darksoul666
Goto Top

Sehr viele Netzwerk Anmeldeversuche auf Windows Server 2012 ohne IP Adresse im Ereignislog: EventID 4625

Hallo!
Wir haben bei einem Kunden folgendes Problem:
Es werden sehr viele ( letzte Nacht 50) Anmeldeversuche an dem Server geloggt.
Es handelt sich um den Typ 3...also Anmeldung über das Netzwerk.
vereinzelt konnte man im Ereignislog externe IP-Adressen finden, die wir gleich geblockt haben.
Jedoch ist der Großteil der Anmeldeversuche ohne IP-Adresse im Ereignislog zu finden (47 von 50 ohne IP).
Worauf lässt das denn schließen?
Oder wie kann ich weiter herausfinden, was da vor sich geht.
Die Stationsnamen sagen uns überhaupt nichts.

Ich bin für jede Hilfe dankbar.
Hier sind noch zwei Screenshots aus dem Ereignislog


577c80fe82fc0f6da43c6e059a77b706

74cefde4f98a4ee6d6202b573dd0bccc

Content-ID: 281042

Url: https://administrator.de/contentid/281042

Ausgedruckt am: 26.11.2024 um 00:11 Uhr

Pjordorf
Pjordorf 24.08.2015 um 16:46:12 Uhr
Goto Top
Hallo,

Zitat von @darksoul666:
Es werden sehr viele ( letzte Nacht 50) Anmeldeversuche an dem Server geloggt.
DAS sind Viele? eher nicht....

Es handelt sich um den Typ 3...also Anmeldung über das Netzwerk.
OK. Und wo ist die Anmelde Quelle?

vereinzelt konnte man im Ereignislog externe IP-Adressen finden, die wir gleich geblockt haben.
Willst du demnächst noch weitere Millionen von IPs dort eintragen?

Worauf lässt das denn schließen?
IIS
Exchange
Firewall
Unbekannte Dienste auf irgendwelchen Blechen
Trojaner
.
.
.
Ohne das du auch nur etwas zu deiner Infrastruktur zu sagen hast sowie wer mit wem und welche Dienste....

Die Stationsnamen sagen uns überhaupt nichts.
Schon mal etwas an Infos

Hier sind noch zwei Screenshots aus dem Ereignislog
Geiz nicht mit den Infos. Hier sind zusammenhänge zu erkennen um daraus dann die richtigen Schlüsse zu ziehen.

Gruß,
Peter
108012
108012 24.08.2015 um 17:09:42 Uhr
Goto Top
Hallo,

eventuell mal den WireShark an schmeißen und dann dort im Netzwerk alles mitsniffen.
Achte drauf das die beiden Geräte die selbe Zeiteinstellungen haben, dann kann man die
Anmeldeversuche auch gleich zuordnen und dann weiß man auch wer das wirklich ist.

Gruß
Dobby