Moin,
ich habe einen Windows 2008 R2 Server am laufen, der seit heute unter Beschuss von irgendwelchen Scriptkiddies steht (siehe Screenshot vom Netstat). Es werden systematisch alle Ports gefloodet, dadurch ist der Webserver nicht mehr wirklich erreichbar.
Wie kann ich die Anfragen abblocken bzw. alle eingehenden Anfragen von einem bestimmten IP Adressbereich (81.x.x.x) ignorieren?
steht der Server nicht hinter einer Firewall mit der du den Adressbereich blocken kannst?
Also meiner Meinung nach versucht dein Rechner eine Verbindung zu der jeweiligen IP aufzunehmen.
Wäre es andersrum, müsste bei Dir ein Syn_Ack stehen.
Ich würde als aller Erstes deinen Rechner scannen (NOD32 Antivirus), ggf mal Hijackthis und GMER rüberlaufen lassen und dann das Ergebnis auswerten.
Ist das ein gehosteter 2008 R2 oder steht der bei Dir daheim?
"blocken" kannst Du da nichts, wenn es von Dir aus geht. Eingehende Anfragen kannst Du durch eine Firewall (beispielsweise Astaro Security Gateway) blocken bzw erledigt dies das IPS für dich.
Edit:
Bevor man es garnicht versteht: http://www.tcpipguide.com/free/diagrams/tcpopen3way.png
keine Firewall - der Server steht irgendwo im Rechenzentrum - an ner evtl. vorhandenen Hardwarefirewall kann ich also nix ändern.
Danke,d as wars! Hab jetzt alle ausgehenden Verbindungen auf Port 21 geblockt… Jetzt erstmal schauen, wo der Mist herkommt (Trojaner o.ä.?).
Dann frage mal bei Manitu (?) nach.
Bzw klapper bei vollständigen Rootzugriff die "Lösungen" ab.
Edit da Du schneller warst: Dein Provider mit Zugriff auf die FW kann u.U. sehen von wo die Anfragen kommen. Dazu gibt es Statistiken, IPS logs, alles Mögliche.
Sollte es Conficker sein, dann müsste dort übersetzt stehen "Conficker Anfrage geblockt… blabla"
Ist halt alles eine Einstellungssache.
Da muss ich dann mal nachhaken bzw. n paar Tools drüberlaufen lassen.
Danke schonmal für die Hilfe!
Stimmt, ist mir garnicht gleich aufgefallen.
Wenn man sich die Adressen anschaut, erkennt man auch ein Schema, welches da abgearbeitet wird.
Ich vermute, das dein Server dazu benutzt wird FTP-Server zu finden.
Denn dein Server versucht mit einem gewissen System, den Verbindungsaufbau über FTP-Port 21.
Und? Haben die "Scriptkiddies" aufgehört dich zu ärgern? 
ja, jetzt is Ruhe
Was war's denn?
