hallo,

derzeit kursiert ja ein mohaa exploit (Wurm) im Internet rum.
Finde allerdings keinen Patch. Der Win2003 Server wurde inzwischen auch schon 2 mal gehackt. (windows wurde nach dem ersten mal neuinstalliert).

Jetzt will ich sehen ob es wirklich dieser mohaa exploit ist (und installiere daher nicht mohaa server sofort).
Frage wie kann ich mehr Sicherheit auf dem Server bringen?

Dateifreigabe deaktiveren
VNC zusätzlich installieren
schwieriges Admin Pass wählen

gibt es noch ein paar Tips?
gruß

mmm...

Als was arbeitet der Server? Wo hängt er rum (Lan, DMZ oder Internet)?

Ist bei NGZ als Gameserver eingerichtet.
Windows Firewall.

die Mohaa Software wird von NGZ bereitgestellt

Unfug[/POST]']Dateifreigabe deaktiveren
VNC zusätzlich installieren
schwieriges Admin Pass wählenUnfug[/POST]']Ist bei NGZ als Gameserver eingerichtet.
Windows Firewall.

die Mohaa Software wird von NGZ bereitgestelltmmm...

Ich bin mir nicht sicher, was NGZ ist, aber wenn es das ist, was ich vermute, frage ich mich, wieso da überhaupt eine Dateifreigabe sein sollte. Das Teil soll dicht sein, wenn da ein Portscan drüberläuft, soll demnach nur 1 Port antworten, mehr nicht. Da du aber nicht sagst, was die Kiste macht, geschweige den, ob sie direkt im Internet erreichbar ist oder in einer DMZ steht, du physikalischen Zugriff drauf hast usw. kann ich dir auch nicht helfen.

Lokadamus[/POST]']mmm...

Ich bin mir nicht sicher, was NGZ ist, aber wenn es das ist, was ich vermute, frage ich mich, wieso da überhaupt eine Dateifreigabe sein sollte. Das Teil soll dicht sein, wenn da ein Portscan drüberläuft, soll demnach nur 1 Port antworten, mehr nicht. Da du aber nicht sagst, was die Kiste macht, geschweige den, ob sie direkt im Internet erreichbar ist oder in einer DMZ steht usw. kann ich dir auch nicht helfen.


NGZ ist ein Anbieter für unteranderem Gameserver.
http://www.ngz-server.de/rootserver/rootserver.php

Es ist also kein Rootserver, der "Zuhause" steht.
Win2003 wird vorinstalliert. Die MohAA Software kann man dann mittels Webinterface runterladen und aktivieren.
Der Exploit befindet sich hier
http://www.security.nnov.ru/Gnews122.html
er greift quasi den Port von Mohaa an.

Interessant wäre halt noch weiter Absicherung oder Log Programme.
Gruß

mmm...

Wenn es der Wurm ist, hilft momentan eigentlich nur, den inoffiziellen Fix zu installieren oder das Spiel über einen anderen Port laufen zu lassen. Greift der Wurm nur auf den Standardport zu, ist das Problem so erstmal gelöst.

Wenn die Kiste über etwas anderes gehackt wurde, müsste man nen Portscan machen und schauen, was alles antwortet und die Sachen absichern.

Ein ordentliches Passwort ist eh Pflicht.

Lokadamus[/POST]']mmm...

Wenn es der Wurm ist, hilft momentan eigentlich nur, den inoffiziellen Fix zu installieren oder das Spiel über einen anderen Port laufen zu lassen. Greift der Wurm nur auf den Standardport zu, ist das Problem so erstmal gelöst.

Wenn die Kiste über etwas anderes gehackt wurde, müsste man nen Portscan machen und schauen, was alles antwortet und die Sachen absichern.

Ein ordentliches Passwort ist eh Pflicht.

inoffizielen patch hab ich leider bisher nicht gefunden.
ich werd dann mohaa erstmal auf anderen port laufen lassen und wie gesagt einen portscan durchführen lassen.

hast du noch empfehlungen von programme, die man auf einem win2003 server haben sollte? (auch auf hinsicht, falls mal der server gehackt wurde, daß man doch noch drauf kommt?)


gruß

Unfug[/POST]']inoffizielen patch hab ich leider bisher nicht gefunden.
ich werd dann mohaa erstmal auf anderen port laufen lassen und wie gesagt einen portscan durchführen lassen.

hast du noch empfehlungen von programme, die man auf einem win2003 server haben sollte? (auch auf hinsicht, falls mal der server gehackt wurde, daß man doch noch drauf kommt?)


grußmmm...

Portscan kannst du selber machen. Soweit ich dich verstanden habe, hängt die Kiste direkt im Internet, wodurch die Kiste alle Anfragen entweder verwirft oder beantwortet.

Wegen Fix, von wann ist die eigentliche Meldung?
Die News, über die ich gestolpert bin, ist aus dem Jahr 2004 und dafür gibt es einen inoffiziellen Fix. Interessanterweise scheinen es momentan die gleichen Versionen zu sein, was bedeutet, es ist bisher kein Patch erschienen ... http://www.heise.de/security/news/meldung/49204 ...

Wegen anderen Programmen, gute Frage. Momentan ist eher die Frage, wie die Kiste gehackt wurde, dann könnte man besser ansetzen.

Lokadamus[/POST]']mmm...

Portscan kannst du selber machen. Soweit ich dich verstanden habe, hängt die Kiste direkt im Internet, wodurch die Kiste alle Anfragen entweder verwirft oder beantwortet.

Wegen anderen Programmen, gute Frage. Momentan ist eher die Frage, wie die Kiste gehackt wurde, dann könnte man besser ansetzen.


Ja die Kiste ist direkt im Internet.
Programme die darauf gelaufen sind waren:
Teamspeak
Mohaa Spearhead Server


Ich werde gleich mal ein Portscan machen, wenn Windows wieder frisch drauf ist und den "alten" Fix einspielen.

Gruß

Ich würde die lokale Sicherheitsrichtlinie dahingehend bearbeiten, das nach einer bestimmten Anzahl versuchter Logins das Konto für x-Minuten gesperrt wird. So werden Bruteforce-Attacken erschwert. Außerdem würde ich den Admin umbenennen (z.B. Admin2k3 oder so) und mir einen extra User anlegen (mit dem Admin wird nicht gearbeitet!) mit dem ich auf der Kiste arbeite (mit Adminrechten, falls erforderlich). Kennwörter sollten logischerweise komplex sein -> mind. 8 Zeichen, Groß/Kleinschreibung und Sonderzeichen/Zahlen. Windows-Firewall natürlich aktiv und keine Ausnahmen zulassen ... hmm, mehr fällt mir im Moment nicht ein :usweet:

HH2k[/POST]']Ich würde die lokale Sicherheitsrichtlinie dahingehend bearbeiten, das nach einer bestimmten Anzahl versuchter Logins das Konto für x-Minuten gesperrt wird. So werden Bruteforce-Attacken erschwert. Außerdem würde ich den Admin umbenennen (z.B. Admin2k3 oder so) und mir einen extra User anlegen (mit dem Admin wird nicht gearbeitet!) mit dem ich auf der Kiste arbeite (mit Adminrechten, falls erforderlich). Kennwörter sollten logischerweise komplex sein -> mind. 8 Zeichen, Groß/Kleinschreibung und Sonderzeichen/Zahlen. Windows-Firewall natürlich aktiv und keine Ausnahmen zulassen ... hmm, mehr fällt mir im Moment nicht ein :usweet:


ok danke werd ich befolgen.
der port scan auf die üblichen windows ports hat ergeben, daß alle gefiltert werden bis auf die remotedesktopverbindung.
also reagiert die firewall.

ich vermute stark es lag wirklich an mohaa.

Ich würde evt. noch den Rootkitdetector von F-Secure empfehlen und den McAfee VirusScan Enterprise 8.0i. Wenn man sich mit dem Scanner auseiandersetz ist er mächtig wie kein Zweiter ;)
Desweiteren natürlich die lokalen Sicherheitsrichtlinien in Punkto Passwortlänge und Haltbarkeit der Passwörter ändern, "Administrator" umbennen und nur mit einem User arbeiten, der nicht volle Root-Rechte hat.

Der wichtigste Punkt jedoch ist, dass du Dienste ausschaltest, die du nicht benötigst (http://www.dingens.org/), und dich up2date hälts mit aktuellen Exploits und Sicherheitslücken, damit du gegebenenfalls die Dienste die paar Stunden/Tage deaktivierst, bis der Patch erschienen ist.

Windows Firewall wäre eigentlich nicht notwendig. Hierzu etwas Lektüre:
http://www.ntsvcfg.de/linkblock.html
--> Punkt B.