Security-Check

So erkennen Sie Hacker auf Servern

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Offenes Relay auf dem E-Mail-Server

Die Anzahl Ihrer Transaktionsprotokolle auf den Exchange-Servern wächst sehr schnell an, wenn Ihr Exchange-Server als offenes Relay im Internet steht. Dabei wird er von anderen Servern als Zwischenstation (Relay) zum Versenden von Spam oder Viren verwendet. Stellen Sie sicher, dass nur speziell eingetragene Server Ihren Exchange-Server als Relay verwenden dürfen, und am besten nur jene in Ihrem internen Netzwerk. Die Einstellungen dazu finden Sie in den Berechtigungen der Empfangs- und Sendeconnectoren, je nach der Exchange-Version, die Sie einsetzen.

Spätestens dann, wenn Sie bemerken, dass Ihr Server auf schwarzen Listen der Spam-Versender erscheint, sollten Sie eine genaue Analyse von Exchange vornehmen und sicherstellen, dass kein Angreifer den Server dazu missbraucht, Spams oder Viren zu versenden.

Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Foto: Thomas Joos

In vielen Unternehmen gibt es Server, zum Beispiel ERP-, CRM- oder auch SharePoint-Server, die für ihre Funktionen einen E-Mail-Server auf SMTP-Basis ansprechen müssen, um E-Mails zu senden. Dies gilt auch für Multifunktionsgeräte oder Scanner. Aus Sicherheitsgründen blockiert Exchange E-Mails, die nicht von internen Anwendern kommen. Dabei ist es unerheblich, ob Exchange E-Mails intern zustellen oder über entsprechende Connectors nach außen versenden soll. Ist das Relaying für den Server deaktiviert, erhalten andere Server die Meldung: 550 5.7.1 Unable to relay. In diesem Fall ist der Server sicher. Sie finden diese Einstellungen über Nachrichtenfluss / Empfangsconnectors.

Verdächtigen Netzwerkverkehr finden

Angreifer auf Server äußern sich häufig auch durch verdächtigen Netzwerkverkehr. Hier müssen Sie sich ein wenig mit der Analyse von Netzwerken auskennen, um Angriffe zu finden. Mit dem kostenlosen Microsoft Network Monitor können Sie den Datenverkehr in Netzwerken verfolgen. Dabei muss es sich nicht immer um Microsoft-Netzwerke handeln. Das Tool steht im Microsoft Download-Center zur Verfügung. Informationen zu diesem Tool finden Sie auf den folgenden Seiten:

Blog zu Microsoft Network Monitor

Network Monitor Open Source Parsers

Network Monitor Experts

TechNet-Forum

Mit New Capture / Start beginnen Sie einen Scanvorgang. Auf den Seiten erhalten Sie auch Anleitungen, wie Sie Filter setzen und den Verkehr dadurch übersichtlicher überwachen können. Sie können den Scan-Vorgang auch abspeichern und an Spezialisten senden, die die Daten besser auswerten können.

SmartSniff bietet einen einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
SmartSniff bietet einen einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
Foto: Thomas Joos

Neben dem Microsoft Network Monitor können Sie auch das Tool Wireshark nutzen. Auch dieses ermöglicht eine Analyse des Netzwerkverkehrs. Um das Tool optimal nutzen zu können, müssen Sie noch WinPcap installieren, eine Erweiterung für Windows, die es Netzwerkprogrammen erlaubt, den Datenverkehr mitzuschneiden.

Wenn Sie nur eine schnelle Übersicht über den aktuellen Datenverkehr sowie über die verschickten Pakete erhalten wollen, ohne einen Treiber installieren oder die Anwendung kompliziert einrichten zu müssen, ist SmartSniff die richtige Wahl. Sie können das Tool ohne Installation direkt starten. Nach dem Start klicken Sie auf das grüne Dreieck, um den Sniffer-Vorgang zu starten.

Zur Startseite