Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ereignisanzeige Sicherheit 4625 - ein Rechner scannt alle Ports durch Anmeldung an Server

Mitglied: Just-In

Just-In (Level 1) - Jetzt verbinden

20.09.2019 um 12:34 Uhr, 454 Aufrufe, 7 Kommentare, 1 Danke

Hallo liebe Admin-Kollegen!

Ich brauche mal eine Ansatzhilfe für ein Problem in einem Rechner. Ich habe ein Netzwerk mit zwei Servern. Der eine Server ist 2012 R2, der andere 2016 - jeweils Standard Edition). Auf dem 2016er habe ich seit Tagen gescheiterte Anmeldeversuche von einem Recher im Netz.

Diese Meldungen (4625 Microsoft Windows security auditing.) kommen 10 mal pro Sekunde:

01.
Fehler beim Anmelden eines Kontos.
02.

03.
Antragsteller:
04.
	Sicherheits-ID:		NULL SID
05.
	Kontoname:		-
06.
	Kontodomäne:		-
07.
	Anmelde-ID:		0x0
08.

09.
Anmeldetyp:			3
10.

11.
Konto, für das die Anmeldung fehlgeschlagen ist:
12.
	Sicherheits-ID:		NULL SID
13.
	Kontoname:		[der hier gemeldete Kontoname entspricht dem Hostnamen des Rechners, den User gibt es aber garnicht]
14.
	Kontodomäne:		**//xxxx [von mir mit xxxx unkenntlich gemacht]//**
15.

16.
Fehlerinformationen:
17.
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
18.
	Status:			0xC000006D
19.
	Unterstatus::		0xC0000064
20.

21.
Prozessinformationen:
22.
	Aufrufprozess-ID:	0x0
23.
	Aufrufprozessname:	-
24.

25.
Netzwerkinformationen:
26.
	Arbeitsstationsname:	**//xxxx [von mir mit xxxx unkenntlich gemacht]//**
27.
	Quellnetzwerkadresse:	**//xxxx [von mir mit xxxx unkenntlich gemacht - hier steht die feste IP des Rechners]//**
28.
	Quellport:		50745
29.

30.
Detaillierte Authentifizierungsinformationen:
31.
	Anmeldeprozess:		NtLmSsp 
32.
	Authentifizierungspaket:	NTLM
33.
	Übertragene Dienste:	-
34.
	Paketname (nur NTLM):	-
35.
	Schlüssellänge:		0
36.

37.
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
38.

39.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
40.

41.
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
42.

43.
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
44.

45.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
46.

47.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
48.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
49.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
50.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Zu erwähnen ist noch, dass der Quellport bei jedem gescheiterten Anmeldeversuch um einen nach unten gezählt wird - also sowas wie ein "Portscanner"?

Der 2012er Server ist nicht betroffen.

Ich habe den betroffenen Rechner oberflächlich angeschaut. Ich habe keinen verdächtigen Prozess gefunden.

Könnt Ihr mir einen Ansatzpunkt geben, wo ich suchen kann? Oder lieber gleich neu aufsetzen?

Danke für Eure Hilfe!

Schöne Grüße!
Justin
Mitglied: Ravers
LÖSUNG 20.09.2019 um 13:04 Uhr
Hi,

besorg dir mal TCPView und schau auf dem Client nach welches Programm die Ports anfragt.

Leider hast du nicht geschrieben was die Server so machen. Primär geht es hier um NTLM (Authentifizierung).

greetz
ravers
Bitte warten ..
Mitglied: erikro
LÖSUNG 20.09.2019 um 13:14 Uhr
Moin,

erstmal ist das kein Portscan. Es ändert sich ja der Quellport und nicht der Zielport auf dem Server. IMHO sieht das so aus, als ob der Client versucht, sich per NTLM und nicht per Kerberos zu authentifizieren und der Server lehnt das ab, weil NTLM deaktiviert wurde. NTLM sollte auch nicht mehr genutzt werden. Zum Thema siehe hier:
https://blog.preempt.com/the-security-risks-of-ntlm-proceed-with-caution
https://johan.grotherus.com/2017/06/11/disabling-ntlm-in-your-windows-en ...

Im zweiten Artikel ist unter anderem beschrieben, wie Du herausfinden kannst, welche Rechner oder Anwendungen noch NTLM benutzen.

hth

Erik
Bitte warten ..
Mitglied: Just-In
24.09.2019 um 09:17 Uhr
Hi Ravers,

ich habe mit TCPView mal versucht, etwas zu finden ... leider zeigt das nicht den Traffic zu diesem einen Server an.

Der Server ist Primär als Dateiserver tätig. Eine Datenbank ist dort installiert, auf die der betroffnen Client zugrieft (mittels der Software)

Wenn ich die Netzwerkkarte auf dem Client deaktiviere, hören die Anmeldeversuche auf ... aktiviere ich sie wieder, gehen sie munter weiter. (10 pro Sekunden, immer unterschiedlicher Port)

NTLM pauschal zu deaktivieren, ist ja auch keine Option...

Wenn ich den Traffice im TCPView nicht sehe, gehe ich doch davon aus, dass es irgend eine Malware ist, die die Abfragen verdeckt unternimmt, oder?

Danke für Deine Hilfe!
Gruß
Justin
Bitte warten ..
Mitglied: Just-In
24.09.2019 um 09:22 Uhr
Moin Erik,

auch Dir danke für die schnelle Hilfe! Ich habe mal ein wenig über die NTLM Themen geschaut (nur überflogen).

Wie ich oben schon schrieb, zeigt mit TCPView nicht an, welcher Prozess auf dem Client die Abfrage unternimmt.

Dort sehe ich bei einigen Einträgen als Remote-Adress ein * ... niemals aber den Hostnamen oder die IP-Adresse des "bombardierten" Servers.

Gruß
Justin
Bitte warten ..
Mitglied: erikro
24.09.2019 um 10:04 Uhr
Moin,
Zitat von Just-In:

Moin Erik,

auch Dir danke für die schnelle Hilfe! Ich habe mal ein wenig über die NTLM Themen geschaut (nur überflogen).

Gerne.

Wie ich oben schon schrieb, zeigt mit TCPView nicht an, welcher Prozess auf dem Client die Abfrage unternimmt.

Dort sehe ich bei einigen Einträgen als Remote-Adress ein * ... niemals aber den Hostnamen oder die IP-Adresse des "bombardierten" Servers.

Dann schnüffle mal mit Wireshark auf beiden Seiten (Server und Client) mit. Dann solltest Du herausfinden, welche Anwendung da mit NTLM versucht sich zu authentifizieren.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Just-In
25.09.2019 um 10:53 Uhr
Hallo zusammen,

kurze Rückmeldung, mein Kunde hat mir aufgetragen, die Kiste platt zu machen, ich durfte nicht weiter forschen...

Daher werden wir es nie erfahren ...

Trotzdem vielen Dank für Eure Hilfe!!!

Gruß
Justin
Bitte warten ..
Mitglied: erikro
25.09.2019 um 12:04 Uhr
Moin,

Zitat von Just-In:

Hallo zusammen,

kurze Rückmeldung, mein Kunde hat mir aufgetragen, die Kiste platt zu machen, ich durfte nicht weiter forschen...


na ob das was hilft.

Liebe Grüße

Erik
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Port Sicherheit verbessern Lancom Switch GS-23xx

gelöst Frage von HipstertownNetzwerkmanagement13 Kommentare

Hallo zusammen, nun bin ich auch endlich mal registriert hier. Ich würde gerne einen Lancom Switch etwas sicherer bzgl. ...

Rechtliche Fragen

Sicherheit bei Port-Forwarding - Virusbefall - wer kommt für die Kosten auf?

gelöst Frage von nikasio14Rechtliche Fragen46 Kommentare

Hallo! Danke für die automatische Aufnahme ins Forum! Wie im Titel erwähnt, geht es um die Kosten bei einem ...

Windows Server

AD Account wird ständig gesperrt Event 4625 BruteForce

gelöst Frage von westberlinerWindows Server5 Kommentare

Hallo Zusammen, ich habe seit einigen Tagen ein seltsames Problem: Bei uns hat ein User angefangen, welchen es schonmal ...

Sicherheitsgrundlagen

Sicherheit Netzwerksegmentierung

Frage von Morpheus112Sicherheitsgrundlagen11 Kommentare

Hallo Leute, ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man ...

Neue Wissensbeiträge
Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 1 TagOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 2 TagenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 2 TagenMicrosoft Office6 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Firewall
Übernahme von SOPHOS durch Thoma Bravo
Information von Dilbert-MD vor 2 TagenFirewall3 Kommentare

Kam die Tage per Newsletter: Zitat: " Das Sophos Board of Directors hat gestern bekanntgegeben, dass die Private-Equity-Investment-Firma Thoma ...

Heiß diskutierte Inhalte
Windows 10
Win 10 - Seltsame popups die nerven
Frage von BigSnakeyeWindows 1022 Kommentare

Hallöchen! An einem Win 10 Notebook habe ich Probleme mit extrem nervigen Popups rechts unten in der Ecke. Dort ...

CPU, RAM, Mainboards
Kein Bild mit neuem Mainboard
Frage von Ghost108CPU, RAM, Mainboards21 Kommentare

Hallo zusammen, habe einen PC mit 4 RAM Riegeln, einer Intel CPU 1151 Socket und einem Mainboard Asus B150M-A/M.2 ...

TK-Netze & Geräte
Rufnummernportierung am Festnetz wird vom Anbieter nicht unterstützt - Was kann man da machen
Frage von StefanKittelTK-Netze & Geräte19 Kommentare

Hallo, ein Kunde von mir hat mehrere Standort. Die meisten haben DSL/Kabel und sind per Telefon bei NFON (VOIP). ...

Windows Server
Lizenzfrage zu Windows Server 2019
Frage von GwaihirWindows Server14 Kommentare

Hallo zusammen, ich möchte einen Windows Server 2019 einrichten und frage mich, ob ich für den Server Clientzugriffslizenzen oder ...