57263
Nov 18, 2011
4998
8
0
3205 fehlgeschlagene Anmeldungen in kurzer Zeit - unbekannter Nutzername
Wir bekommen von Zeit zu Zeit, etwa einmal im Monat, etliche tausend fehlschlagende Anmeldungen, obwohl weder Remotedesktop noch TSWeb geöffnet sind. Freigegeben sind nur Port 21, 25, 80, 443 und 1723.
Meldungen im Ereignisprotokoll wie hier:
Ereigniskennung 529
3205 Mal
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: z. B. megan - variiert, auch dave, usuario, anna, director, reception oder qwerty
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: UNSERE DOMÄNE
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7364
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Am 17.11. von 21:59:44 bis 22:01:46, also in 2 Minuten mit etwa 26 Anmeldungen pro Sekunde
Kann mir jemand helfen, wie man uns findet, über welches Tor die hereinkommen und wie man das sperren kann?
Ereigniskennung 529
3205 Mal
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: z. B. megan - variiert, auch dave, usuario, anna, director, reception oder qwerty
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: UNSERE DOMÄNE
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7364
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Am 17.11. von 21:59:44 bis 22:01:46, also in 2 Minuten mit etwa 26 Anmeldungen pro Sekunde
Kann mir jemand helfen, wie man uns findet, über welches Tor die hereinkommen und wie man das sperren kann?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176495
Url: https://administrator.de/contentid/176495
Printed on: April 19, 2024 at 18:04 o'clock
8 Comments
Latest comment
Also ich würde sagen da versucht anscheinend jemand sich mit einem Wörterbuchangriff reinzuhacken.Würde als erstes mal Passwörter sicherer machen.Mindestens 10 Zeichen,Groß,klein,Zahlen,Sonderzeichen.Aber keine Wörter sondern lange wirre Kombinationen die keinen Sinn ergeben.
Wörterbuchangriff
Beim Wörterbuchangriff wird versucht, mit Hilfe elektronischer Wörterbücher Passwörter zu erraten. Da sich bei der Wahl von Passwörter auf Grund des menschlichen Faktors an der sprachlichen Umgebung orientiert wird, führten solche Angriffe in der Vergangenheit wesentlich schneller zum Erfolg als das Brute-Force-Cracking.
Als Gegenmaßnahme wurden Passwort-Policys (Passwortregeln) technisch durchgesetzt, die zusätzlich Ziffern und/oder Sonderzeichen sowie ggf. Großbuchstaben bei der Passwortwahl erfordern. Damit hat ein normaler Wörterbuchangriff keinen Erfolg mehr.
Wörterbuchangriff
Beim Wörterbuchangriff wird versucht, mit Hilfe elektronischer Wörterbücher Passwörter zu erraten. Da sich bei der Wahl von Passwörter auf Grund des menschlichen Faktors an der sprachlichen Umgebung orientiert wird, führten solche Angriffe in der Vergangenheit wesentlich schneller zum Erfolg als das Brute-Force-Cracking.
Als Gegenmaßnahme wurden Passwort-Policys (Passwortregeln) technisch durchgesetzt, die zusätzlich Ziffern und/oder Sonderzeichen sowie ggf. Großbuchstaben bei der Passwortwahl erfordern. Damit hat ein normaler Wörterbuchangriff keinen Erfolg mehr.
Wir haben eine solche Regel: Passwörter mindestens 8 Zeichen, Groß- und Kleinschreibung, Sonderzeichen müssen enthalten sein. Nur Erneuerung alle 42 Tage machen wir nicht.
Aber über welches Tor kommen dieser Angriff zum Server durch? VPN?
Aber über welches Tor kommen dieser Angriff zum Server durch? VPN?
Moin,
prüf mal deine Firewall auf offene Ports und mach alle zu, die nicht benötigt werden.
Des weiteren würde ich den schuldigen nicht immer im WWW suchen...
Unter Umständen hat sich ein Client PC bei euch im Netzwerk unbemerkt zu einem Zombierechner in einem Botnetz machen lassen und gewährt somit Fremden Rechner Zugriff auf euer Netzwerk.
Das kann durch eine Sicherheitslücke im Betriebssystem oder ein Schadprogramm kommen, dass der User versehentlich oder absichtlich runtergelassen hat.
Pauschal (und absolut ins blaue) Firewall zu machen und in den Logs der Firewall schauen, wer alles raus und wer alles rein möchte.
Gruß Keksdieb
prüf mal deine Firewall auf offene Ports und mach alle zu, die nicht benötigt werden.
Des weiteren würde ich den schuldigen nicht immer im WWW suchen...
Unter Umständen hat sich ein Client PC bei euch im Netzwerk unbemerkt zu einem Zombierechner in einem Botnetz machen lassen und gewährt somit Fremden Rechner Zugriff auf euer Netzwerk.
Das kann durch eine Sicherheitslücke im Betriebssystem oder ein Schadprogramm kommen, dass der User versehentlich oder absichtlich runtergelassen hat.
Pauschal (und absolut ins blaue) Firewall zu machen und in den Logs der Firewall schauen, wer alles raus und wer alles rein möchte.
Gruß Keksdieb
Auf "SERVER" das Protokoll prüfen, auch das Anwendungsprotokoll welcher Service die Anmeldung entgegen nimmt. Kann auch z.B. IIS oder der FTP Dienst sein wenn Windows Authentifizierung erlaubt ist. Falls SERVER intern ist besteht die Möglichkeit das auf einer Station (Laptop etc.) ein Trojaner versucht Dateishares zu infizieren. Dafür spricht z.B. das nur sporadische Auftreten mit hoher Anmeldefrequenz und eher aus dem englischsprachigen geläufigen Benutzernamen.
alles geprüft, keine weiteren Einträge, außer denen, die ich oben im ersten Post aufgeführt habe.
Weder ein User war eingeloggt, noch ein Notebook, noch ist genau zu dieser Zeit in einem anderen Protokoll etwas geloggt worden.
Weiterhin ist ein F-Secure-Virenscanner auf dem Server, in Exchange und auf allen WS und Notebook aktiv.
Weder ein User war eingeloggt, noch ein Notebook, noch ist genau zu dieser Zeit in einem anderen Protokoll etwas geloggt worden.
Weiterhin ist ein F-Secure-Virenscanner auf dem Server, in Exchange und auf allen WS und Notebook aktiv.
Auch bei IIS, FTP, SMTP und ähnlichen die Logfiles geprüft? Zur Zeit ist z.B. wieder eine Welle mit Brute-Force auf SMTP Logins unterwegs, das würde genau passen...
Gruß
Andreas
Gruß
Andreas
Was für eine Serverversion hast den?
Sicherheitsupdates Aktuell?
Wenn du dir sicher bist das es nicht von Intern kommt setz dich am Wochenende oder in der Nacht mal hin und mach einen Port nach dem anderen ZU und schau ob immernoch Angriffe reinkommen..
Sicherheitsupdates Aktuell?
Wenn du dir sicher bist das es nicht von Intern kommt setz dich am Wochenende oder in der Nacht mal hin und mach einen Port nach dem anderen ZU und schau ob immernoch Angriffe reinkommen..
habe dann FTP- und Outlook-Web-Access-Ports zusätzlich geschlossen, jetzt gab es schon lange keine Angriffe mehr
