{"id":321187,"date":"2026-02-06T00:00:08","date_gmt":"2026-02-05T23:00:08","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=321187"},"modified":"2026-02-07T06:56:11","modified_gmt":"2026-02-07T05:56:11","slug":"rustdesk-durch-botnet-angriffe-immer-wieder-offline","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/02\/06\/rustdesk-durch-botnet-angriffe-immer-wieder-offline\/","title":{"rendered":"Rustdesk durch Botnet-Angriffe immer wieder offline (Feb. 2026)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Stop - Pixabay\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" alt=\"Stop - Pixabay\" align=\"left\" \/>Kurze Information f\u00fcr Blog-Leser die die Remote Desktop-L\u00f6sung Rustdesk einsetzen. Ein Blog-Leser hat mich dar\u00fcber informiert (danke), dass deren Server \"momentan\" offline seien. Aussage war: \"<em>das beliebte opensource RAT (remote access tool) [ist momentan] down &#8211; laut Anbieter laufen seit ein paar Tagen Botangriffe<\/em>\". Das bezieht sich auf die Szenarien, in denen auf die Server von Rustdesk zugegriffen werden muss.<\/p>\n<h2><!--more--><br \/>\nBotnet scannt Internet auf Rustdesk-Instanzen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/043254705b9942b5821294e548201e54\" alt=\"\" width=\"1\" height=\"1\" \/>Der Leser hatte mich auf auf den Thread\u00a0<a href=\"https:\/\/github.com\/rustdesk\/rustdesk\/discussions\/14167#discussioncomment-15705636\" target=\"_blank\" rel=\"noopener\">Security Alert: \"Go Client\" botnet attack #14167<\/a> hingewiesen, wo \u00fcber einen Angriff eines Botnetzes berichtet wird.<\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-19.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-321188\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-19.png\" alt=\"Rustdesk Security alert\" width=\"545\" height=\"800\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-19.png 545w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-19-204x300.png 204w\" sizes=\"auto, (max-width: 545px) 100vw, 545px\" \/><\/a><\/p>\n<p>Nutzer beobachteten zuf\u00e4llige Verbindungsanfragen von \"Go Clients\" mit unterschiedlichen IP-Adressen und IDs. Weiterhin wurden:<\/p>\n<ul>\n<li>Automatische Scans \u00f6ffentlicher RustDesk-IDs, und<\/li>\n<li>nicht zielgerichtete Brute-Force-Versuche auf Rustdesk beobachtet.<\/li>\n<\/ul>\n<p>Sprich: Ein Botnetz scannt das Internet nach Rust-Clients und generiert massenhaft Anfragen eines Go Clients. Der Nutzer erh\u00e4lt dann die in obigem Screenshot gezeigte Pop-up-Meldung. Klickt er auf\u00a0<em>Accept <\/em>bzw. auf <em>Annehmen,<\/em> wird eine Remote-Verbindung aufgebaut. Der Rechner muss als kompromittiert angesehen werden, denn die Angreifer k\u00f6nnen Schadsoftware installieren und die Kontrolle \u00fcbernehmen.<\/p>\n<h2>Was die Rustdesk-Entwickler empfehlen<\/h2>\n<p>Die von Rustdesk empfohlenen Sofortma\u00dfnahmen f\u00fcr Benutzer waren dann, nicht auf <em>Akzeptieren<\/em> f\u00fcr unbekannte Verbindungen zu klicken. Nutzer k\u00f6nnen\u00a0zu <em>Einstellungen<\/em> -&gt; <em>Sicherheit<\/em> navigieren. Wird der Passworttyp auf \"<em>Sitzungen \u00fcber Passwort akzeptieren<\/em>\" ge\u00e4ndert, funktioniert die Schaltfl\u00e4che <em>Akzeptieren<\/em> nicht mehr. Im Nachgang wurde empfohlen, ein sicheres Passwort festzulegen. Weitere Empfehlungen lauteten:<\/p>\n<ul>\n<li>Wechseln Sie zu Self-Hosting und geben Sie die IP-Adresse und den \u00f6ffentlichen Schl\u00fcssel Ihres Servers nicht weiter.<\/li>\n<li>Wechseln Sie zu Pro (Self-Hosting), dort gibt es eine zus\u00e4tzliche ACL-Ebene, die Sie sch\u00fctzt.<\/li>\n<li>Aktivieren Sie 2FA oder die IP-Whitelist.<\/li>\n<\/ul>\n<p>Intern versuchen die Entwickler mit Anti-Bot-Ma\u00dfnahmen die IP-Adressen von Bots auszusperren.<\/p>\n<h2>Botnet-Angriffe laufen seit Ende Januar 2026<\/h2>\n<p>Die Diskussion startete bereits vergangene Woche. In der Zwischenzeit bekamen Rustdesk-Nutzer sogar <em>Connection error<\/em>-Meldungen angezeigt (siehe folgende Bild), da die Entwickler die Verbindungszahl reduziert hatten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Rustdesk Connection Error\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-20.png\" alt=\"Rustdesk Connection Error\" width=\"483\" height=\"398\" \/><\/p>\n<p>In <a href=\"https:\/\/github.com\/rustdesk\/rustdesk\/discussions\/14167#discussioncomment-15662112\" target=\"_blank\" rel=\"noopener\">diesem Post<\/a> meldete sich der Rustdesk-Maintainer und schrieb, dass man unter einem gro\u00dfen Botnet-Angriff leide, der die Probleme verursache. Es wurden folgende Daten genannt:<\/p>\n<ul>\n<li>An koordinierten Angriffen beteiligte IPs: 2.060.848<\/li>\n<li>Durchschnittliche Anzahl von IPs pro Angriff: 142,5<\/li>\n<li>Maximale Anzahl von IPs in einem einzelnen Angriff: 5.660 IPs, die gleichzeitig dasselbe Ziel angreifen (und versuchen, Ihr Passwort zu erraten)<\/li>\n<\/ul>\n<p>Daher wurden Verbindungen zeitweise auf \"die gleiche Stadt\" beschr\u00e4nkt, um den Bots Herr zu werden. Zwischenzeitlich h\u00f6rten die Angriffe des Botnet kurzzeitig auf, kamen aber am 5. Februar 2026 wieder.<\/p>\n<p>Auf reddit.com gibt es den Thread <a href=\"https:\/\/www.reddit.com\/r\/rustdesk\/comments\/1qwj0ei\/is_rustdesk_working_now\/\" target=\"_blank\" rel=\"noopener\">Is rustdesk working now?<\/a>, der ebenfalls zum 5. Februar 2026 gestartet wurde. Dort wird auf <a href=\"https:\/\/www.reddit.com\/r\/rustdesk\/comments\/1cr8kfv\/should_you_selfhost_a_rustdesk_server\/\" target=\"_blank\" rel=\"noopener\">diesen reddit.com-Thread<\/a> mit einer Erkl\u00e4rung, wie Rustdesk-Server arbeiten, verwiesen. Erkl\u00e4rt, warum die Rustdesk-Instanzen gefunden werden und wie die Maintainer versuchen, einzugreifen. Jemand von diesem Problem betroffen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kurze Information f\u00fcr Blog-Leser die die Remote Desktop-L\u00f6sung Rustdesk einsetzen. Ein Blog-Leser hat mich dar\u00fcber informiert (danke), dass deren Server \"momentan\" offline seien. Aussage war: \"das beliebte opensource RAT (remote access tool) [ist momentan] down &#8211; laut Anbieter laufen seit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/02\/06\/rustdesk-durch-botnet-angriffe-immer-wieder-offline\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,7459,7862],"tags":[15529,987],"class_list":["post-321187","post","type-post","status-publish","format-standard","hentry","category-internet","category-software","category-stoerung","tag-rustdesk","tag-storung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321187","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321187"}],"version-history":[{"count":5,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321187\/revisions"}],"predecessor-version":[{"id":321235,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321187\/revisions\/321235"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321187"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321187"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321187"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}