16
Angriff auf meinen SBS 2k3 Server! Aber wie nur?
Hallo Zusammen,
meine Ereignisanzeige ist überflutet mit tausenden von folgenden Fehlermeldungen die sich vorgestern in einem Zeitraum von 9 Stunden alle 4 Sekunden wiederholt haben, der einzige unterschied zwischen den vielen Ereignissen ist der Benutzername der wechselt durch über alle möglichen Benutzernamen (administrator, adminisdrador, test, mail, alex, manager, guest, new, info, backup, 111, 222, 123, etc....)
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: alice
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: [MEIN SERVERNAME]
Aufruferbenutzername: [MEIN SERVERNAME]$
Aufruferdomäne: [MEIN DOMÄNENNAME]
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1568
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp
Nun inzwischen ist es ja schon zu spät, die letzten 2 Tage war es wieder ruhig. Ich hätte trotzdem ein paar Fragen.
1. Warum sehe ich keine Quellnetzwerkadresse und Port?
2. Was für ein Art von Anmeldung könnte das gewesen sein?
Ich habe folgende 'nur' Services vom Internet aus erreichbar:
Port 80 (kleine Homepage unter IIS teilweise auch mit Zugriffskontrolle)
Port 443 (Exchange Active Sync für PDA Synchronisation)
Port 25 (Ist ja Hauptsächlich ein Mailserver mit Exchange
)
Ich würde halt gerne wissen auf welchen Weg das ganze passiert ist, aber empfinde das Eregnisprotkoll hier etwas sehr dürftig an Informationen, wenn ich eine Anmeldung z.B. an OWA oder auf einer Webseite bewusst mit falschem Benutzername durchführe, dann taucht wenigstens die IP im Ereignis auf
Ich hoffe ihr könnt mir helfen.
Vielen Dank
Bernd
meine Ereignisanzeige ist überflutet mit tausenden von folgenden Fehlermeldungen die sich vorgestern in einem Zeitraum von 9 Stunden alle 4 Sekunden wiederholt haben, der einzige unterschied zwischen den vielen Ereignissen ist der Benutzername der wechselt durch über alle möglichen Benutzernamen (administrator, adminisdrador, test, mail, alex, manager, guest, new, info, backup, 111, 222, 123, etc....)
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: alice
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: [MEIN SERVERNAME]
Aufruferbenutzername: [MEIN SERVERNAME]$
Aufruferdomäne: [MEIN DOMÄNENNAME]
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1568
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp
Nun inzwischen ist es ja schon zu spät, die letzten 2 Tage war es wieder ruhig. Ich hätte trotzdem ein paar Fragen.
1. Warum sehe ich keine Quellnetzwerkadresse und Port?
2. Was für ein Art von Anmeldung könnte das gewesen sein?
Ich habe folgende 'nur' Services vom Internet aus erreichbar:
Port 80 (kleine Homepage unter IIS teilweise auch mit Zugriffskontrolle)
Port 443 (Exchange Active Sync für PDA Synchronisation)
Port 25 (Ist ja Hauptsächlich ein Mailserver mit Exchange
)Ich würde halt gerne wissen auf welchen Weg das ganze passiert ist, aber empfinde das Eregnisprotkoll hier etwas sehr dürftig an Informationen, wenn ich eine Anmeldung z.B. an OWA oder auf einer Webseite bewusst mit falschem Benutzername durchführe, dann taucht wenigstens die IP im Ereignis auf
Ich hoffe ihr könnt mir helfen.
Vielen Dank
Bernd
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157299
Url: https://administrator.de/contentid/157299
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
16 Kommentare
Neuester Kommentar
hallo,
check mal dein Netzwerk nach Conficker..
check mal dein Netzwerk nach Conficker..
Hallo,
Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003
kristov
Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003
kristov
Der ist es nicht, der Server hatte schon immer SP2 und im Netzwerk ist auch Virenscan up to date und auch trifft keines der Sympthome (wie bei Wikipedia beschriebn) zu. Ausserdem war es ja ein einmaliger Angriff über 9 Stunden verteilt, davor nie und danach nicht mehr. Ich denke das muss von aussen gekommen sein nur wie?
Zitat von @kristov:
Hallo,
Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003
kristov
Hallo,
Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003
kristov
Hallo,
also Schadsoftware kann ich eigentlich ausschließen, zumal es bisher einamlig war. Die Artikel sind interessant, hatte wohl das gleiche Problem, nur enden beide Artikel mit dem Verweis in die Firewall-Logs zu sehen. Das kann ich nciht, da dort bei mir nichts geloggt wird
Kann man denn sich irgendwie benachrichtitgen lassen für den Fall dass das wieder auftritt? Dann würde ich im Bedarfsfall Wireshark dazwischen hängen.
Bernd
Kann man denn sich irgendwie benachrichtitgen lassen für den Fall dass das wieder auftritt? Dann würde ich im
Bedarfsfall Wireshark dazwischen hängen.
Bedarfsfall Wireshark dazwischen hängen.
Nachtrag: Hab ne einfache Lösung dafür gefunden, sogar mit Bordmitteln (eventtriggers.exe) und BLAT.
Hallo,
na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.
Gruß,
Andreas
na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.
Gruß,
Andreas
na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.
Hi, wie bereits geschrieben: ...nur enden beide Artikel mit dem Verweis in die Firewall-Logs zu sehen. Das kann ich nciht, da dort bei mir nichts geloggt wird...
Nicht jeder der nen Server hat leistet sich gleich ne Firewall mit Logfunktion
Hi,
ich geh mal davon aus das Du den Server benutzt um damit Geld zu verdienen, das heisst also das Du das Ding geschäftlich einsetzt. Dann sollte man sich auch ne vernünftige Firewall leisten. Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
ich geh mal davon aus das Du den Server benutzt um damit Geld zu verdienen, das heisst also das Du das Ding geschäftlich einsetzt. Dann sollte man sich auch ne vernünftige Firewall leisten. Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
Um ehrlich zu sein verdiene ich mit dem der bei mir zu Hause steht kein Geld,
sondern mir war nur ein 'billiger' WHS zu blöd und da dachte ich mir kauf Dir gleich nen SBS da haste echtes Exchange etc.
Bereut habe ich es bisher nie
Dementsprechend kannst Du Dir vorstellen, dass ich einen 'normalen' DSL Router daheim habe.
Aber egal denn:
1. auch wenn ich eine kleine Firma wäre, sähe ich eine große Firewall (mit Logfunktion) als übertrieben an, das passt nicht in das Konzept eines SBS Kunden...
2. es handelt sich hier auch nicht um ein Problem das mit einer Firewall nicht aufgetreten wäre. (das hätte mir genau soviel gebracht wie Kameras in der Ubahn: verhindert hätte es nix, aber ich könnte jetzt das Videoband noch mal ansehen)
sondern mir war nur ein 'billiger' WHS zu blöd und da dachte ich mir kauf Dir gleich nen SBS da haste echtes Exchange etc.
Bereut habe ich es bisher nie
Dementsprechend kannst Du Dir vorstellen, dass ich einen 'normalen' DSL Router daheim habe.
Aber egal denn:
1. auch wenn ich eine kleine Firma wäre, sähe ich eine große Firewall (mit Logfunktion) als übertrieben an, das passt nicht in das Konzept eines SBS Kunden...
2. es handelt sich hier auch nicht um ein Problem das mit einer Firewall nicht aufgetreten wäre. (das hätte mir genau soviel gebracht wie Kameras in der Ubahn: verhindert hätte es nix, aber ich könnte jetzt das Videoband noch mal ansehen)
OhKeh, oder OhWeh....
Also das man zu Hause nen SBS betreibt hätte ich jetzt erst mal nicht vermutet. Mir wäre das zu teuer, aber egal.
1) Eine Firewall die keine Logs schreibt ist keine Firewall sondern eine Spielerei. Logs sind keine Features von "grossen" Firewalls. (Auswertbare) Logs sind wesentlicher Bestandteil jeder Sicherheitseinrichtung zu denen auch Firewalls gehören. Und jede Firewalld die ihren Namen verdient kann das.
2) Nun, wenn Du Firewall auf einfache Portregeln beschränkst magst Du damit tatsächlich recht haben.
Egal, jetzt ist Winter, Urlaub und bald Weihnachten.
Frohes Fest und viel Glück noch!
Gruß,
Andreas
Also das man zu Hause nen SBS betreibt hätte ich jetzt erst mal nicht vermutet. Mir wäre das zu teuer, aber egal.
1) Eine Firewall die keine Logs schreibt ist keine Firewall sondern eine Spielerei. Logs sind keine Features von "grossen" Firewalls. (Auswertbare) Logs sind wesentlicher Bestandteil jeder Sicherheitseinrichtung zu denen auch Firewalls gehören. Und jede Firewalld die ihren Namen verdient kann das.
2) Nun, wenn Du Firewall auf einfache Portregeln beschränkst magst Du damit tatsächlich recht haben.
Egal, jetzt ist Winter, Urlaub und bald Weihnachten.
Frohes Fest und viel Glück noch!
Gruß,
Andreas
Wie Andreas,
oben schon angedeutet hat wäre dir das mit einer ordentlichen Firewall die richtig programmiert ist nicht passiert.
Da hier Regeln existieren die externen Verkehr erst gar nicht zu deinem Server zulassen.
Daher solltest du überlegen ob eine Ausgabe von ca. 300€ für z.B. eine kleine Watchguard angemessen ist oder nicht.
Keine Firma egal wie klein kann sich so eine Einstellung wie du sie hegst leisten, ansonsten freut sich die Konkurenz wie einfach es doch ist an deine Betriebsdaten zu kommen.
Mfg Chris
oben schon angedeutet hat wäre dir das mit einer ordentlichen Firewall die richtig programmiert ist nicht passiert.
Da hier Regeln existieren die externen Verkehr erst gar nicht zu deinem Server zulassen.
Daher solltest du überlegen ob eine Ausgabe von ca. 300€ für z.B. eine kleine Watchguard angemessen ist oder nicht.
Keine Firma egal wie klein kann sich so eine Einstellung wie du sie hegst leisten, ansonsten freut sich die Konkurenz wie einfach es doch ist an deine Betriebsdaten zu kommen.
Mfg Chris
Zitat von @St-Andreas:
Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox
P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?
Gruss
RS
Zitat von @schmitzi:
Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox
P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?
Gruss
RS
Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox
P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?
Gruss
RS
Mein Provider war AOL und jetzt Alice, ich habe WLAN im Betrieb ohne Verschlüsselung und die SSID lautet "try2hack my SBS2k3".
Mal im Ernst, Dein Vergleich hinkt, ich fliege hier bei weitem keinen Airbus! Und mit Deinen Fragen fühle ich mich etwas auf den Arm genommen, selbst wenn meine Aussagen bzgl Provider und WLAN richtig wären, wie würdest Du dann das Log erklären bzw. es reproduzieren?
BTW: Ist ja jetzt schon seit 10 Tagen nicht mehr aufgetaucht... toi, toi, toi.
vermutlich sind die "Gäste" noch da.
hast du mit wireshark mal die pakete aufgezeichnet, die auf deinem kabel unterwegs sind
und den traffic analysiert ?
ändere alle Kennwörter, die dürften bekannt sein...
je nachdem welche prozesse gekapert wurden, sind antivirus & co. wirkungslos
Gruss Roland
Ihr Trolle hier seid echt alle eine Lustiger Zeitvertreib gewesen, danke falls irgendjemand wirklich helfen wollte...
Bitte. Und keine Ursache.
