SBS 2008 - Merkwürdige Einträge (ID-4625) im Security Log
Hallo Zusammen,
heute morgen wurde auf einem SBS2008 ein paar Loginversuche mit der ID:4625 geloggt.
Das Merkwürdige bei diesen Loginversuchen ist der Arbeitsstationsname und die Quell - IP-Adresse.
Als Arbeitsstationsname wird ein Client aus der eigenen Domäne angegeben. (lokaler Netbiosname), und als IP-Adresse ist die statische WAN-IP des Anschlusses, hinter dem der SBS2008 mit seinen Clients läuft.
Dass es ein Dienst ist, glaube ich eher nicht, weil:
- die statische WAN-IP des Anschlusses, wo der SBS2008 hinter steht, als Quelle angegeben ist.
- die verwendeten Benutzernamen, deren Anmeldung fehlgeschlagen, in dem Netzwerk nicht existieren. (Administrator und Firmenname).
Kann es sein, dass sich jemand von außen versucht einzuloggen, und dabei den Hostnamen + WAN-IP faked?? Das wäre ja der Hammer!
Irgend welche Ideen?
heute morgen wurde auf einem SBS2008 ein paar Loginversuche mit der ID:4625 geloggt.
Das Merkwürdige bei diesen Loginversuchen ist der Arbeitsstationsname und die Quell - IP-Adresse.
Als Arbeitsstationsname wird ein Client aus der eigenen Domäne angegeben. (lokaler Netbiosname), und als IP-Adresse ist die statische WAN-IP des Anschlusses, hinter dem der SBS2008 mit seinen Clients läuft.
Dass es ein Dienst ist, glaube ich eher nicht, weil:
- die statische WAN-IP des Anschlusses, wo der SBS2008 hinter steht, als Quelle angegeben ist.
- die verwendeten Benutzernamen, deren Anmeldung fehlgeschlagen, in dem Netzwerk nicht existieren. (Administrator und Firmenname).
Kann es sein, dass sich jemand von außen versucht einzuloggen, und dabei den Hostnamen + WAN-IP faked?? Das wäre ja der Hammer!
Irgend welche Ideen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158275
Url: https://administrator.de/contentid/158275
Ausgedruckt am: 05.11.2024 um 10:11 Uhr
6 Kommentare
Neuester Kommentar
Dein Interner Client kann das nicht sein den wenn du über eine Firewall von deinem Internen netz ins internet gehst darf das selbe packet nicht wieder über die Firewall rein. Ausser dein server steht hinter einer anderen firewall als deine clients.
Komischer fehler würde mal die Maschine die sich da laut clientname einloggen wollte untersuchen. Virus ?
LG Andreas Ausserwöger
Komischer fehler würde mal die Maschine die sich da laut clientname einloggen wollte untersuchen. Virus ?
LG Andreas Ausserwöger
Wenn deine Clients hinter der selben Firewall stehen kanns nur ein externer sein. Vielleicht ein Laptop der zur firma gehört und von extern zugreifen will ?
kann ich nur schätzen ! Was war das den für ein loginversuch ? Normales anmelden an der domain ?
Schau mal ob du am client im Eventlog was findest !
LG Andreas Ausserwöger
kann ich nur schätzen ! Was war das den für ein loginversuch ? Normales anmelden an der domain ?
Schau mal ob du am client im Eventlog was findest !
LG Andreas Ausserwöger
Na dann weisst du schon wo du suchen musst ! Hast du Outlook 2007 oder 2010 ?
Schau mal am Outlookkonto des clients unter weitere Einstellungen dann auf verbindungen ob da Verbindung mit Exchangeserver über HTTP eingeschaltet ist. Und Teste ob der fehler noch besteht wenn du das abschaltest.
LG Andreas Ausserwöger
Schau mal am Outlookkonto des clients unter weitere Einstellungen dann auf verbindungen ob da Verbindung mit Exchangeserver über HTTP eingeschaltet ist. Und Teste ob der fehler noch besteht wenn du das abschaltest.
LG Andreas Ausserwöger