1
Wie kann ich feststellen auf welcher WS sich jemand falsch angemeldet hat?
viele Falschanmeldungen im Sicherheitsprotokoll des PDC
Hallo,
ich habe heute einen ganze Reihe Falschanmeldungen im Sicherheitsprotokoll unseres PDC entdeckt:
"09.10.2007 10:07:39 Security Fehlerüberw. An-/Abmeldung 529 NT-AUTORITÄT\SYSTEM SERVER "Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: bergmann
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: GIG
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7228
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -"
dazu noch als Info: unsere Domäne lautet "GIG" und der Name des PDC ist einfach "Server"
Ich bin bisher eigentlich davon ausgegangen das bei "Name der Arbeitsstation" der Name oder die IP der WS steht von der aus der Loginversuch gestartet wurde - habe ich Change festzustellen von wo der Anmeldungsversuch gekommen ist?
An den "Anmeldetyp: 3" erkennt man ja das es nicht etwa ein Dienst ist der auf einer WS läuft und sich versucht periodisch anzumelden, sondern ein echtes Login - soweit ich zumindes weiß...
Auch betrifft das ganze 5 verschiedene Userkonten und die Zeiten zwischen den Versuchen sind unregelmäßig.
Klar hab eich die entsprechenden Konten erstmal geschützt, mein ziel ist es aber herauszufinden wer oder was da versucht zu "hacken"
Über jede Idee bin ich dankbar...
MfG
Kai
ich habe heute einen ganze Reihe Falschanmeldungen im Sicherheitsprotokoll unseres PDC entdeckt:
"09.10.2007 10:07:39 Security Fehlerüberw. An-/Abmeldung 529 NT-AUTORITÄT\SYSTEM SERVER "Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: bergmann
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: GIG
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7228
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -"
dazu noch als Info: unsere Domäne lautet "GIG" und der Name des PDC ist einfach "Server"
Ich bin bisher eigentlich davon ausgegangen das bei "Name der Arbeitsstation" der Name oder die IP der WS steht von der aus der Loginversuch gestartet wurde - habe ich Change festzustellen von wo der Anmeldungsversuch gekommen ist?
An den "Anmeldetyp: 3" erkennt man ja das es nicht etwa ein Dienst ist der auf einer WS läuft und sich versucht periodisch anzumelden, sondern ein echtes Login - soweit ich zumindes weiß...
Auch betrifft das ganze 5 verschiedene Userkonten und die Zeiten zwischen den Versuchen sind unregelmäßig.
Klar hab eich die entsprechenden Konten erstmal geschützt, mein ziel ist es aber herauszufinden wer oder was da versucht zu "hacken"
Über jede Idee bin ich dankbar...
MfG
Kai
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 70476
Url: https://administrator.de/contentid/70476
Printed on: April 25, 2024 at 15:04 o'clock
1 Comment
hat den niemand dazu hier eine Idee oder Tipp?
