Im verlinkten Artikel steht, dass durch die DOS-Attacke das Betriebssystem vorübergehend lahm gelegt wäre und nach dem Angriff wieder zur Verfügung steht. Ein Kapern vom Betriebssystem wäre nicht möglich.
https://de.wikipedia.org/wiki/Remote_Code_Execution
Edit: Wäre natürlich super wenn er Remote abgeschaltet würde, da bin ich ganz bei Dir. 
Ich weiß nicht, ob die Frage schon gestellt und evtl. beantwortet wurde:
Gibt es denn einen triftigen Grund, warum ein so altes System gewählt wurde?
Welche Umstände sprechen gegen ein aktuelles Windows oder evtl. LInux? (welches leichter abzusichern ist)
Es gibt bereits genügend Foren in welchen sich Leute gegenseitig die Köpfe einschlagen, weil jeder meint er hätte das beste Betriebssystem und andere Leute haben gefälligst das selbe Betriebssystem zu verwenden. Sie sehen doch wie es hier bereits zugeht. Warum sollen wir nun die Linux vs. Windows-Diskussion hier auch noch führen?
Das war eine durchaus ernstgemeinte Frage nach den Beweggründen.
Es ist ja wohl unstrittig, dass veraltete Systeme, die keine Updates mehr bekommen deutlch angreifbarer sind.
Wenn man nun, wie hier, kein altes, vorhandenes System hat, sondern eins neu aufsetzt, muss es ja irgendeinen Grund geben, warum man auf ein veraltetes Betriebssystem setzt, wenn man genausogut ein neueres nehmen könnte.
https://de.wikipedia.org/wiki/Remote_Code_Execution
Edit: Wäre natürlich super wenn er Remote abgeschaltet würde, da bin ich ganz bei Dir.
Im Artikel steht ausdrücklich drin, dass das nicht geht. Bitte selber mal lesen.
Es gibt bereits genügend Foren in welchen sich Leute gegenseitig die Köpfe einschlagen, weil jeder meint er hätte das beste Betriebssystem und andere Leute haben gefälligst das selbe Betriebssystem zu verwenden. Sie sehen doch wie es hier bereits zugeht. Warum sollen wir nun die Linux vs. Windows-Diskussion hier auch noch führen?
Warum Linux gegen Windows? Wenn du Windows Server 2022 verwendeten würdest (und das Wissen hast diesen entsprechend abzusichern + diesen zu lizenzieren, was auf virtuellen Servern schwer ist) würde sich keiner beschweren.
Andersherum, wenn du ein Debian Squeeze (LTS EOL war 2016) oder Debian 4.0 (EOL 2010 - genau wie bei WIn 2000) betreiben würdest, würden sich genauso viele beschweren.
Edit: aRaphael hat ja sogar explizit "aktuelles Linux oder Windows" geschrieben...
Im verlinkten Artikel steht, dass durch die DOS-Attacke das Betriebssystem vorübergehend lahm gelegt wäre und nach dem Angriff wieder zur Verfügung steht. Ein Kapern vom Betriebssystem wäre nicht möglich.
Stimmt my bad, nächste https://learn.microsoft.com/en…tybulletins/2008/ms08-065
Edit: dafür gibts sogar ein Update, vlt findest Du es ja irgendwo noch, hab jetzt keine Lust mehr durch Bugs von EOL Software zu scrollen, verwende doch bitte ein aktuelles Betriebssystem deiner Wahl, Du haftest für das was auf der Kiste passiert und handelst hier grob fahrlässig...
... diesen zu lizenzieren, was auf virtuellen Servern schwer ist
Ich bin mir inzwischen gar nicht mehr so sicher, ob diese restriktiven Lizenzmodelle, die MS für virtualisierte Systeme hat, für den Europäischen Markt überhaupt gültig und einklagbar sind (weil im Widerspruch zu europäischen Verordnungen). Wahrscheinlich kann man Windows durchaus mit einer ganz normalen Lizenz auf einem VPS/RS installieren, ohne viel befürchten zu müssen.
Stimmt my bad, nächste https://learn.microsoft.com/en…tybulletins/2008/ms08-065
Edit: dafür gibts sogar ein Update, vlt findest Du es ja irgendwo noch, hab jetzt keine Lust mehr durch Bugs von EOL Software zu scrollen, verwende doch bitte ein aktuelles Betriebssystem deiner Wahl, Du haftest für das was auf der Kiste passiert und handelst hier grob fahrlässig...
Irrwisch, Sie sind nun der Rekordhalter im Verbreiten von Falschinformationen.
Bitte lesen Sie auch diesen Artikel, im Speziellen diese Stelle:
ZitatBy default, the Message Queuing component is not installed on any affected operating system edition and can only be enabled by a user with administrative privileges. Only customers who manually install the Message Queuing component are likely to be vulnerable to this issue.
Ich bin mir inzwischen gar nicht mehr so sicher, ob diese restriktiven Lizenzmodelle, die MS für virtualisierte Systeme hat, für den Europäischen Markt überhaupt gültig und einklagbar sind (weil im Widerspruch zu europäischen Verordnungen). Wahrscheinlich kann man Windows durchaus mit einer ganz normalen Lizenz auf einem VPS/RS installieren, ohne viel befürchten zu müssen.
Stimmt, das habe ich hier schon mal gelesen – ist aber in diesem Thread leider irrelevant, da ja unbedingt ein Betriebssystem mit einem Support-Ende von 2010 genutzt werden muss. (Kann man eigentlich Windows 2000 überhaupt korrekt für Server lizenzieren?)
Ich verstehe auch nicht, warum man unbedingt Windows 2000 verwenden will. Deine Frage diesbezüglich ist meiner Auffassung nach eindeutig korrekt. Ich verstehe ja, wenn man Windows 11 auf einem Server haben will, weil man eine bestimmte Clientanwendung jederzeit verfügbar haben möchte (was natürlich aus Sicherheitsgründen nicht ideal ist, aber für einen unerfahrenen Nutzer noch nachvollziehbar – auch wenn Alternativen wie Shadow für 9,99 € existieren. Aber diese Nutzer sehen meistens einfach den Vorteil: Ein Server für 5 € mit gleicher Leistung – was wird da schon der Unterschied sein). Aber hier scheint es sich ja um einen einigermaßen erfahrenen Nutzer zu handeln, der keinen wirklichen Grund hat, Windows 2000 zu nutzen.
Meine persönliche Meinung: Es gibt hier eigentlich nur zwei Möglichkeiten: Entweder er meint es ernst mit Windows 2000, oder er trollt hier nur ein wenig. Persönlich tendiere ich zu letzterem und werde daher nicht weiter darauf eingehen. Wenn er es ernst meint, ist er ignorant genug, um mit den Konsequenzen leben zu müssen (rechtliche Schritte, Polizei etc., wenn der Server für gewisse Dinge genutzt wird. Ich werde dafür auf jeden Fall keine Zeit mehr verschwenden).
Irrwisch, Sie sind nun der Rekordhalter im Verbreiten von Falschinformationen.
Bitte lesen Sie auch diesen Artikel, im Speziellen diese Stelle:
Ist ja Dein Server, schön wenn es nicht aktiv ist, kann ich ja nicht wissen, wo ist die Falschinformation? Gut wenn Du es geprüft hast, eine Lücke weniger im Sieb.
Aber hier scheint es sich ja um einen einigermaßen erfahrenen Nutzer zu handeln, der keinen wirklichen Grund hat, Windows 2000 zu nutzen.
Wenn wir kurz davon ausgehen dass dieser Benutzer nicht nur eine Trollpersona auslebt hier, hat er laut eigener Aussage bei der Absicherung von Linux-Systemen versagt und beschließt dann, ein Windows 2000 System ans Internet zu hängen...
Früher hatte ich Linux verwendet, aber da hat sich jeder Hacker drauf spezialisiert, sodass es bei meinen begrenzten Linuxkenntnissen zum ständigen Sicherheitsalptraum geworden ist. Seit ich Windows verwende, gab es keine Probleme mehr. Das heißt nicht, dass Windows 2000 perfekt ist, aber das ist kein Betriebssystem.
..da ein seit 14 Jahren EOL-Betriebssystem vergleichbar unperfekt ist wie andere Betriebssysteme für diesen Benutzer. Wird schon gut gehen.
Ich lasse für Pflichtfeld noch einen ><(((º> da. Schönen Abend!
3. Eintrag: Aktualisierungsproblem im DNS-Zwischenspeicher. Der Server ist weitgehend passiv und macht nur in den seltensten Situationen überhaupt eine DNS-Abfrage.
4. Eintrag: Problem mit WINS-Server. NetBIOS ist bei mir deaktiviert.
5. Eintrag: Lücke in WinHTTP. Der Server surft allerdings nicht im Internet, sodass die Lücke genutzt werden könnte.
Zu meinem Leidwesen hast du durch diesen Beitrag noch mal dokumentiert, dass du leider von der Materie überhaupt keine Ahnung hast. Alles drei sind Lücken im Client System von Windows. Dafür musst du keinen Server ins Netz stellen, diese Schwachstellen kann man allein dadurch ausnutzen, dass der Server aufs Internet zugreift. Das sind genau die Lücken, von denen es oben hieß, dass nicht mal eine Linux Firewall vor dem Server gegen alle Schwachstellen schützen kann.
LASS ES! Es ist absoluter Wahnsinn, diesen Server direkt im Internet zu betreiben.
Zu meinem Leidwesen hast du durch diesen Beitrag noch mal dokumentiert, dass du leider von der Materie überhaupt keine Ahnung hast. Alles drei sind Lücken im Client System von Windows. Dafür musst du keinen Server ins Netz stellen, diese Schwachstellen kann man allein dadurch ausnutzen, dass der Server aufs Internet zugreift. Das sind genau die Lücken, von denen es oben hieß, dass nicht mal eine Linux Firewall vor dem Server gegen alle Schwachstellen schützen kann.
LASS ES! Es ist absoluter Wahnsinn, diesen Server direkt im Internet zu betreiben.
Sparen Sie sich bitte Ihre Beleidigungen. Ihr Kommentar, dass ich überhaupt keine Ahnung habe und wahnsinnig sei, können Sie sich nach Ihrer Aussage, dass alle Sicherheitslücken aus der Liste auf meinen Server zutreffen würden, nicht mehr leisten.
Hier diskutieren die selbsternannten Bademeister darüber, ob die alte Ente überhaupt noch schwimmen darf und beachten dabei nicht, dass die alte Ente schon seit über 10 Jahren schwimmt:
http://ontheserver.de/Downloads/entpackt/letzte%20%C3%84nderungen.txt
Entsprechend viele Hacker haben daher schon ihr Glück versucht.
Ich habe jedem das Angebot gemacht, dass ich mir Sicherheitslücken anschaue und gegebenenfalls finanziell entlohne. Irrwisch war der Einzige, welcher wenigstens sachlich versucht hat, eine Lücke zu finden. Dafür gebührt ihm mein Respekt.
Sparen Sie sich bitte Ihre Beleidigungen. Ihr Kommentar, dass ich überhaupt keine Ahnung habe und wahnsinnig sei, können Sie sich nach Ihrer Aussage, dass alle Sicherheitslücken aus der Liste auf meinen Server zutreffen würden, nicht mehr leisten.
Die Lücken sind aktiv auf deinem Server, vor allem die erwähnten Client Lücken. Bin gespannt, wie du den Gegenbeweis anbringen willst.
Die Lücken sind aktiv auf deinem Server, vor allem die erwähnten Client Lücken. Bin gespannt, wie du den Gegenbeweis anbringen willst.
Einen Gegenbeweis kann man nur liefern, wenn davor ein Beweis geliefert wurde. Und das haben Sie nicht.
Meinen Standpunkt haben Sie bereits gelesen: Aufgrund der Art und Weise wie die Lücken funktionieren würden, falls sie überhaupt existieren, ist nicht davon auszugehen, dass sie genutzt werden können.
Die Sache mit NetBIOS hingegen kann nicht funktionieren, das hatte ich aber auch schon geschrieben und Sie haben es zitiert..
Kurzer Einwurf zur Güte:
1. Bitte duzen, siezen wirkt komisch…
2. Mit der Erlaubnis von Pflichtfeld kann man ja versuchen seinen Server zu hacken - dann wissen wir doch ob die Lücken so gefährlich sind wie wir alle denken. Fänd ich durchaus interessant!
Einen Gegenbeweis kann man nur liefern, wenn davor ein Beweis geliefert wurde. Und das haben Sie nicht.
Falsche Herangehensweise bei einer Risikoanalyse. Der Beweis, dass die Lücken da sind, ist vorhanden, das sind die offiziellen CVE Listen. Der Gegenbeweis muss erbracht werden, dass sie beseitigt oder deaktiviert wurden, und zwar für jede einzelne. Nicht nur für die wichtigsten, die oben verlinkt sind, sondern für alle gut 500. Solange der Beweis nicht erbracht ist, muss man davon ausgehen, dass sie aktiv sind und ausgenutzt werden können.
Aufgrund der Art und Weise wie die Lücken funktionieren würden, falls sie überhaupt existieren, ist nicht davon auszugehen, dass sie genutzt werden können.
Berühmte letzte Worte.
Die Sache mit NetBIOS hingegen kann nicht funktionieren, das hatte ich aber auch schon geschrieben und Sie haben es zitiert..
NetBIOS sind auch nur ne Handvoll Lücken von den 500.
Welcher Webserver wird benutzt? IIS? Und FTP Server? Filezilla? Sind noch mal 250 Lücken extra.
Ich habe jedem das Angebot gemacht, dass ich mir Sicherheitslücken anschaue und gegebenenfalls finanziell entlohne. Irrwisch war der Einzige, welcher wenigstens sachlich versucht hat, eine Lücke zu finden. Dafür gebührt ihm mein Respekt.
Ich habe nicht nach Lücken gesucht, ich würde nicht ohne Erlaubnis auf deinen Server zugreifen und danach suchen, damit macht man sich wahrscheinlich strafbar. Ich habe wie andere hier auch Dir ein paar CVE-Listen und speziell Seiten von Microsoft gesendet die Dich hoffentlich von deinem vorhaben abbringen dein Uralt-Betriebssystem direkt ans Netz zu hängen. Weiterhin viel Glück dabei, Du wirst es brauchen. 
Ich habe nicht nach Lücken gesucht, ich würde nicht ohne Erlaubnis auf deinen Server zugreifen und danach suchen, damit macht man sich wahrscheinlich strafbar.
Vermutlich nicht, solange keine kriminelle Absicht dahintersteckt, niemand zu Schaden kommt und die Untersuchung im Vordergrund steht. Vor einigen Jahren hat ein c't Redakteur mal eine CD mit Hackertools und Anleitungen dazu veröffentlicht und sich anschließend selbst angezeigt. Das Verfahren wurde eingestellt: Keine kriminelle Absicht.
Vermutlich nicht, solange keine kriminelle Absicht dahintersteckt, niemand zu Schaden kommt und die Untersuchung im Vordergrund steht. Vor einigen Jahren hat ein c't Redakteur mal eine CD mit Hackertools und Anleitungen dazu veröffentlicht und sich anschließend selbst angezeigt. Das Verfahren wurde eingestellt: Keine kriminelle Absicht.
Ich schätze Du meinst die Selbstanzeige des iX-Chefredakteurs damals? Dabei ging es um die Verbreitung der "Hackertools". Für professionelle Pentests muss man schon eine recht umfangreiche Einwilligungserklärung unterschreiben, wäre mir als Privatperson zu heikel in DE ohne Zustimmung.
Mit der Erlaubnis von Pflichtfeld kann man ja versuchen seinen Server zu hacken - dann wissen wir doch, ob die Lücken so gefährlich sind wie wir alle denken. Fänd ich durchaus interessant!
Ich habe bisher nur mitgelesen und wollte mich zurückhalten, weil ich auch ein großer Win2000 Fan war und erst nicht glauben wollte, dass man so eine Maschine auch nur wenige Minuten ohne Probleme am Internet betreiben könne. Zu meiner Zeit der LAN Parties und Würmern wie Blaster, Sasser, etc ... hatte man viel Angriffsfläche und Spaß beim anschaulichen Lernen, was IT-Sicherheit bedeutet. Und dafür reichte es wirklich, die IP-Adresse des Computers / "Servers" zu kennen und man musste noch nicht mal großartig irgendwelche Dienste am TCP/IP Stack zu betreiben.
Daher Hut ab erstmal und es scheint genügend Wissen vorhanden zu sein, so ein Unterfangen zu stemmen und ich würde auch nicht ruhig schlafen können 
Ich fände es daher auch äußerst interessant, mit der Einverständnis von Pflichtfeld und vielleicht mit der Angabe der Dienste den Server mit dem Amateur-Pentest-Kuli zu kitzeln.
Mir machen solche Urteile bzw. die Berichterstattung darüber schon Magengrummeln und ich kann nicht verstehen, wie sowas schon als "Hacken" gewertet wird.
Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an | heise online
(Also die Erkenntnis sich eine Binary im Texteditor Notepad anzusehen und daraus das Klartext Passwort abzulesen und damit mehr Daten als erlaubt abzugreifen.)
