Hallo zusammen,
ich habe seit über einem Jahr einen VServer bei Netcup und bekam einen Abusehinweis, mit folgendem Inhalt:
ZitatAlles anzeigen
Ihr Server ############ - RS 1000 SAS G8 xRAM hat einen Angriff auf einen oder mehrere andere Server im Internet ausgeführt. Dabei wurden erhebliche Netzwerkressourcen beansprucht und Teile unseres Netzwerks stark beeinträchtigt. Ihr Server wurde deshalb deaktiviert.
...
1970-01-01 03:00:00 block TCP from 194.######### to 46.243.182.XXX:3389
1970-01-01 03:00:00 block TCP from 194.######### to 46.243.181.XXX:3389
1970-01-01 03:00:00 block TCP from 194.######### to 46.243.182.XXX:3389
1970-01-01 03:00:00 block TCP from 194.######### to 46.243.182.XXX:3389
2020-01-12 14:05:37 block TCP from 194.######### to 46.243.186.XXX:3389
2020-01-12 14:05:37 block TCP from 194.######### to 46.243.186.XXX:3389
2020-01-12 14:05:37 block TCP from 194.######### to 46.243.186.XXX:3389
(Ich habe die IP-Adresse meines VServers mit ##### unkenntlich gemacht)
Auf dem VServer läuft nur ein MySQL-Datenbankserver, ansonsten nichts.
Betriebssystem ist Windows Server 2016 Standard.
Ich interpretiere die Nachricht oben so: Von meinem VServer aus wurden bruteforce-Angriffe auf andere Server im Internet getätigt- daher wurde der VServer heruntergefahren.
Ich habe nun den VServer im Rettungssystem starten lassen- und die Windows Partition eingebunden, um Datensicherung zu betreiben und die Ursache zu finden...
--> Wisst ihr wie man nun Windows Anmelde-Logs o.ä. noch auswerten kann, um zu sehen wer sich auf meinem VServer z.B. via RDP eingeloggt hat?
Oder habt ihr andere Vorschläge was man da nachträglich Analyse-mäßig noch tun kann?