Unbefugter Zugriff auf Small Business Server
Server Performance Report zeigt jedes Wochenende einen unbefugten Zugriff
Hallo zusammen,
ich bekomme seit 2 Wochen jeden Samstag eine Meldung im Server Performance Report das ein unbefugter Zugriff auf den Server stattgefunden hat.
Dies ist die Meldung:
Security 529 4/5/2009 11:54 PM 38 *
Logon Failure:
Reason: Unknown user name or bad password
User Name: administrator
Domain: DDT
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
Workstation Name: UCHOSHI
Caller User Name: UCHOSHI$
Caller Domain: DDT
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 6328
Transited Services: -
Source Network Address: 65.15.79.134
Source Port: 2838
Wenn ich mir die IP-Adresse die angegeben wird (65.15.79.134) genauer anschaue bekomme ich folgendes heraus:
IP Address: 65.15.79.134
Host Name: adsl-065-015-079-134.sip.asm.bellsouth.net
Nun habe ich einfach mal ein wenig gegooglet und herausgefunden, dass bellsouth.net eine Gesellschaft in den Vereinigten Statten ist. Ich kann mir leider keinen Reim darauf machen und auch nicht warum dies immer am Samstag passiert.
Hat jemand vielleicht eine Idee was das seien könnte?
Vielen Dank!
Hallo zusammen,
ich bekomme seit 2 Wochen jeden Samstag eine Meldung im Server Performance Report das ein unbefugter Zugriff auf den Server stattgefunden hat.
Dies ist die Meldung:
Security 529 4/5/2009 11:54 PM 38 *
Logon Failure:
Reason: Unknown user name or bad password
User Name: administrator
Domain: DDT
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
Workstation Name: UCHOSHI
Caller User Name: UCHOSHI$
Caller Domain: DDT
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 6328
Transited Services: -
Source Network Address: 65.15.79.134
Source Port: 2838
Wenn ich mir die IP-Adresse die angegeben wird (65.15.79.134) genauer anschaue bekomme ich folgendes heraus:
IP Address: 65.15.79.134
Host Name: adsl-065-015-079-134.sip.asm.bellsouth.net
Nun habe ich einfach mal ein wenig gegooglet und herausgefunden, dass bellsouth.net eine Gesellschaft in den Vereinigten Statten ist. Ich kann mir leider keinen Reim darauf machen und auch nicht warum dies immer am Samstag passiert.
Hat jemand vielleicht eine Idee was das seien könnte?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113285
Url: https://administrator.de/contentid/113285
Ausgedruckt am: 25.11.2024 um 02:11 Uhr
2 Kommentare
Neuester Kommentar
Ja - ich habe eine Idee. Das wird irgendeine IP aus dem Netzbereich des Providers sein (z.B. dialup). Hier bekommst du ja auch bei der Einwahl eine IP z.B. von T-Online und im whois steht nicht deine Adresse sondern die von der Terrorkom...
Üblicherweise haben die aber auch einen Abuse-Eintrag -> an dem kannst du die Log-Meldung schicken... Wenn du das für jeden solchen "Angriffsversuch" machst dann hast du auch die nächsten 20 Jahre zu tun (ich erhalte ca. 100 solcher "Angriffe" pro Tag auf meinen Server...).
Das sowas immer Samstags am häufigsten passiert? Ganz einfach - die Script-Kiddys haben da Schulfrei...
Üblicherweise haben die aber auch einen Abuse-Eintrag -> an dem kannst du die Log-Meldung schicken... Wenn du das für jeden solchen "Angriffsversuch" machst dann hast du auch die nächsten 20 Jahre zu tun (ich erhalte ca. 100 solcher "Angriffe" pro Tag auf meinen Server...).
Das sowas immer Samstags am häufigsten passiert? Ganz einfach - die Script-Kiddys haben da Schulfrei...