3
Angriffe von Aussen
Hallo seit ca. 3 Tagen versucht jemand mit den wildesten Benutzernamen auf unseren Server zu gelangen.
Im Protokol steht aber keine IP Adresse oder Quellport.
Wie bekomme ich raus woher bzw. über welchen Port das ganze versucht wird.
Willi ist unser Exchange Server, wieso ist das der Name der Arbeiststation?
Oder versucht das einer über das Webinterface ( Remotewebarbeitsplatz ).
Logfile Sicherheit Auszug:
Need help. Danke !
Im Protokol steht aber keine IP Adresse oder Quellport.
Wie bekomme ich raus woher bzw. über welchen Port das ganze versucht wird.
Willi ist unser Exchange Server, wieso ist das der Name der Arbeiststation?
Oder versucht das einer über das Webinterface ( Remotewebarbeitsplatz ).
Logfile Sicherheit Auszug:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 10.11.2007
Zeit: 16:38:37
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: WILLI
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: bailey
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: WILLI
Aufruferbenutzername: WILLI$
Aufruferdomäne: SERVERB1
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1424
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73269
Url: https://administrator.de/contentid/73269
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo tordi!
Der "Angriff" kommt nicht von außen, sondern von innen.
Ansonsten mal das Dokument Bei aktivierter Willkommensseite werden Fehlerereignisse protokolliert um klarer zu sehen, der englische Originaltext ist besser...
saludos
gnarff
Der "Angriff" kommt nicht von außen, sondern von innen.
Ansonsten mal das Dokument Bei aktivierter Willkommensseite werden Fehlerereignisse protokolliert um klarer zu sehen, der englische Originaltext ist besser...
saludos
gnarff
Von innen.... zu den Zeiten ist in der Firma keiner, daher meine Idee ob es über die Webseite (Remotearbeitsplatz etc.) kommen kann.
Es werden hunderte von verschiedenen Usernamen verwendet.
Ich kenne sowas von so kleinen netten Passwort Tools.
Bei der Menge wird Nachts, so denke ich mal, keiner in der Firma sitzen und drauf los hacken.
Es werden hunderte von verschiedenen Usernamen verwendet.
Ich kenne sowas von so kleinen netten Passwort Tools.
Bei der Menge wird Nachts, so denke ich mal, keiner in der Firma sitzen und drauf los hacken.
Es werden hunderte von verschiedenen
Usernamen verwendet.
Jetzt musst Du die Timestamps aus dem Fehlerereignis-Log mit denen aus Log der Firewall vergleichen um zu weiteren Ergebnissen zu gelangen.
Je nach dem wie Deine Ergebnisse dann ausfallen, könntest Du weiter die ausgetauschten Pakete auswerten.
saludos
gnarff
