Windows Server 2012 R2 svchost.exe ruft komische Seiten auf

M

mw197

Gast
Hallo Leute,

​ich habe gerade eben bemerkt, dass auf einem Windows Server 2012 R2 im Ressourcenmonitor (Task-Manager -> Leistung -> Ressourcenmonitor) der SVC-Host merkwürdige Adressen aufruft. Folgendes Bild einmal dazu:

Unbenannt.jpg

​Wie kann so etwas passieren?
​Das wird doch vermutlich durch schadhafte DLL-Dateien hervorgerufen oder?

​Der Server wird als Remotedesktop-Sitzungshost verwendet. Die User haben also keinerlei Berechtigungen, solche Aktion auszuführen oder Software zu installieren. Auf dem Server ist lediglich LibreOffice, WinSCP und eine Bank-Software installiert. Somit gehe ich davon aus, dass das durch das Web gekommen ist. Eingesetzt wird dort der IE11 (mit allen Updates).

​Ich habe vorerst die Adressen in der hosts gesperrt und werde den Server morgen neu installieren mit Server 2016.

​Meine Frage ist jetzt, wie kann ich so etwas verhindern, denn ich denke nicht, dass das so richtig ist oder?
​Gibt es die Möglichkeit, dass man nur bestimmte Websites zulassen kann?
​Also ich möchte, dass die Leute nur die bestimmte Websites aufrufen können aber nicht Google und solche Sachen. Das können sie dann auf ihren eigenen Client machen.
 
Zuletzt bearbeitet:
Da der Terminal Service Dienst vom Servicehost bereitgestellt wird, vermute ich mal dass jemand in einer Remotedesktopsitzung surft. Man sieht ja auch dass etwas von Amazon AWS abgerufen wird. Die anderen Adressen könnten nachgeladene Werbung sein oder so.

Wenn du willst, dass Benuter nur bestimmte Seiten aufrufen können, kannst du das über einen Proxyserver machen. Squid zum Beispiel.
 
Zuletzt bearbeitet:
Ich gehe davon aus, dass dieser Server in einem Unternehmen zum Einsatz kommt, den Rest kann ich mir nur aus den Fingern saugen. Was mich aber etwas beunruhigt ist der Umstand, dass offenbar du mit der Betreuung des Servers beauftragt bist, aber wichtige, sogar essentielle Dinge erst erfragen mußt.

Das ist keine gute Kombination und schreit nach einem Professionisten, der das einmal ordentlich für dich installiert. Soll keinesfalls abwertend gemeint sein, aber so wie es aussieht ist dein Lösungsansatz - eine Neuinstallation mit einer neuen Windows Server Version - keine Lösung, sondern das Problem liegt darin, dass du offensichtlich nicht genug Ahnung davon hast, um eine sichere Konfiguration zu machen.
 
DocWindows schrieb:
Da der Terminal Service Dienst vom Servicehost bereitgestellt wird, vermute ich mal dass jemand in einer Remotedesktopsitzung surft. Man sieht ja auch dass etwas von Amazon AWS abgerufen wird. Die anderen Adressen könnten nachgeladene Werbung sein oder so.

Wenn du willst, dass Benuter nur bestimmte Seiten aufrufen können, kannst du das über einen Proxyserver machen. Squid zum Beispiel.
Ne der Server ist im Moment leer und nach dem Neustart kommt das mit hoch. Werde ich mir mal ansehen, danke!
​Habe gerade einfach mal einen Proxy auf 127.0.0.1 gesetzt und meine freigeschalteten Seiten als Proxyausnahme definiert. Das klappt sogar :D


/dev/tty0 schrieb:
Ich gehe davon aus, dass dieser Server in einem Unternehmen zum Einsatz kommt

​Nein :)
 
Da versuchen sich Leute an deinem RDP-Dienst bzw. versuchen sie sich über RDP an deinem Server anzumelden. Es gab beim 2008R2 Server einen RDP-Sitzungsmanager oder so. Der zeigt dir wer sich per RDP angemeldet hat oder versucht sich anzumelden. Pass auf deine Nutzerkonten auf bzw. nimm für Benutzer die keine RDP-Verbindungen aufbauen sollen, die Berechtigung für RDP raus. Das du sichere Passwörter verwenden solltest muss ich dir sicher nicht sagen.
 
user_xy schrieb:
Da versuchen sich Leute an deinem RDP-Dienst bzw. versuchen sie sich über RDP an deinem Server anzumelden. Es gab beim 2008R2 Server einen RDP-Sitzungsmanager oder so. Der zeigt dir wer sich per RDP angemeldet hat oder versucht sich anzumelden. Pass auf deine Nutzerkonten auf bzw. nimm für Benutzer die keine RDP-Verbindungen aufbauen sollen, die Berechtigung für RDP raus. Das du sichere Passwörter verwenden solltest muss ich dir sicher nicht sagen.
Du hast Recht, das könnte es wirklich sein. In der Ereignisanzeige habe ich unter dem Punkt "Sicherheit" fast jede Minute einen versuchten Login mit verschiedenen Namen, die es hier gar nicht gibt: "user1", "usuario", "admin"... usw.

​Liegt wohl daran, dass wir nun auch eine IPv4 haben anstatt nur IPv6 und da trat das nicht auf. Wahnsinn was hier abgeht...
​Werde mal den Port ändern auf etwas spezielles und mal gucken wie es sich entwickelt :)

​Danke euch!
Ergänzung ()

Habe gerade die Freigabe für den Port mal deaktiviert, die komischen Aufrufe sind nun weg. Es sind wirklich Loginversuche gewesen am dem Server die nie durchgegangen sind. Werde jetzt einen anderen Weg dafür gehen (VPN), bevor da war in die Hose geht.

​Vielen Dank für die Hilfe!
 
Es gibt ähnliches auch bei FTP, da gibts es crawler die jede IP im Netz auf offene FTP-Server prüft und sich versucht darauf zu Verbinden...

Die einzigste Maßnahme wäre den Server vom öffentlichen Netz abzuschotten z.b. über ein VPN und außer der VPN Verbindung keine anderen eingehenden Verbindungen zuzulassen.
 
Zurück
Oben