neo2k
Goto Top

SBS 2008 - Bruteforce auf Exchange - Empfangsconnector Windows SBS Internet Receive

Hallo Zusammen,

ich habe hier einen SBS 2008, der schon seit vorgestern andauernd mit Bruteforce Attacken zu kämpfen hat. Mittlerweile sind es über 3000 Angriffe.


System:

- SBS 2008 SP2, Exchange 2007 mit SP3 RU4
- Internet via ADSL mit statischer IP.
- MX beim Provider, (mail.domäne.tld).
- Mail Versand/Empfang via SMTP.
- Router - Draytek Vigor 2820n -> Portforwarding: 443, 25, 1723, GRE (sonst nix).


Im Eventlog werden dann jede Menge 4625er Protokolliert:

Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NETZWERKDIENST
Kontoname: SERVERNAME$
Kontodomäne: DOMAENE
Anmelde-ID: 0x3e4

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: root <- wechselt sporadisch.
Kontodomäne:

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0xbb4
Aufrufprozessname: C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe

Netzwerkinformationen:
Arbeitsstationsname: SERVERNAME
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0


Unter Anwendungen wird dann noch die EventID: 1035 mit folgendem Inhalt protokolliert:

Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector Windows SBS Internet Receive SERVERNAME. Der Authentifizierungsmechanismus ist Login. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [70.88.83.61].
Die IP-Adresse des Angreifers kommt aus den USA. Der Hostname wird als "70-88-83-61-BusName-knoxville.tn-hfc.comcastbusiness.net" aufgelöst.

Im SMTP-Receive Logfile werden dann folgende Daten, (welche sich ständig wiederholen), ausgegeben. Die Einzigen Einträge, die sich ändern sind die hinter "EHLO" und die Portnummer hinter der 70er IP-Adresse:
#Software: Microsoft Exchange Server
#Version: 8.0.0.0
#Log-type: SMTP Receive Protocol Log
#Date: 2011-08-07T18:24:26.086Z
#Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,0,192.168.2.2:25,70.88.83.61:12438,+,,
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,1,192.168.2.2:25,70.88.83.61:12438,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,2,192.168.2.2:25,70.88.83.61:12438,>,"220 mail.domaene.tld Microsoft ESMTP MAIL Service ready at Sun, 7 Aug 2011 20:24:25 +0200",
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,3,192.168.2.2:25,70.88.83.61:12438,<,EHLO yfxnoo.com, <- ändert sich jedes mal!
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,4,192.168.2.2:25,70.88.83.61:12438,>,250-mail.domaene.tld Hello [70.88.83.61],
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,5,192.168.2.2:25,70.88.83.61:12438,>,250-SIZE 52428800,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,6,192.168.2.2:25,70.88.83.61:12438,>,250-PIPELINING,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,7,192.168.2.2:25,70.88.83.61:12438,>,250-DSN,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,8,192.168.2.2:25,70.88.83.61:12438,>,250-ENHANCEDSTATUSCODES,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,9,192.168.2.2:25,70.88.83.61:12438,>,250-AUTH LOGIN,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,10,192.168.2.2:25,70.88.83.61:12438,>,250-8BITMIME,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,11,192.168.2.2:25,70.88.83.61:12438,>,250-BINARYMIME,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,12,192.168.2.2:25,70.88.83.61:12438,>,250 CHUNKING,
2011-08-07T18:24:26.539Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,13,192.168.2.2:25,70.88.83.61:12438,<,AUTH LOGIN,
2011-08-07T18:24:26.539Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,14,192.168.2.2:25,70.88.83.61:12438,>,334 <authentication response>,
2011-08-07T18:24:26.741Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,15,192.168.2.2:25,70.88.83.61:12438,>,334 <authentication response>,
2011-08-07T18:24:26.944Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,16,192.168.2.2:25,70.88.83.61:12438,*,,Inbound AUTH LOGIN failed because of LogonDenied
2011-08-07T18:24:31.952Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,17,192.168.2.2:25,70.88.83.61:12438,>,535 5.7.3 Authentication unsuccessful,
2011-08-07T18:24:33.137Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,18,192.168.2.2:25,70.88.83.61:12438,<,RSET,
2011-08-07T18:24:38.145Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,19,192.168.2.2:25,70.88.83.61:12438,>,250 2.0.0 Resetting,

Nun mache ich mir wegen den Passwörtern keine Sorgen, da diese bewußt sehr sorgfältig erstellt wurden. Trotzdem ist mir das nicht ganz geheuer.
Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.

Hat denn hier sonst noch wer diese Art von Angriffen erlebt? Nach der Suche bei Google habe ich zwar auch den ein oder Anderen mit Bruteforce Angriffen auf SBS Servern gefunden, allerdings nicht über den Exchange-Connector.

Gruß,
Neo2k

Content-ID: 171066

Url: https://administrator.de/forum/sbs-2008-bruteforce-auf-exchange-empfangsconnector-windows-sbs-internet-receive-171066.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

GuentherH
GuentherH 07.08.2011 um 22:27:16 Uhr
Goto Top
HI.

Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.

Wenn es immer die gleiche IP Adresse ist, warum erstellst du nicht eine Firewall Regel?

LG Günther
danielfr
danielfr 07.08.2011 um 22:48:08 Uhr
Goto Top
Zitat von @GuentherH:
HI.

> Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.

Wenn es immer die gleiche IP Adresse ist, warum erstellst du nicht eine Firewall Regel?
Gute Frage... am besten gleich im Vigor, meiner Meinung nach...
Gruß Daniel
StefanKittel
StefanKittel 07.08.2011 um 23:05:35 Uhr
Goto Top
Hallo,

oder einen SMTP Proxy, z.B. von einem Anti-Spam-Anbieter davorstellen und SMTP Verbindungen nur von dessen IPs akzeptieren.

Stefan
Neo2k
Neo2k 07.08.2011 um 23:09:45 Uhr
Goto Top
Hallo Ihr Zwei,

jo, das könnte ich natürlich machen. Aber mich würde natürlich interessieren, wo die Ursache liegt. Ich hab nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben.

Gruß,
Neo2k
danielfr
danielfr 07.08.2011 um 23:30:55 Uhr
Goto Top
Zitat von @Neo2k:
Hallo Ihr Zwei,

jo, das könnte ich natürlich machen.
nichts hält Dich davon ab face-smile

Aber mich würde natürlich interessieren, wo die Ursache liegt. Ich hab
nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben.
Script Kiddies, Spammer... ich habe das ständig auf FTP Ports auf Webservern.
Ich mache die normalerweise zu und öffne Sie nur nach Bedarf, geht natürlich bei SMTP nicht.

Gruß Daniel
StefanKittel
StefanKittel 07.08.2011 um 23:47:02 Uhr
Goto Top
Und Spamversender,
ich habe das regelmäßig mit IP-Adressen vom afrikanischem Kontinent.
Stefan
Neo2k
Neo2k 07.08.2011 um 23:50:56 Uhr
Goto Top
Ja, ich hab das Gefühl, dass das immer schlimmer wird.
Hab mich gerade mal kurz umgeschaut. Kennt ihr ASSP? Der ist kostenlos und scheint sehr gut zu sein.

http://www.antispam.de/forum/showthread.php?13894-ASSP-Anti-Spam-SMTP-P ...
GuentherH
GuentherH 07.08.2011 um 23:52:52 Uhr
Goto Top
Hi.

Aber mich würde natürlich interessieren, wo die Ursache liegt

Na, die Ursache hast du doch im LogFile face-wink

Ich hab nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben

Was willst du für Einträge finden. Dein Fall hat nichts mit dem Produkt zu tun. Öffne einmal testweise den Port 3389 für 1-2 Stunden und du wirst sehen wie schnell sich deine LogFiles füllen face-wink

Wenn du dich gegen derartige Attacken "automatisch" absichern willst, dann wurden dir ja schon Empfehlungen gegeben. z.B. ist auch XWALL von http://www.dataenter.at eine derartiges Produkt das diese Art von Attacken abfangen kann (Stichwort Teergrube oder tarpiting).

LG Günther
Neo2k
Neo2k 08.08.2011 um 00:22:15 Uhr
Goto Top
Jo, Günther, Direktanbindung mit RDP kann man ja schon länger vergessen.

Ok, dann werde ich da mal tätig werden müßen. Nutzt ja nix.
Vielen Dank an Euch für die Tipps.
Haytech
Haytech 08.08.2011 um 07:20:44 Uhr
Goto Top
Du solltest ausserdem den Abuse Deinem provider Melden per Email an abuse@provider.tld in meinem fall wurde immer wieder veruscht ein pptp tunnel zu hacken ... Das hörte genau 1 tag nach meldung beim provider auf.
nikoatit
nikoatit 08.08.2011 um 09:26:36 Uhr
Goto Top
Moin,

und wenn du noch etwas Zeit hast, dann würde ich den Herren doch mal eine nette E-Mail schreiben bezüglich Ihrer Angriffe...
Einfach WHOIS-Abfrage und go: http://www.dnsstuff.com/
Wenn ich deine Angreifer-IP 70.88.83.61 abfrage, bekomme ich den Namen einer US-Firma raus (hat auch eine Internetseite, einfach mal google bemühen).
Vielleicht wissen die Herren nicht mal davon und gehören einem Bot-Netzwerk an...Wer weiß...

Gruß
tonabnehmer
tonabnehmer 08.08.2011 um 10:20:43 Uhr
Goto Top
Zitat von @Neo2k:
Ja, ich hab das Gefühl, dass das immer schlimmer wird.
Hab mich gerade mal kurz umgeschaut. Kennt ihr ASSP? Der ist kostenlos und scheint sehr gut zu sein.

http://www.antispam.de/forum/showthread.php?13894-ASSP-Anti-Spam-SMTP-P ...


Wir setzen ASSP bei uns ein und sind sehr zufrieden. Insbesondere die Verfahren DNS Blacklist und Greylisting sind sehr effektiv. Allerdings muss man sich mit der Konfiguration von ASSP schon auseinandersetzen. Es erfordert viel wissen von Mail und Spam. Mann kann aber klein anfangen und Spam nicht einfach ablehnen, sondern in den Junk-Mail Ordner verschieben.