Angriff auf meinen SBS 2k3 Server! Aber wie nur?
Hallo Zusammen,
meine Ereignisanzeige ist überflutet mit tausenden von folgenden Fehlermeldungen die sich vorgestern in einem Zeitraum von 9 Stunden alle 4 Sekunden wiederholt haben, der einzige unterschied zwischen den vielen Ereignissen ist der Benutzername der wechselt durch über alle möglichen Benutzernamen (administrator, adminisdrador, test, mail, alex, manager, guest, new, info, backup, 111, 222, 123, etc....)
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: alice
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: [MEIN SERVERNAME]
Aufruferbenutzername: [MEIN SERVERNAME]$
Aufruferdomäne: [MEIN DOMÄNENNAME]
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1568
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp
Nun inzwischen ist es ja schon zu spät, die letzten 2 Tage war es wieder ruhig. Ich hätte trotzdem ein paar Fragen.
1. Warum sehe ich keine Quellnetzwerkadresse und Port?
2. Was für ein Art von Anmeldung könnte das gewesen sein?
Ich habe folgende 'nur' Services vom Internet aus erreichbar:
Port 80 (kleine Homepage unter IIS teilweise auch mit Zugriffskontrolle)
Port 443 (Exchange Active Sync für PDA Synchronisation)
Port 25 (Ist ja Hauptsächlich ein Mailserver mit Exchange )
Ich würde halt gerne wissen auf welchen Weg das ganze passiert ist, aber empfinde das Eregnisprotkoll hier etwas sehr dürftig an Informationen, wenn ich eine Anmeldung z.B. an OWA oder auf einer Webseite bewusst mit falschem Benutzername durchführe, dann taucht wenigstens die IP im Ereignis auf
Ich hoffe ihr könnt mir helfen.
Vielen Dank
Bernd
meine Ereignisanzeige ist überflutet mit tausenden von folgenden Fehlermeldungen die sich vorgestern in einem Zeitraum von 9 Stunden alle 4 Sekunden wiederholt haben, der einzige unterschied zwischen den vielen Ereignissen ist der Benutzername der wechselt durch über alle möglichen Benutzernamen (administrator, adminisdrador, test, mail, alex, manager, guest, new, info, backup, 111, 222, 123, etc....)
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: alice
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: [MEIN SERVERNAME]
Aufruferbenutzername: [MEIN SERVERNAME]$
Aufruferdomäne: [MEIN DOMÄNENNAME]
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1568
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp
Nun inzwischen ist es ja schon zu spät, die letzten 2 Tage war es wieder ruhig. Ich hätte trotzdem ein paar Fragen.
1. Warum sehe ich keine Quellnetzwerkadresse und Port?
2. Was für ein Art von Anmeldung könnte das gewesen sein?
Ich habe folgende 'nur' Services vom Internet aus erreichbar:
Port 80 (kleine Homepage unter IIS teilweise auch mit Zugriffskontrolle)
Port 443 (Exchange Active Sync für PDA Synchronisation)
Port 25 (Ist ja Hauptsächlich ein Mailserver mit Exchange )
Ich würde halt gerne wissen auf welchen Weg das ganze passiert ist, aber empfinde das Eregnisprotkoll hier etwas sehr dürftig an Informationen, wenn ich eine Anmeldung z.B. an OWA oder auf einer Webseite bewusst mit falschem Benutzername durchführe, dann taucht wenigstens die IP im Ereignis auf
Ich hoffe ihr könnt mir helfen.
Vielen Dank
Bernd
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157299
Url: https://administrator.de/forum/angriff-auf-meinen-sbs-2k3-server-aber-wie-nur-157299.html
Ausgedruckt am: 27.12.2024 um 08:12 Uhr
16 Kommentare
Neuester Kommentar
hallo,
check mal dein Netzwerk nach Conficker..
check mal dein Netzwerk nach Conficker..
Hallo,
Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003
kristov
Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003
kristov
OhKeh, oder OhWeh....
Also das man zu Hause nen SBS betreibt hätte ich jetzt erst mal nicht vermutet. Mir wäre das zu teuer, aber egal.
1) Eine Firewall die keine Logs schreibt ist keine Firewall sondern eine Spielerei. Logs sind keine Features von "grossen" Firewalls. (Auswertbare) Logs sind wesentlicher Bestandteil jeder Sicherheitseinrichtung zu denen auch Firewalls gehören. Und jede Firewalld die ihren Namen verdient kann das.
2) Nun, wenn Du Firewall auf einfache Portregeln beschränkst magst Du damit tatsächlich recht haben.
Egal, jetzt ist Winter, Urlaub und bald Weihnachten.
Frohes Fest und viel Glück noch!
Gruß,
Andreas
Also das man zu Hause nen SBS betreibt hätte ich jetzt erst mal nicht vermutet. Mir wäre das zu teuer, aber egal.
1) Eine Firewall die keine Logs schreibt ist keine Firewall sondern eine Spielerei. Logs sind keine Features von "grossen" Firewalls. (Auswertbare) Logs sind wesentlicher Bestandteil jeder Sicherheitseinrichtung zu denen auch Firewalls gehören. Und jede Firewalld die ihren Namen verdient kann das.
2) Nun, wenn Du Firewall auf einfache Portregeln beschränkst magst Du damit tatsächlich recht haben.
Egal, jetzt ist Winter, Urlaub und bald Weihnachten.
Frohes Fest und viel Glück noch!
Gruß,
Andreas
Wie Andreas,
oben schon angedeutet hat wäre dir das mit einer ordentlichen Firewall die richtig programmiert ist nicht passiert.
Da hier Regeln existieren die externen Verkehr erst gar nicht zu deinem Server zulassen.
Daher solltest du überlegen ob eine Ausgabe von ca. 300€ für z.B. eine kleine Watchguard angemessen ist oder nicht.
Keine Firma egal wie klein kann sich so eine Einstellung wie du sie hegst leisten, ansonsten freut sich die Konkurenz wie einfach es doch ist an deine Betriebsdaten zu kommen.
Mfg Chris
oben schon angedeutet hat wäre dir das mit einer ordentlichen Firewall die richtig programmiert ist nicht passiert.
Da hier Regeln existieren die externen Verkehr erst gar nicht zu deinem Server zulassen.
Daher solltest du überlegen ob eine Ausgabe von ca. 300€ für z.B. eine kleine Watchguard angemessen ist oder nicht.
Keine Firma egal wie klein kann sich so eine Einstellung wie du sie hegst leisten, ansonsten freut sich die Konkurenz wie einfach es doch ist an deine Betriebsdaten zu kommen.
Mfg Chris
Zitat von @St-Andreas:
Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox
P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?
Gruss
RS
vermutlich sind die "Gäste" noch da.
hast du mit wireshark mal die pakete aufgezeichnet, die auf deinem kabel unterwegs sind
und den traffic analysiert ?
ändere alle Kennwörter, die dürften bekannt sein...
je nachdem welche prozesse gekapert wurden, sind antivirus & co. wirkungslos
Gruss Roland