Sehr viele Netzwerk Anmeldeversuche auf Windows Server 2012 ohne IP Adresse im Ereignislog: EventID 4625
Hallo!
Wir haben bei einem Kunden folgendes Problem:
Es werden sehr viele ( letzte Nacht 50) Anmeldeversuche an dem Server geloggt.
Es handelt sich um den Typ 3...also Anmeldung über das Netzwerk.
vereinzelt konnte man im Ereignislog externe IP-Adressen finden, die wir gleich geblockt haben.
Jedoch ist der Großteil der Anmeldeversuche ohne IP-Adresse im Ereignislog zu finden (47 von 50 ohne IP).
Worauf lässt das denn schließen?
Oder wie kann ich weiter herausfinden, was da vor sich geht.
Die Stationsnamen sagen uns überhaupt nichts.
Ich bin für jede Hilfe dankbar.
Hier sind noch zwei Screenshots aus dem Ereignislog
Wir haben bei einem Kunden folgendes Problem:
Es werden sehr viele ( letzte Nacht 50) Anmeldeversuche an dem Server geloggt.
Es handelt sich um den Typ 3...also Anmeldung über das Netzwerk.
vereinzelt konnte man im Ereignislog externe IP-Adressen finden, die wir gleich geblockt haben.
Jedoch ist der Großteil der Anmeldeversuche ohne IP-Adresse im Ereignislog zu finden (47 von 50 ohne IP).
Worauf lässt das denn schließen?
Oder wie kann ich weiter herausfinden, was da vor sich geht.
Die Stationsnamen sagen uns überhaupt nichts.
Ich bin für jede Hilfe dankbar.
Hier sind noch zwei Screenshots aus dem Ereignislog
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 281042
Url: https://administrator.de/contentid/281042
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
Exchange
Firewall
Unbekannte Dienste auf irgendwelchen Blechen
Trojaner
.
.
.
Ohne das du auch nur etwas zu deiner Infrastruktur zu sagen hast sowie wer mit wem und welche Dienste....
Gruß,
Peter
Zitat von @darksoul666:
Es werden sehr viele ( letzte Nacht 50) Anmeldeversuche an dem Server geloggt.
DAS sind Viele? eher nicht....Es werden sehr viele ( letzte Nacht 50) Anmeldeversuche an dem Server geloggt.
Es handelt sich um den Typ 3...also Anmeldung über das Netzwerk.
OK. Und wo ist die Anmelde Quelle?vereinzelt konnte man im Ereignislog externe IP-Adressen finden, die wir gleich geblockt haben.
Willst du demnächst noch weitere Millionen von IPs dort eintragen?Worauf lässt das denn schließen?
IISExchange
Firewall
Unbekannte Dienste auf irgendwelchen Blechen
Trojaner
.
.
.
Ohne das du auch nur etwas zu deiner Infrastruktur zu sagen hast sowie wer mit wem und welche Dienste....
Die Stationsnamen sagen uns überhaupt nichts.
Schon mal etwas an InfosHier sind noch zwei Screenshots aus dem Ereignislog
Geiz nicht mit den Infos. Hier sind zusammenhänge zu erkennen um daraus dann die richtigen Schlüsse zu ziehen.Gruß,
Peter
Hallo,
eventuell mal den WireShark an schmeißen und dann dort im Netzwerk alles mitsniffen.
Achte drauf das die beiden Geräte die selbe Zeiteinstellungen haben, dann kann man die
Anmeldeversuche auch gleich zuordnen und dann weiß man auch wer das wirklich ist.
Gruß
Dobby
eventuell mal den WireShark an schmeißen und dann dort im Netzwerk alles mitsniffen.
Achte drauf das die beiden Geräte die selbe Zeiteinstellungen haben, dann kann man die
Anmeldeversuche auch gleich zuordnen und dann weiß man auch wer das wirklich ist.
Gruß
Dobby