just-in
20.09.2019
view2860
view7
0
Goto Top

Ereignisanzeige Sicherheit 4625 - ein Rechner scannt alle Ports durch Anmeldung an Server

gelöstFrageMicrosoftWindows Server
Hallo liebe Admin-Kollegen!

Ich brauche mal eine Ansatzhilfe für ein Problem in einem Rechner. Ich habe ein Netzwerk mit zwei Servern. Der eine Server ist 2012 R2, der andere 2016 - jeweils Standard Edition). Auf dem 2016er habe ich seit Tagen gescheiterte Anmeldeversuche von einem Recher im Netz.

Diese Meldungen (4625 Microsoft Windows security auditing.) kommen 10 mal pro Sekunde:

Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		NULL SID
	Kontoname:		-
	Kontodomäne:		-
	Anmelde-ID:		0x0

Anmeldetyp:			3

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		[der hier gemeldete Kontoname entspricht dem Hostnamen des Rechners, den User gibt es aber garnicht]
	Kontodomäne:		**//xxxx [von mir mit xxxx unkenntlich gemacht]/{{comment_multi_line:0}}/xxxx [von mir mit xxxx unkenntlich gemacht]/{{comment_multi_line:1}}/xxxx [von mir mit xxxx unkenntlich gemacht - hier steht die feste IP des Rechners]//**
	Quellport:		50745

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		NtLmSsp 
	Authentifizierungspaket:	NTLM
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".  

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

Zu erwähnen ist noch, dass der Quellport bei jedem gescheiterten Anmeldeversuch um einen nach unten gezählt wird - also sowas wie ein "Portscanner"?

Der 2012er Server ist nicht betroffen.

Ich habe den betroffenen Rechner oberflächlich angeschaut. Ich habe keinen verdächtigen Prozess gefunden.

Könnt Ihr mir einen Ansatzpunkt geben, wo ich suchen kann? Oder lieber gleich neu aufsetzen?

Danke für Eure Hilfe!

Schöne Grüße!
Justin
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 496755

Url: https://administrator.de/contentid/496755

Ausgedruckt am: 24.11.2024 um 05:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
Ravers
Lösung Ravers 20.09.2019 um 13:04:34 Uhr
Goto Top
Hi,

besorg dir mal TCPView und schau auf dem Client nach welches Programm die Ports anfragt.

Leider hast du nicht geschrieben was die Server so machen. Primär geht es hier um NTLM (Authentifizierung).

greetz
ravers
erikro
Lösung erikro 20.09.2019 um 13:14:01 Uhr
Goto Top
Moin,

erstmal ist das kein Portscan. Es ändert sich ja der Quellport und nicht der Zielport auf dem Server. IMHO sieht das so aus, als ob der Client versucht, sich per NTLM und nicht per Kerberos zu authentifizieren und der Server lehnt das ab, weil NTLM deaktiviert wurde. NTLM sollte auch nicht mehr genutzt werden. Zum Thema siehe hier:
https://blog.preempt.com/the-security-risks-of-ntlm-proceed-with-caution
https://johan.grotherus.com/2017/06/11/disabling-ntlm-in-your-windows-en ...

Im zweiten Artikel ist unter anderem beschrieben, wie Du herausfinden kannst, welche Rechner oder Anwendungen noch NTLM benutzen.

hth

Erik
Just-In
Just-In 24.09.2019 um 09:17:23 Uhr
Goto Top
Hi Ravers,

ich habe mit TCPView mal versucht, etwas zu finden ... leider zeigt das nicht den Traffic zu diesem einen Server an.

Der Server ist Primär als Dateiserver tätig. Eine Datenbank ist dort installiert, auf die der betroffnen Client zugrieft (mittels der Software)

Wenn ich die Netzwerkkarte auf dem Client deaktiviere, hören die Anmeldeversuche auf ... aktiviere ich sie wieder, gehen sie munter weiter. (10 pro Sekunden, immer unterschiedlicher Port)

NTLM pauschal zu deaktivieren, ist ja auch keine Option...

Wenn ich den Traffice im TCPView nicht sehe, gehe ich doch davon aus, dass es irgend eine Malware ist, die die Abfragen verdeckt unternimmt, oder?

Danke für Deine Hilfe!
Gruß
Justin
Just-In
Just-In 24.09.2019 um 09:22:14 Uhr
Goto Top
Moin Erik,

auch Dir danke für die schnelle Hilfe! Ich habe mal ein wenig über die NTLM Themen geschaut (nur überflogen).

Wie ich oben schon schrieb, zeigt mit TCPView nicht an, welcher Prozess auf dem Client die Abfrage unternimmt.

Dort sehe ich bei einigen Einträgen als Remote-Adress ein * ... niemals aber den Hostnamen oder die IP-Adresse des "bombardierten" Servers.

Gruß
Justin
erikro
erikro 24.09.2019 um 10:04:41 Uhr
Goto Top
Moin,
Zitat von @Just-In:

Moin Erik,

auch Dir danke für die schnelle Hilfe! Ich habe mal ein wenig über die NTLM Themen geschaut (nur überflogen).

Gerne.

Wie ich oben schon schrieb, zeigt mit TCPView nicht an, welcher Prozess auf dem Client die Abfrage unternimmt.

Dort sehe ich bei einigen Einträgen als Remote-Adress ein * ... niemals aber den Hostnamen oder die IP-Adresse des "bombardierten" Servers.

Dann schnüffle mal mit Wireshark auf beiden Seiten (Server und Client) mit. Dann solltest Du herausfinden, welche Anwendung da mit NTLM versucht sich zu authentifizieren.

Liebe Grüße

Erik
Just-In
Just-In 25.09.2019 um 10:53:17 Uhr
Goto Top
Hallo zusammen,

kurze Rückmeldung, mein Kunde hat mir aufgetragen, die Kiste platt zu machen, ich durfte nicht weiter forschen...

Daher werden wir es nie erfahren ... face-confused

Trotzdem vielen Dank für Eure Hilfe!!!

Gruß
Justin
erikro
erikro 25.09.2019 um 12:04:14 Uhr
Goto Top
Moin,

Zitat von @Just-In:

Hallo zusammen,

kurze Rückmeldung, mein Kunde hat mir aufgetragen, die Kiste platt zu machen, ich durfte nicht weiter forschen...


na ob das was hilft. face-wink

Liebe Grüße

Erik
heart1
gelöstFrageMicrosoftWindows Server
Mehr von Just-InJust-InRDP Sitzung sehr träge, wenn auf Client eine Skalierung von 125 Prozent eingestellt istJust-In - 2 KommentareJust-InTandberg RDX Laufwerk intern USB 3.0 sehr langsamJust-In - 6 KommentareJust-InWindows 7 Pro startet bei Netzwerkidentifizierung sofort neuJust-In - 8 KommentareJust-InWindows Terminalserver - Druckerzuordnung an TerminalsJust-In - 7 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare