just-in
Goto Top

Ereignisanzeige Sicherheit 4625 - ein Rechner scannt alle Ports durch Anmeldung an Server

Hallo liebe Admin-Kollegen!

Ich brauche mal eine Ansatzhilfe für ein Problem in einem Rechner. Ich habe ein Netzwerk mit zwei Servern. Der eine Server ist 2012 R2, der andere 2016 - jeweils Standard Edition). Auf dem 2016er habe ich seit Tagen gescheiterte Anmeldeversuche von einem Recher im Netz.

Diese Meldungen (4625 Microsoft Windows security auditing.) kommen 10 mal pro Sekunde:

Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		NULL SID
	Kontoname:		-
	Kontodomäne:		-
	Anmelde-ID:		0x0

Anmeldetyp:			3

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		[der hier gemeldete Kontoname entspricht dem Hostnamen des Rechners, den User gibt es aber garnicht]
	Kontodomäne:		**//xxxx [von mir mit xxxx unkenntlich gemacht]/{{comment_multi_line:0}}/xxxx [von mir mit xxxx unkenntlich gemacht]/{{comment_multi_line:1}}/xxxx [von mir mit xxxx unkenntlich gemacht - hier steht die feste IP des Rechners]//**
	Quellport:		50745

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		NtLmSsp 
	Authentifizierungspaket:	NTLM
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".  

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

Zu erwähnen ist noch, dass der Quellport bei jedem gescheiterten Anmeldeversuch um einen nach unten gezählt wird - also sowas wie ein "Portscanner"?

Der 2012er Server ist nicht betroffen.

Ich habe den betroffenen Rechner oberflächlich angeschaut. Ich habe keinen verdächtigen Prozess gefunden.

Könnt Ihr mir einen Ansatzpunkt geben, wo ich suchen kann? Oder lieber gleich neu aufsetzen?

Danke für Eure Hilfe!

Schöne Grüße!
Justin

Content-Key: 496755

Url: https://administrator.de/contentid/496755

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: Ravers
Lösung Ravers 20.09.2019 um 13:04:34 Uhr
Goto Top
Hi,

besorg dir mal TCPView und schau auf dem Client nach welches Programm die Ports anfragt.

Leider hast du nicht geschrieben was die Server so machen. Primär geht es hier um NTLM (Authentifizierung).

greetz
ravers
Mitglied: erikro
Lösung erikro 20.09.2019 um 13:14:01 Uhr
Goto Top
Moin,

erstmal ist das kein Portscan. Es ändert sich ja der Quellport und nicht der Zielport auf dem Server. IMHO sieht das so aus, als ob der Client versucht, sich per NTLM und nicht per Kerberos zu authentifizieren und der Server lehnt das ab, weil NTLM deaktiviert wurde. NTLM sollte auch nicht mehr genutzt werden. Zum Thema siehe hier:
https://blog.preempt.com/the-security-risks-of-ntlm-proceed-with-caution
https://johan.grotherus.com/2017/06/11/disabling-ntlm-in-your-windows-en ...

Im zweiten Artikel ist unter anderem beschrieben, wie Du herausfinden kannst, welche Rechner oder Anwendungen noch NTLM benutzen.

hth

Erik
Mitglied: Just-In
Just-In 24.09.2019 um 09:17:23 Uhr
Goto Top
Hi Ravers,

ich habe mit TCPView mal versucht, etwas zu finden ... leider zeigt das nicht den Traffic zu diesem einen Server an.

Der Server ist Primär als Dateiserver tätig. Eine Datenbank ist dort installiert, auf die der betroffnen Client zugrieft (mittels der Software)

Wenn ich die Netzwerkkarte auf dem Client deaktiviere, hören die Anmeldeversuche auf ... aktiviere ich sie wieder, gehen sie munter weiter. (10 pro Sekunden, immer unterschiedlicher Port)

NTLM pauschal zu deaktivieren, ist ja auch keine Option...

Wenn ich den Traffice im TCPView nicht sehe, gehe ich doch davon aus, dass es irgend eine Malware ist, die die Abfragen verdeckt unternimmt, oder?

Danke für Deine Hilfe!
Gruß
Justin
Mitglied: Just-In
Just-In 24.09.2019 um 09:22:14 Uhr
Goto Top
Moin Erik,

auch Dir danke für die schnelle Hilfe! Ich habe mal ein wenig über die NTLM Themen geschaut (nur überflogen).

Wie ich oben schon schrieb, zeigt mit TCPView nicht an, welcher Prozess auf dem Client die Abfrage unternimmt.

Dort sehe ich bei einigen Einträgen als Remote-Adress ein * ... niemals aber den Hostnamen oder die IP-Adresse des "bombardierten" Servers.

Gruß
Justin
Mitglied: erikro
erikro 24.09.2019 um 10:04:41 Uhr
Goto Top
Moin,
Zitat von @Just-In:

Moin Erik,

auch Dir danke für die schnelle Hilfe! Ich habe mal ein wenig über die NTLM Themen geschaut (nur überflogen).

Gerne.

Wie ich oben schon schrieb, zeigt mit TCPView nicht an, welcher Prozess auf dem Client die Abfrage unternimmt.

Dort sehe ich bei einigen Einträgen als Remote-Adress ein * ... niemals aber den Hostnamen oder die IP-Adresse des "bombardierten" Servers.

Dann schnüffle mal mit Wireshark auf beiden Seiten (Server und Client) mit. Dann solltest Du herausfinden, welche Anwendung da mit NTLM versucht sich zu authentifizieren.

Liebe Grüße

Erik
Mitglied: Just-In
Just-In 25.09.2019 um 10:53:17 Uhr
Goto Top
Hallo zusammen,

kurze Rückmeldung, mein Kunde hat mir aufgetragen, die Kiste platt zu machen, ich durfte nicht weiter forschen...

Daher werden wir es nie erfahren ... face-confused

Trotzdem vielen Dank für Eure Hilfe!!!

Gruß
Justin
Mitglied: erikro
erikro 25.09.2019 um 12:04:14 Uhr
Goto Top
Moin,

Zitat von @Just-In:

Hallo zusammen,

kurze Rückmeldung, mein Kunde hat mir aufgetragen, die Kiste platt zu machen, ich durfte nicht weiter forschen...


na ob das was hilft. face-wink

Liebe Grüße

Erik