SBS 2008 - Merkwürdige Einträge (ID-4625) im Security Log

Hallo Zusammen,

heute morgen wurde auf einem SBS2008 ein paar Loginversuche mit der ID:4625 geloggt.
Das Merkwürdige bei diesen Loginversuchen ist der Arbeitsstationsname und die Quell - IP-Adresse.

Als Arbeitsstationsname wird ein Client aus der eigenen Domäne angegeben. (lokaler Netbiosname), und als IP-Adresse ist die statische WAN-IP des Anschlusses, hinter dem der SBS2008 mit seinen Clients läuft.

Dass es ein Dienst ist, glaube ich eher nicht, weil:

- die statische WAN-IP des Anschlusses, wo der SBS2008 hinter steht, als Quelle angegeben ist.
- die verwendeten Benutzernamen, deren Anmeldung fehlgeschlagen, in dem Netzwerk nicht existieren. (Administrator und Firmenname).

Kann es sein, dass sich jemand von außen versucht einzuloggen, und dabei den Hostnamen + WAN-IP faked?? Das wäre ja der Hammer!

Irgend welche Ideen?

Content-Key: 158275

Url: https://administrator.de/contentid/158275

Ausgedruckt am: 02.08.2021 um 16:08 Uhr

Mitglied: Ausserwoeger
Ausserwoeger 10.01.2011 um 16:28:55 Uhr
Goto Top
Dein Interner Client kann das nicht sein den wenn du über eine Firewall von deinem Internen netz ins internet gehst darf das selbe packet nicht wieder über die Firewall rein. Ausser dein server steht hinter einer anderen firewall als deine clients.

Komischer fehler würde mal die Maschine die sich da laut clientname einloggen wollte untersuchen. Virus ?

LG Andreas Ausserwöger
Mitglied: Neo2k
Neo2k 10.01.2011 um 19:34:28 Uhr
Goto Top
Danke für die Antwort.

Der Client ist ein Windows 7 64Bit. Die Installation ist gerade mal 2 Wochen alt. Virenschutz ist ebenfalls von Anfang an vorhanden. (Gdata). Windowsupdates sind auch alle drauf. UAC ist an.
Ich werde ihn trotzdem mal durchchecken.

Gibt es sonst noch irgendwelche Möglichkeiten?

Gruß,
Sascha
Mitglied: Ausserwoeger
Ausserwoeger 11.01.2011 um 09:56:24 Uhr
Goto Top
Wenn deine Clients hinter der selben Firewall stehen kanns nur ein externer sein. Vielleicht ein Laptop der zur firma gehört und von extern zugreifen will ?

kann ich nur schätzen ! Was war das den für ein loginversuch ? Normales anmelden an der domain ?
Schau mal ob du am client im Eventlog was findest !

LG Andreas Ausserwöger
Mitglied: Neo2k
Neo2k 11.01.2011 um 13:08:20 Uhr
Goto Top
Hier ein Ausschnitt aus dem Eventlog Sicherheit:

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: firmenname (manchmal auch "Administrator", den ist in der Domäne nicht gibt)
Kontodomäne: korrektedomäne.local

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: bekannter-client (es wird der richtige NB-Name angegeben)
Quellnetzwerkadresse: xxx.xxx.xxx (WAN-IP dieses Anschlusses)
Quellport: 57873

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Sehr interessant:
Beim Client wird um die gleiche Uhrzeit ein (!) erfolgreicher (!) Login von Outlook mit diesem besagten "Firmenamen" als Anmeldename protokolliert. ??

Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: Domäne\Anmeldename (existiert)
Kontoname: Anmeldename
Kontodomäne: DOMAENE
Anmelde-ID: 0x4b857
Anmelde-GUID: {00000000-0000-0000-0000-000000000000} <- die habe ich nicht genullt. Werden wirklich so ausgegeben!

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: firmenname
Kontodomäne: DOMAENE
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: SERVER.domaene.local
Weitere Informationen: SERVER.domaene.local

Prozessinformationen:
Prozess-ID: 0x1220
Prozessname: C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE

Netzwerkinformationen:
Netzwerkadresse: -
Port: -

Outlook ist dort mit Exchange verbunden. Frage mich, wo 1. der komische Benutzername her kommt und 2. wieso die statische WAN-IP als Quelle vom Server gemeldet wird.
Da stimmt doch was nicht....!?

Gruß,
Sascha

Update: Ok, ich habe herausgefunden, dass bei dem Exchange-Konto die Einstellung zum Verbindungsaufbau über "http-proxy mit ssl" angeklickt war, wobei die externe FQDN angegeben wurde.
Ist in einem lokalen LAN ja nicht notwendig, also habe ich das mal deaktiviert.
Seltsam ist allerdings immernoch der Benutzername, mit dem sich versucht wurde anzumelden. (Administrator / Firmenname).
Mitglied: Ausserwoeger
Ausserwoeger 11.01.2011 um 13:14:50 Uhr
Goto Top
Na dann weisst du schon wo du suchen musst ! Hast du Outlook 2007 oder 2010 ?

Schau mal am Outlookkonto des clients unter weitere Einstellungen dann auf verbindungen ob da Verbindung mit Exchangeserver über HTTP eingeschaltet ist. Und Teste ob der fehler noch besteht wenn du das abschaltest.

LG Andreas Ausserwöger
Mitglied: Neo2k
Neo2k 07.08.2011 um 21:02:06 Uhr
Goto Top
Sorry Leute, aber diesen Thread habe ich total vergessen! Asche über mein Haupt!

Die Lösung war im Endeffekt eine Neuinstallations des Notebooks. Das Teil war vom Anwender her mit Scareware, Shareware, etc. total zugemüllt.
Nach der Neuinstallation hat er erst mal die lokalen Adminrechte entzogen bekommen, und die Richtlinien verschärft. Seitdem ist Ruhe im Karton.
Heiß diskutierte Beiträge
question
USB Adapter wie PoE? gelöst HournenharmaVor 1 TagFrageHardware5 Kommentare

Ich habe einen Kunden, der will in seinem Ford mit SYNC2 sein RazerPhone 2 nutzen. Das Problem ist, dass die USB-A Anschlüsse max. 5W geben, ...

question
Hyper-V - verwaiste Snapshots löschenbasdschoVor 1 TagFrageHyper-V25 Kommentare

Hallo, mein Veeam machte bei einer installation Probleme und konnte plötzlich die Snapshots nicht mehr löschen. Kein Problem, Disks konsolidiert, alte Snapshot Dateien gelöscht. Nun ...

question
Fritzbox 6591 - cable gigabit - Fax einrichten wie lösbar ? gelöst daswinimramVor 1 TagFrageRouter & Routing14 Kommentare

Hallo Community und Admins ! Folgende Hardware : FRITZBOX 6591 an Vodafone Gigabit Kabelanschluss. 1 Rufnummer (SIP) eingetragen, funktioniert seit Jahren. Hintergrundwissen : Bei YodasPhone ...

question
USB 3 beißt sich mit 2,4Ghz Funkperipherie gelöst O-Two06Vor 1 TagFragePeripheriegeräte3 Kommentare

Hiho, ich habe nun schon einige Artikel über das leidige Thema gelesen, komme aber zu keiner Lösung. Ich habe Mini-PCs, bei denen nun leider mal ...

question
Fritzbox 7590 ersetzten gegen Modem + Router oder Router mit Modemindignus-estVor 1 TagFrageNetzwerke10 Kommentare

Hallo zusammen, nach langer Krankheit und Genesungszeit fasse ich jetzt mal wieder den Mut eine frage zustellen die mir schon seit längeren im Kopf herum ...

question
Ipv6 RouterliodiceVor 13 StundenFrageDSL, VDSL10 Kommentare

Hallo zusammen, ich hoffe ihr könnt mir weiterhelfen, ich benötigen einen ADSL Router (Kabelgebundenen) der IPv4 und IPv6 kann, also Dual Stack (DHCP Extern und ...

question
SSH Login nur möglich bei eingelogtem USERhell.wienVor 17 StundenFrageLinux Netzwerk17 Kommentare

habe einen Server (Debian) mit SSH (nur mit Public Key und auf einem Custom Port) und ufw aktiv. Ich kann mich nicht einlogen. Wenn ich ...

question
ProLiant DL380p G8 findet HP SAS-Festplatten MB3000FBUCN nicht ?IT-DAUVor 23 StundenFrageServer-Hardware5 Kommentare

Hallo liebe Community! Kurz vorweg: ich bin Quereinsteiger in der IT-Branche und möchte nun als Vorbereitung zu meinem Ausbildungskurs bzw. für zu Hause ein bisschen ...