitslücke anmeldet, kommt auch nichts ins Log.
Darum RDP nicht nackt ins Internet. Dein ISP schützt dich vor sehr vielem, was ein Hoster an dich durch reicht

 

[SSD960]

Neu aufsetzen und nicht so ins Internet stellen. Ist das ein gehosteter Server bei einem Provider?

 

[Korben2206]

RDP direkt aus dem Internet zugänglich zu machen ist nicht ratsam (wie du gerade festgestellt hast),
Lieber über VPN einwählen und darüber RDP betreiben.

 

[einfachpeer]

Server hoster

 

[konkretor]

RDP Port einfach so ins Internet gehangen?
Sehr schlechte Idee.

Platt machen und wie oben schon geschrieben über VPN oder RDP über HTHML5 machen

 

[einfachpeer]

Was kann denn jetzt passieren (jetzt ist er ja aus)

 

[tRITON]

Er gehört vermutlich nicht mir Dir, sondern jemand anderem, da sich jemand die Systemrechte auf deinen Server verschafft hat.

Was passieren kann? Nun, lass ihn laufen und du findest es heraus.

 

[einfachpeer]

Der Server ist ja jetzt aus dann kann ja nix passieren oder

 

[madmax2010]

Kommt drauf an was da verbaut wurde und ob es möglich war bzpw. BMC Firmware von Windows aus zu flashen und ob das auch gemacht wurde.
Unwahrscheinlich, aber nicht unmöglich.

 

[klapproth]

Der Server ist ja jetzt aus dann kann ja nix passieren oder

Solange der aus bleibt ist alles gut. Dann direkt platt machen.

RDP direkt im Internet: Vor ca 15 bis 20 Jahren hat es nur wenige Minuten gedauert und du hattest plötzlich neue User Accounts und neue exe-Dateien im Taskmanager am laufen.

 

[einfachpeer]

Kann ich das Netzwerk aus machen und mir über VNC des serverhosters Dateien schicken ?

 

[madmax2010]

Welches Netzwerk willst du wo und wie aus machen.
Was ist "VNC des serverhosters" und was kann es?
Nicht alle VNC Tools supporten File Transfer.
Ist es eine IPMI Karte?

 

[einfachpeer]

Es ist noVNC des Hosters, würde in den Einstellungen des Hosters der Windows Maschine einfach keine Netzwerkkarte zuweisen oder so

 

[Der Lord]

Ich kenne nur wenig bereitgestellte VNC-Lösungen bei den Massenhostern, die einen Filetransfer erlauben. Boote die VM / den Server doch einfach mit einer Linux-ISO und ziehe dir dann damit die Daten.

Und ja, auch wenn es schon mehrfach gesagt wurde, gerne nochmal: RDP gehört niemals nie nicht direkt ins Internet geöffnet. VPN dazwischenschalten und gut. Die Kiste kannst du aber derzeit als kompromittiert betrachten -> plattmachen.

 

[madmax2010]

Es ist noVNC des Hosters

https://github.com/novnc/noVNC/issues/169
dann nein

 

[einfachpeer]

Genau daran hab ich auch gerade in diesem Moment gedacht Lord ^^

Also nur mal theoretisch was kann er gemacht haben ?
(Schaden auch wenn Server platt und aus)

 

[madmax2010]

Wie gesagt, im worst case neue Firmware geflashed

 

[gaym0r]

Um mal ein wenig die Panik zu mindern: Die genannten Eventlogs bedeuten nicht, dass dein System komprommitiert ist. Dass der Server per RDP erreichbar war, ist zwar unklug, aber bedeutet nicht, dass er innerhalb weniger Sekunden gehackt wird.

 

[Der Lord]

(Schaden auch wenn Server platt und aus)

Na der Schaden wurde ja womöglich schon vorher angerichtet. Nun besteht jedes mal die Gefahr, dass du eine verseuchte Kiste startest und ans Netz bringst. Mögliche Folgen: Teil eines Botnetzes, Verbreitung illegaler Inhalte, usw. Und du haftest dafür!