IIS 6.0 Securitylogs. Wie kann ich diese Logs deuten ? Sind es Angriffsversuche ?
Hallo zusammen,
die Fehlerüberwachunglogs unseres Webservers bringen in letzter Zeit viele Meldung. Können Sie mir sagen, was sich hinter diesen Meldungen verbirgt !? Ich befürchte, dass man versucht unseren Webserver anzugreifen. Hinter der in der Meldung genannten IP-Adresse verbirgt sich laut ripe.net nämlich ein Konkurenzunternehmen.
Meldung1:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername:
Domäne: P15190942
Anmeldetyp: 8
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1764
Übertragene Dienste: -
Quellnetzwerkadresse:
Quellport: 1393
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
Meldung2:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: scr
Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Fehlercode: 0xC0000064
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Das verwunderliche ist nämlich auch, dass vor dem (externen) Webserver eine FW steht die nur unsere öffentliche IP-Adresse hier zum konfigurieren (3389 rdp, 22 ssh) zulässt. Port 80 und 443 ist natürlich für "any" freigegeben. Warum kann sich diese IP trotzdem versuchen anzumelden ?
Gruß,
Nico
die Fehlerüberwachunglogs unseres Webservers bringen in letzter Zeit viele Meldung. Können Sie mir sagen, was sich hinter diesen Meldungen verbirgt !? Ich befürchte, dass man versucht unseren Webserver anzugreifen. Hinter der in der Meldung genannten IP-Adresse verbirgt sich laut ripe.net nämlich ein Konkurenzunternehmen.
Meldung1:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername:
Domäne: P15190942
Anmeldetyp: 8
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1764
Übertragene Dienste: -
Quellnetzwerkadresse:
Quellport: 1393
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
Meldung2:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: scr
Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Fehlercode: 0xC0000064
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Das verwunderliche ist nämlich auch, dass vor dem (externen) Webserver eine FW steht die nur unsere öffentliche IP-Adresse hier zum konfigurieren (3389 rdp, 22 ssh) zulässt. Port 80 und 443 ist natürlich für "any" freigegeben. Warum kann sich diese IP trotzdem versuchen anzumelden ?
Gruß,
Nico
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41184
Url: https://administrator.de/contentid/41184
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
das mit dem Wurm kann ich nicht kommentieren - allerdings handelt es sich bei der owssvr.dll und eine bekannte Schwachstelle des Sharepoint Servers, die unbedingt gepatcht gehört. Habt ihr die neuesten Updates drauf?
Schau doch mal nach, ob die Quell-IP immer auf den gleichen Host/Netzbereich zeigt?
das mit dem Wurm kann ich nicht kommentieren - allerdings handelt es sich bei der owssvr.dll und eine bekannte Schwachstelle des Sharepoint Servers, die unbedingt gepatcht gehört. Habt ihr die neuesten Updates drauf?
Schau doch mal nach, ob die Quell-IP immer auf den gleichen Host/Netzbereich zeigt?