Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffe von Aussen

Mitglied: tordi

tordi (Level 1) - Jetzt verbinden

11.11.2007, aktualisiert 21:52 Uhr, 4009 Aufrufe, 3 Kommentare

Hallo seit ca. 3 Tagen versucht jemand mit den wildesten Benutzernamen auf unseren Server zu gelangen.
Im Protokol steht aber keine IP Adresse oder Quellport.
Wie bekomme ich raus woher bzw. über welchen Port das ganze versucht wird.
Willi ist unser Exchange Server, wieso ist das der Name der Arbeiststation?
Oder versucht das einer über das Webinterface ( Remotewebarbeitsplatz ).

Logfile Sicherheit Auszug:
01.
Ereignistyp:	Fehlerüberw.
02.
Ereignisquelle:	Security
03.
Ereigniskategorie:	An-/Abmeldung 
04.
Ereigniskennung:	529
05.
Datum:		10.11.2007
06.
Zeit:		16:38:37
07.
Benutzer:		NT-AUTORITÄT\SYSTEM
08.
Computer:	WILLI
09.
Beschreibung:
10.
Fehlgeschlagene Anmeldung:
11.
 	Grund:		Unbekannter Benutzername oder falsches Kennwort
12.
 	Benutzername:	bailey
13.
 	Domäne:		
14.
 	Anmeldetyp:	3
15.
 	Anmeldevorgang:	Advapi  
16.
 	Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
17.
 	Name der Arbeitsstation:	WILLI
18.
 	Aufruferbenutzername:	WILLI$
19.
 	Aufruferdomäne:	SERVERB1
20.
 	Aufruferanmeldekennung:	(0x0,0x3E7)
21.
 	Aufruferprozesskennung:	1424
22.
 	Übertragene Dienste:	-
23.
 	Quellnetzwerkadresse:	-
24.
 	Quellport:	-
Need help. Danke !
Mitglied: gnarff
11.11.2007 um 16:33 Uhr
Hallo tordi!

Der "Angriff" kommt nicht von außen, sondern von innen.
Ansonsten mal das Dokument Bei aktivierter Willkommensseite werden Fehlerereignisse protokolliert um klarer zu sehen, der englische Originaltext ist besser...

saludos
gnarff
Bitte warten ..
Mitglied: tordi
11.11.2007 um 18:47 Uhr
Von innen.... zu den Zeiten ist in der Firma keiner, daher meine Idee ob es über die Webseite (Remotearbeitsplatz etc.) kommen kann.
Es werden hunderte von verschiedenen Usernamen verwendet.
Ich kenne sowas von so kleinen netten Passwort Tools.
Bei der Menge wird Nachts, so denke ich mal, keiner in der Firma sitzen und drauf los hacken.
Bitte warten ..
Mitglied: gnarff
11.11.2007 um 21:52 Uhr
Es werden hunderte von verschiedenen
Usernamen verwendet.
Aha, ja - das hättest Du mal in Deinem Eroeffnungsposting erwähnen sollen!
Jetzt musst Du die Timestamps aus dem Fehlerereignis-Log mit denen aus Log der Firewall vergleichen um zu weiteren Ergebnissen zu gelangen.
Je nach dem wie Deine Ergebnisse dann ausfallen, könntest Du weiter die ausgetauschten Pakete auswerten.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen

Rest-Sicherheitsrisiko durch Blockierten Angriff beim Surfen? - Phishing oder Virus - Angriff

Frage von LoopingLuiSicherheitsgrundlagen5 Kommentare

Hallo Leute, beim Surfen wurde ich nach einer Google Suche, wo ich die Website des Herstellers LiteOnIt aufrufen wollte, ...

Firewall

WIndows 7 RDP Massen Angriff

Frage von Motte990Firewall26 Kommentare

Guten Abend Leute , zurzeit wird mein PC massiv von 9 unterschiedlichen IP's Angegriffen . Kaspersky Internet Security 2018 ...

Sicherheit

Angriff auf meinen internen Webserver?

gelöst Frage von tguhl99Sicherheit8 Kommentare

Hallo, ich habe ein Problem mit meinen Netz. Auf einem internen Server läuft mein Intranet mit xampp. Es gibt ...

Erkennung und -Abwehr

"Angriff auf unseren Shopserver" vom Mikrotik Shop

Information von LochkartenstanzerErkennung und -Abwehr11 Kommentare

Moin, kam gerade eine Email fmsweb, daß der mikrotik-shop gehackt worden wäre. und sie erpreßt würden: wir möchten Sie ...

Neue Wissensbeiträge
iOS
WatchChat für Whatsapp
Tipp von Criemo vor 1 TagiOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor !!!
Tipp von Criemo vor 1 TagiOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 3 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 4 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Heiß diskutierte Inhalte
Windows Netzwerk
Kerio. Kann keine Mails empfangen aber senden. Wer ist schuld. Kerio oder Windows domäne?
gelöst Frage von frosch2Windows Netzwerk27 Kommentare

Hallo, es existiert ein Problem bei uns mit dem mailen. Alle bestehenden Nutzer können mailen. Raus wie rein. Neuen ...

Hosting & Housing
VMware VM mit über 1TB RAM für S4HANA
Frage von Leo-leHosting & Housing22 Kommentare

Hallo zusammen, wer hat Erfahrng und kann mir einen Tipp zum sizing von S4HANA Systemen geben? Wir möchten, zunächst ...

LAN, WAN, Wireless
WLAN und Ausmessung - Eine Glaubensfrage?
Frage von ptr2brainLAN, WAN, Wireless18 Kommentare

Liebe Experten, als Sys-Admin habe ich mir schon öfter die Frage gestellt, ob es sich beim Thema WLAN und ...

Virtualisierung
Gebrauchte Server Hardware als Virtualisierungs-"Spielwiese"?
Frage von NixVerstehenVirtualisierung17 Kommentare

Einen wunderschönen guten Morgen zusammen, ich möchte mich gerne etwas tiefer mit dem Thema Virtualisierung beschäftigen und dazu ein ...