Komische RDP Logins und Eine sicherheitsaktivierte lokale Gruppenmitgliedschaft wurde aufgezählt.

[einfachpeer]

Wenn er aus ist hä?

Ergänzung (5. Mai 2024)

Achja vielleicht schlau anzumerken ist ein vServer

 

[Der Lord]

VORHER!

Und nun jedes mal wenn du ihn inkl. Netzverbindung startest. Zumindest besteht das Risiko. RDP hat einfach zu viele offene Sicherheitslücken.

Wenn der stromlos ist, passiert genau in der Zeit natürlich nix... 🙄

PS: welche wichtigen Daten möchtest du da eigentlich noch ziehen? Deiner Signatur entnehme ich, dass du weißt wie wichtig Backups sind. "Kein Backup, Kein Mitleid" 😁 Also mach doch einfach die Kiste platt und entgehe damit allen durchaus reellen Gefahren.

 

[einfachpeer]

Ok

 

[gaym0r]

RDP hat einfach zu viele offene Sicherheitslücken.

Welche offenen Sicherheitslücken sind das aktuell?

 

[einfachpeer]

Naja anscheinend irgendwie Rechte vergeben zu können

 

[gaym0r]

@einfachpeer
Ich habe bereits oben geschrieben, dass deine geposteten Event-Logs NICHT darauf hinweisen, dass das System in irgendeiner Weise komprommitiert ist. Das sind ganz normale Eventlogs, die man auf jedem System findet.

 

[Der Lord]

Welche offenen Sicherheitslücken sind das aktuell?

Gibt einige.
https://nvd.nist.gov/vuln/detail/CVE-2019-0708
Um nur eine zu nennen. Aber fühl dich frei und schaue dir dort gern die anderen gemeldeten Lücken an. Hängt ja auch stark von der Win-Version und dem Patchstand ab. Ist nun wahrlich kein Geheimnis, dass RDP nicht sicher genug ist um das ungeschützt an einen WAN-Port zu hauen.

Edit: die genannte Lücke scheint gepatcht zu sein. wäre aber naiv zu glauben es wäre die einzige.

 

[JAIRBS]

Wenn ein Server per RDP aus dem Netz direkt erreichbar ist, würde ich ihn zumindest per Gruppenrichtlinie so konfigurieren, dass sich weder .\Administrator noch die Gruppe "Administratoren" per RDP anmelden darf. Das schützt aber leider auch nicht beim 0-Day Exploit, aber zumindest vor den ganzen Skript-Buteforceattacken, die das Admin-Konto knacken wollen.

 

[gaym0r]

Gibt einige.
https://nvd.nist.gov/vuln/detail/CVE-2019-0708
Um nur eine zu nennen.

Hab ich fast erwartet, dass die kommt. Eine seit 5 Jahren gepatchte Lücke.
Mit der gleichen Logik könnte man alle Webserver als komprommitiert betrachten, weil es in der Vergangenheit Sicherheitslücken gab. Ist Quatsch, oder?

 

[einfachpeer]

So Freunde der Sonne.
Alle Passwörter der Accounts die z.B in Chrome angemeldet waren geändert, meine paar configs etc. hole ich mir via Live Linux zurück und ab jetzt lieber einen Laptop unter den Arm klemmen, anstatt alles in RDP zu bearbeiten. Ich bin ja ehrlich ich habs gehört und war mir der Gefahr im Klaren, aber "mir passiert schon nix" Pustekuchen

Ergänzung (5. Mai 2024)

Fällt sonst noch jemandem was ein, was ich nun als "Brandlöschung" machen kann ?

Ergänzung (5. Mai 2024)

Es war ja auch ein vServer, ich halte es für sehr unwahrscheinlich dass sich ein Mensch wegen Brootforcing auf einmal so ins Virtualisierungs system einwählt und neue VMs erzeugt etc.

 

[JAIRBS]

Es war ja auch ein vServer, ich halte es für sehr unwahrscheinlich dass sich ein Mensch wegen Brootforcing auf einmal so ins Virtualisierungs system einwählt und neue VMs erzeugt etc.

Falls Du das auf meine Aussage beziehst: es ging mir nicht um den Hypervisor, sondern um den Admin-Account auf dem vServer selbst.

 

[einfachpeer]

Fällt sonst noch jemandem was ein, was ich nun als "Brandlöschung" machen kann ?

Ergänzung (5. Mai 2024)

Meine Idee war es MS Office und Chrome in der Cloud zu haben und dann das. menno ^^

 

[BFF]

Meine Idee war es MS Office und Chrome in der Cloud zu haben und dann das.

Kannst Du gerne tun. Nur halt nicht per RDP direkt sondern mit VPN dazwischen.

was ich nun als "Brandlöschung" machen kann

Neu aufsetzen, patchen bis zum Umfallen und so weiter.

 

[einfachpeer]

Danke BFF, dem Kommentar im profil mal wieder aller Ehre gemacht