Windows 2000 Server - Zeitmanipulationen Win2k adv. Server AcidX - 20.11.2003, 09:13 Titel: Zeitmanipulationen Win2k adv. Server
Hy Leute
Ich hab n massives Problem
folgendes, Ich habe einen Windows 2002 adv. Server laufen, mit MSSQL 2000 und Coldfusion. Win2k SP4 und alle Security-patches sind up to date...
Seit längere Zeit habe ich immer das Problem das der Server die Systemzeit auf das Jahr 2020 verstellt. Der Monat, der Tag und die Zeit bleiben korrekt, nur das Jahr ändert sich auf 2020.
Zuallererst glaubte ich es sei ev. ein Virus, aber da das Antivirus nix angezeigt hat und ich auch nach diversen Sec-Scans nichts gefunde habe, denke ich nicht das es das war.
Beim durchforsten der Ereignisanzeige habe ich dan festgestellt das jedesmal wenn es passiert ist, ein angriff auf den server erfolgte, es wurde meistens während 1-2h von einer oder mehreren fremden Maschinen versucht den Server zu hacken.
Da jedoch alle sysadmin-accounts und auch das gastkonto umbenannt wurde, konnten die eindringlinge keine erfolge verbuchen...
Nachdem ich wirklich alles was es noch hätte sein können abgeschottet habe (restrict Anonymous auf 2 gesetzt und ändern der Systemzeit nur dem Sysadmin vergeben...) dachte ich ich hätte jetzt ruhe...
Leider ist dem nicht so, es ist wider passiert, allerdings diesmal OHNE angriff...
So langsam bin ich mit meinem Latein am ende...
Kennt jemand dieses Phänomen, oder sogar eine Lösung dazu?
beschreibe bitte Deine Netzwerk-Konfiguration genauer, hängt der Server direkt am Internet?
Läuft ein Firewall, wenn ja, welcher?
Was steht genau im EventLog?
AcidX - 20.11.2003, 10:15 Titel:
Das ganze ist ein 100er Intranet mit Standleitung.
Auf dem Server läuft zur Zeit keine Firewall, da ich noch keine gefunden habe die mir passt (Norton Personal ist mir zu unflexibel, ich brauchen eine die ich programmieren kann...)
Das Netzwerk selber hat auch keine HW-Firewall, da die anderen Server (nicht meine) alles selbst abgesichert sind...
Am Anfang hatte ich den Fehler gemacht, das ich restrictAnonymous nicht auf 2 gesetzt hatte, deshalb hatte ich am anfang SAM-logins die die Konten ausgelesen haben (stupid-me), Als ich das dann gecheckt hatte, habe ich alle Konten umbenannt und das Loch zugemacht. jetzt habe ich einfach jeweils Serien von 2 stündigen Loginversuchen auf Administrator oder admin usw... gehabt.
Jetzt habe ich KEIN Ereignis mehr das ich mit dem verändern der Systemzeit in verbindung bringen könnte, auch kein log das die Systemzeit geändert wurde, soweit ich weiss müsste das doch auch einen Eintrag geben oder??
Was noch ist, ich verwalte den Server über die Remote-Konsole...
Irgend eine Idee?
Webmaster - 20.11.2003, 10:56 Titel: RE...
Offensichtlich greift jemand über Port 37 (Time) auf den Server zu und verstellt das Datum.
Die Norton Firewall kannst Du sehrwohl recht umfangreich konfigurieren, wenn Dir das nicht reicht, teste mal WinRoute Firewall.
Welche Funktion hat der Server im Netzwerk?
AcidX - 20.11.2003, 11:08 Titel:
Hmmm, kann ich das selbst irgendwie testen? resp. gibt es tools die das ermöglichen?
Jep, werde die Firewall mal austesten...
Der Server wird als Web-, DB- und Mailserver (hier habe ich auch mit Kerio sehr gute Erfahrung gemacht) verwendet...
