57263
15.06.2011
6734
5
0
SBS2003 mit IIS, Eindringversuch von außen?
Seit einiger Zeit, früher gar nicht, werden im Serverleistungsbericht an manchen Tagen mehrere tausend Login-Versuche protokolliert, vor allem, wenn es bei uns Nacht oder früher Morgen ist. Ich habe mehrere Anfragen mit diesem Thema gefunden, aber keine Lösung.
Folgende Meldung erscheint im Serverleistungsbericht (1-2 pro Sekunde im Ereignisprotokoll, 2 1/2 Stunden lang von 6:00 bis 8:30 Uhr), 3.655mal:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 8
Anmeldevorgang: IIS
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1872
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
an einem anderen Tag abends 113mal:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 9552
Übertragene Dienste: -
Quellnetzwerkadresse: 222.92.69.108
Quellport: 4415
Manchmal sind auch Quellports und IP-Adressen aufgeführt, wie im unteren Beispiel, die aber nicht ereichbar sind oder auch ein Login erfordern. Sind das Angriffe aus dem Internet? Es ist ja nur ein Frage der Dauer des Probierens, bis jemand eindringen kann. Wie kann man das sicher machen? Oder ist das ein interner (IIS-) Prozess, der ein falsches/abgelaufenes Passwort benutzt?
Christian Tietje, Dipl.-Ing. (FH) Gießen 1983
Folgende Meldung erscheint im Serverleistungsbericht (1-2 pro Sekunde im Ereignisprotokoll, 2 1/2 Stunden lang von 6:00 bis 8:30 Uhr), 3.655mal:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 8
Anmeldevorgang: IIS
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1872
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
an einem anderen Tag abends 113mal:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 9552
Übertragene Dienste: -
Quellnetzwerkadresse: 222.92.69.108
Quellport: 4415
Manchmal sind auch Quellports und IP-Adressen aufgeführt, wie im unteren Beispiel, die aber nicht ereichbar sind oder auch ein Login erfordern. Sind das Angriffe aus dem Internet? Es ist ja nur ein Frage der Dauer des Probierens, bis jemand eindringen kann. Wie kann man das sicher machen? Oder ist das ein interner (IIS-) Prozess, der ein falsches/abgelaufenes Passwort benutzt?
Christian Tietje, Dipl.-Ing. (FH) Gießen 1983
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 168014
Url: https://administrator.de/contentid/168014
Ausgedruckt am: 19.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
hast du die Quelladresse in deinem Zweiten Beispiel mal überprüft?
Die weisst auf eine Chinesische Firma im Chemie Sektor hin.
Entweder ein versuchter Login eines Kunden/Lieferant oder ein versuchter Angriff, eventuell über ein BotRechner.
brammer
hast du die Quelladresse in deinem Zweiten Beispiel mal überprüft?
Die weisst auf eine Chinesische Firma im Chemie Sektor hin.
Entweder ein versuchter Login eines Kunden/Lieferant oder ein versuchter Angriff, eventuell über ein BotRechner.
brammer
Moin
Was du dich mal fragen solltest ist:
- welche Dienste bietet dein SBS-Server extern an ? Im letzteren Fall bedeutet eine Anmeldetyp 10 erst einmal, dass eine RDP-Verbindung aufgebaut werden sollte. vgl dazu Technet: Anmeldeereignisse überwachen. Frag dich also, welche Dienste du wirklich aus dem Internet heraus benötigst und welche nicht. Je weniger Dienste du anbietest, umso weniger Angriffsfläche bietet der Server.
- Wenn du feststellst, dass jemand versucht die Anmeldung des Administrators zu knacken, dann solltest du natürlich 1. auf ein richtig gutes Kennwort achten, welches nicht mit einer Brutforce-Attacke zu knacken ist. und 2. lässt sich der Administrator in einer Domäne umbenennen. Wenn es keinen Administrator mehr gibt, dann laufen Angriffe unter Verwendung dieses Benutzernamens schon mal im Ansatz ins Leere...
Wnn du schon Dienste im Internet zur Verfügung stellst, dann solltest du gerade dann grundsätzlich für alle Benutzerkonten sichere Kennwörter verlangen.
Gruß
Hubert
Was du dich mal fragen solltest ist:
- welche Dienste bietet dein SBS-Server extern an ? Im letzteren Fall bedeutet eine Anmeldetyp 10 erst einmal, dass eine RDP-Verbindung aufgebaut werden sollte. vgl dazu Technet: Anmeldeereignisse überwachen. Frag dich also, welche Dienste du wirklich aus dem Internet heraus benötigst und welche nicht. Je weniger Dienste du anbietest, umso weniger Angriffsfläche bietet der Server.
- Wenn du feststellst, dass jemand versucht die Anmeldung des Administrators zu knacken, dann solltest du natürlich 1. auf ein richtig gutes Kennwort achten, welches nicht mit einer Brutforce-Attacke zu knacken ist. und 2. lässt sich der Administrator in einer Domäne umbenennen. Wenn es keinen Administrator mehr gibt, dann laufen Angriffe unter Verwendung dieses Benutzernamens schon mal im Ansatz ins Leere...
Wnn du schon Dienste im Internet zur Verfügung stellst, dann solltest du gerade dann grundsätzlich für alle Benutzerkonten sichere Kennwörter verlangen.
Gruß
Hubert
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108
2. Die Dienste werden tatsächlich benötigt: RDP über Internet/IIS, Outlook über Internet; könnte aber auch über VPN geschehen, wenn RDP oder Exchange über IIS zu unsicher sind.
3. Administrator umbenennen war auch mein erster Gedanke. Das ist wohl ein sozusagen eingebauter und somit sehr wahrscheinlich vorhandener User auf fast jedem Server.
4. Sichere Passwörter haben wir aus Zahlen, Buchstaben und Sonderzeichen mit mindestens 10 Zeichen Länge. Die Frage ist nur, ob man auch die nicht irgendwann knacken kann. Dann wäre eine solche Möglichkeit, sich von außen über Web einloggen zu können schon schlecht geplant und sollte abgeschaltet werden. Wenn das nötig ist, dann machen wir das.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108
2. Die Dienste werden tatsächlich benötigt: RDP über Internet/IIS, Outlook über Internet; könnte aber auch über VPN geschehen, wenn RDP oder Exchange über IIS zu unsicher sind.
3. Administrator umbenennen war auch mein erster Gedanke. Das ist wohl ein sozusagen eingebauter und somit sehr wahrscheinlich vorhandener User auf fast jedem Server.
4. Sichere Passwörter haben wir aus Zahlen, Buchstaben und Sonderzeichen mit mindestens 10 Zeichen Länge. Die Frage ist nur, ob man auch die nicht irgendwann knacken kann. Dann wäre eine solche Möglichkeit, sich von außen über Web einloggen zu können schon schlecht geplant und sollte abgeschaltet werden. Wenn das nötig ist, dann machen wir das.
Zitat von @57263:
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108
mstsc /v:222.92.69.108 fördert zutage, daß es ein chinesischer Windows Enterprise-Server ist. Vermutlich gehackt. Sorge schleunigst dafür, daß nur Dienste nach außen sichtbar sind, die auch wirklich notwendig sind. Außerdem gehören Systeme, die Dienste nach außen anbieten in eine NZ/DMZ, die vom LAN abgeschottet ist.
Schränke ggf. den Zugriff auf die Dienste in Deiner Firewall auf "deutsche" IP-netze ein.
habe Port 3389 geschlossen und greife nur noch über vpn zu
