2
Event-ID 529 in Security Log
Wer versucht sich da anzumelden?
Hallo Leute,
habe auf einem DC (Win2k3, SP2) im Security-Eventlog Meldungen unter der Kategorie An-/Abmeldung folgende Meldungen gefunden, bei denen mir die Quellnetzwerkadresse Sorgen macht:
Die Meldungen gibt es manchmal alle 20 Sekunden, immer die gleiche QuellIP (LPuteaux-151-43-1-132.w217-128.abo.wanadoo.fr). Es gab davor noch eine andere QuellIP: 121.223.224.105 (cpe-121-223-224-105.static.vic.bigpond.net.au
Könnte das ein Trojaner sein?? Der Server hängt hinter eine (ordentlichen) Firewall, wird aber auch als Dateiablageserver genutzt. Drauf läuft ESET-NOD32, wie auch auf allen Clientrechnern.
Kennt jemand diese Situation?
vG Lars
Hallo Leute,
habe auf einem DC (Win2k3, SP2) im Security-Eventlog Meldungen unter der Kategorie An-/Abmeldung folgende Meldungen gefunden, bei denen mir die Quellnetzwerkadresse Sorgen macht:
Ereignistyp: Fehlerüberw.Ereignisquelle: SecurityEreigniskategorie: An-/Abmeldung Ereigniskennung: 529Datum: 02.09.2009Zeit: 21:31:22Benutzer: NT-AUTORITÄT\SYSTEMComputer: SV01Beschreibung:Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Administrator Domäne: XX Anmeldetyp: 10 Anmeldevorgang: User32 Authentifizierungspaket: Negotiate Name der Arbeitsstation: SV01 Aufruferbenutzername: SV01$ Aufruferdomäne: ET Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 5952 Übertragene Dienste: - Quellnetzwerkadresse: 217.128.240.132 Quellport: 2031Die Meldungen gibt es manchmal alle 20 Sekunden, immer die gleiche QuellIP (LPuteaux-151-43-1-132.w217-128.abo.wanadoo.fr). Es gab davor noch eine andere QuellIP: 121.223.224.105 (cpe-121-223-224-105.static.vic.bigpond.net.au
Könnte das ein Trojaner sein?? Der Server hängt hinter eine (ordentlichen) Firewall, wird aber auch als Dateiablageserver genutzt. Drauf läuft ESET-NOD32, wie auch auf allen Clientrechnern.
Kennt jemand diese Situation?
vG Lars
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124864
Url: https://administrator.de/forum/event-id-529-in-security-log-124864.html
Ausgedruckt am: 02.04.2025 um 04:04 Uhr
2 Kommentare
Neuester Kommentar
Anmeldetyp 10: Terminaldienste oder Remotedesktop
Alle 20 Sekunden? Da versucht einer/etwas in Dein System zu kommen....
Wenn Du eine "ordentliche" Firewall hast, würd ich als erstes mal die IP sperren und den Account "Administrator " sperren, falls überhaupt vorhanden.
Ansonsten.... weiterhin überprüfen, absichern, evtl. abuse an den Provider...
http://www.microsoft.com/germany/technet/datenbank/articles/900374.mspx ...
Gruß
Alle 20 Sekunden? Da versucht einer/etwas in Dein System zu kommen....
Wenn Du eine "ordentliche" Firewall hast, würd ich als erstes mal die IP sperren und den Account "Administrator " sperren, falls überhaupt vorhanden.
Ansonsten.... weiterhin überprüfen, absichern, evtl. abuse an den Provider...
http://www.microsoft.com/germany/technet/datenbank/articles/900374.mspx ...
Gruß
Hallo Driver401,
der Hinweis auf Anmeldetyp 10 == RDP war's!
In der Firewall war genau der Port von WAN nach LAN offen (es gab vor kurzem die Notwendigkeit dazu). Es wurde dann aber vergessen...
Hinweis auf Umbenennen des Administrators ist auch gut.
Ich denke mal, das war's.
Bis zum nächsten Problemchen...
vG. Lars
der Hinweis auf Anmeldetyp 10 == RDP war's!
In der Firewall war genau der Port von WAN nach LAN offen (es gab vor kurzem die Notwendigkeit dazu). Es wurde dann aber vergessen...
Hinweis auf Umbenennen des Administrators ist auch gut.
Ich denke mal, das war's.
Bis zum nächsten Problemchen...
vG. Lars
