bernd75
Goto Top

Angriff auf meinen SBS 2k3 Server! Aber wie nur?

Hallo Zusammen,

meine Ereignisanzeige ist überflutet mit tausenden von folgenden Fehlermeldungen die sich vorgestern in einem Zeitraum von 9 Stunden alle 4 Sekunden wiederholt haben, der einzige unterschied zwischen den vielen Ereignissen ist der Benutzername der wechselt durch über alle möglichen Benutzernamen (administrator, adminisdrador, test, mail, alex, manager, guest, new, info, backup, 111, 222, 123, etc....)

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: alice
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: [MEIN SERVERNAME]
Aufruferbenutzername: [MEIN SERVERNAME]$
Aufruferdomäne: [MEIN DOMÄNENNAME]
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1568
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp

Nun inzwischen ist es ja schon zu spät, die letzten 2 Tage war es wieder ruhig. Ich hätte trotzdem ein paar Fragen.

1. Warum sehe ich keine Quellnetzwerkadresse und Port?
2. Was für ein Art von Anmeldung könnte das gewesen sein?
Ich habe folgende 'nur' Services vom Internet aus erreichbar:
Port 80 (kleine Homepage unter IIS teilweise auch mit Zugriffskontrolle)
Port 443 (Exchange Active Sync für PDA Synchronisation)
Port 25 (Ist ja Hauptsächlich ein Mailserver mit Exchange face-wink)

Ich würde halt gerne wissen auf welchen Weg das ganze passiert ist, aber empfinde das Eregnisprotkoll hier etwas sehr dürftig an Informationen, wenn ich eine Anmeldung z.B. an OWA oder auf einer Webseite bewusst mit falschem Benutzername durchführe, dann taucht wenigstens die IP im Ereignis auf face-sad

Ich hoffe ihr könnt mir helfen.

Vielen Dank
Bernd

Content-ID: 157299

Url: https://administrator.de/forum/angriff-auf-meinen-sbs-2k3-server-aber-wie-nur-157299.html

Ausgedruckt am: 27.12.2024 um 08:12 Uhr

45877
45877 20.12.2010 um 13:34:27 Uhr
Goto Top
hallo,

check mal dein Netzwerk nach Conficker..
kristov
kristov 20.12.2010 um 13:50:57 Uhr
Goto Top
Hallo,

Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003

kristov
bernd75
bernd75 20.12.2010 um 13:57:55 Uhr
Goto Top
Der ist es nicht, der Server hatte schon immer SP2 und im Netzwerk ist auch Virenscan up to date und auch trifft keines der Sympthome (wie bei Wikipedia beschriebn) zu. Ausserdem war es ja ein einmaliger Angriff über 9 Stunden verteilt, davor nie und danach nicht mehr. Ich denke das muss von aussen gekommen sein nur wie?
bernd75
bernd75 20.12.2010 um 14:12:55 Uhr
Goto Top
Zitat von @kristov:
Hallo,

Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003

kristov

Hallo,

also Schadsoftware kann ich eigentlich ausschließen, zumal es bisher einamlig war. Die Artikel sind interessant, hatte wohl das gleiche Problem, nur enden beide Artikel mit dem Verweis in die Firewall-Logs zu sehen. Das kann ich nciht, da dort bei mir nichts geloggt wird face-sad

Kann man denn sich irgendwie benachrichtitgen lassen für den Fall dass das wieder auftritt? Dann würde ich im Bedarfsfall Wireshark dazwischen hängen.

Bernd
bernd75
bernd75 20.12.2010 um 14:52:18 Uhr
Goto Top
Kann man denn sich irgendwie benachrichtitgen lassen für den Fall dass das wieder auftritt? Dann würde ich im
Bedarfsfall Wireshark dazwischen hängen.


Nachtrag: Hab ne einfache Lösung dafür gefunden, sogar mit Bordmitteln (eventtriggers.exe) und BLAT.
St-Andreas
St-Andreas 20.12.2010 um 15:24:52 Uhr
Goto Top
Hallo,


na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.


Gruß,
Andreas
bernd75
bernd75 20.12.2010 um 19:44:42 Uhr
Goto Top
Zitat von @St-Andreas:


na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.


Hi, wie bereits geschrieben: ...nur enden beide Artikel mit dem Verweis in die Firewall-Logs zu sehen. Das kann ich nciht, da dort bei mir nichts geloggt wird...

Nicht jeder der nen Server hat leistet sich gleich ne Firewall mit Logfunktion
St-Andreas
St-Andreas 21.12.2010 um 16:28:35 Uhr
Goto Top
Hi,


ich geh mal davon aus das Du den Server benutzt um damit Geld zu verdienen, das heisst also das Du das Ding geschäftlich einsetzt. Dann sollte man sich auch ne vernünftige Firewall leisten. Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
bernd75
bernd75 22.12.2010 um 00:55:19 Uhr
Goto Top
Um ehrlich zu sein verdiene ich mit dem der bei mir zu Hause steht kein Geld,
sondern mir war nur ein 'billiger' WHS zu blöd und da dachte ich mir kauf Dir gleich nen SBS da haste echtes Exchange etc.
Bereut habe ich es bisher nie face-smile

Dementsprechend kannst Du Dir vorstellen, dass ich einen 'normalen' DSL Router daheim habe.

Aber egal denn:
1. auch wenn ich eine kleine Firma wäre, sähe ich eine große Firewall (mit Logfunktion) als übertrieben an, das passt nicht in das Konzept eines SBS Kunden...
2. es handelt sich hier auch nicht um ein Problem das mit einer Firewall nicht aufgetreten wäre. (das hätte mir genau soviel gebracht wie Kameras in der Ubahn: verhindert hätte es nix, aber ich könnte jetzt das Videoband noch mal ansehen)
St-Andreas
St-Andreas 22.12.2010 um 09:13:02 Uhr
Goto Top
OhKeh, oder OhWeh....

Also das man zu Hause nen SBS betreibt hätte ich jetzt erst mal nicht vermutet. Mir wäre das zu teuer, aber egal.

1) Eine Firewall die keine Logs schreibt ist keine Firewall sondern eine Spielerei. Logs sind keine Features von "grossen" Firewalls. (Auswertbare) Logs sind wesentlicher Bestandteil jeder Sicherheitseinrichtung zu denen auch Firewalls gehören. Und jede Firewalld die ihren Namen verdient kann das.
2) Nun, wenn Du Firewall auf einfache Portregeln beschränkst magst Du damit tatsächlich recht haben.

Egal, jetzt ist Winter, Urlaub und bald Weihnachten.

Frohes Fest und viel Glück noch!

Gruß,
Andreas
Theratos
Theratos 27.12.2010 um 13:36:54 Uhr
Goto Top
Wie Andreas,

oben schon angedeutet hat wäre dir das mit einer ordentlichen Firewall die richtig programmiert ist nicht passiert.

Da hier Regeln existieren die externen Verkehr erst gar nicht zu deinem Server zulassen.

Daher solltest du überlegen ob eine Ausgabe von ca. 300€ für z.B. eine kleine Watchguard angemessen ist oder nicht.

Keine Firma egal wie klein kann sich so eine Einstellung wie du sie hegst leisten, ansonsten freut sich die Konkurenz wie einfach es doch ist an deine Betriebsdaten zu kommen.

Mfg Chris
schmitzi
schmitzi 28.12.2010 um 21:17:48 Uhr
Goto Top
Zitat von @St-Andreas:
Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?


Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox face-smile

P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?

Gruss
RS
bernd75
bernd75 28.12.2010 um 22:55:43 Uhr
Goto Top
Zitat von @schmitzi:

Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox face-smile

P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?

Gruss
RS


Mein Provider war AOL und jetzt Alice, ich habe WLAN im Betrieb ohne Verschlüsselung und die SSID lautet "try2hack my SBS2k3".

Mal im Ernst, Dein Vergleich hinkt, ich fliege hier bei weitem keinen Airbus! Und mit Deinen Fragen fühle ich mich etwas auf den Arm genommen, selbst wenn meine Aussagen bzgl Provider und WLAN richtig wären, wie würdest Du dann das Log erklären bzw. es reproduzieren?

BTW: Ist ja jetzt schon seit 10 Tagen nicht mehr aufgetaucht... toi, toi, toi.
rs-schmid
rs-schmid 01.01.2011 um 19:56:17 Uhr
Goto Top
Zitat von @bernd75:
BTW: Ist ja jetzt schon seit 10 Tagen nicht mehr aufgetaucht... toi, toi, toi.

vermutlich sind die "Gäste" noch da.
hast du mit wireshark mal die pakete aufgezeichnet, die auf deinem kabel unterwegs sind
und den traffic analysiert ?

ändere alle Kennwörter, die dürften bekannt sein...
je nachdem welche prozesse gekapert wurden, sind antivirus & co. wirkungslos

Gruss Roland
bernd75
bernd75 04.01.2011 um 17:00:47 Uhr
Goto Top
Ihr Trolle hier seid echt alle eine Lustiger Zeitvertreib gewesen, danke falls irgendjemand wirklich helfen wollte...
St-Andreas
St-Andreas 04.01.2011 um 20:16:01 Uhr
Goto Top
Bitte. Und keine Ursache.