Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Unbekannter Benutzername bzw. unberechtigter Zugriffsversuch ?

Mitglied: 26228

Erfolgt hier ein unberechtigter Zugriff von aussen oder ist dies ein internes Problem?

Hallo zusammen, als Hobby-Admin in einem kleinen Unternehmen hab ich mal eine Frage zu nachstehender Meldung aus dem
täglichen Serverleistungsbericht:


Ereignis-ID: Security 529
Zeitpunkt: 05.11.2008 15:33
Häufigkeit: 1
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: inna
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: ZensiertSERVER
Aufruferbenutzername: ZensiertSERVER$
Aufruferdomäne: Zensiert-STUTTGART
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1992
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Die Meldung hab ich ca. 2 - 3 Mal die Woche mit jeweils 3-5 fehlgeschlagenen Zugriffsversuchen. Den Benutzernamen "inna" gibt es bei uns nicht. Auch ein Dienst der diesem Namen ähnlich ist oder damit
in Verbindung gebracht werden könnte ist mir nicht bekannt. Die Zugriffe erfolgen zu vollkommen willkürlichen Uhrzeiten und Wochentagen.

Als Server verwenden wir einen SBS 2003, auf dem Exchange läuft und der als DC fungiert. Externe IP-Adresse ist fest. Der Server ist über einen Router ans Internet angebunden.

Vielleicht kann mir jemand sagen, ob diese Zugriffe unberechtigt von aussen initiiert werden oder es doch ein "internes" Problem ist. Falls jemand weitere Informationen benötigt, bitte einfach
kurz melden.

Vielen Dank einstweilen.

Content-Key: 101159

Url: https://administrator.de/contentid/101159

Ausgedruckt am: 30.07.2021 um 10:07 Uhr

Mitglied: Driver401
Driver401 06.11.2008 um 11:54:49 Uhr
Goto Top
Kannst Du denn mit den zensierten "Anruferbenutzernamen" - "Anruferdomäne" - "Name der Arbeitsstation" was anfangen?
Das ist doch von Dir zensiert, oder steht das so im Protokoll?
Das deutet ja schonmal auf eine Einwahl von aussen hin und nicht über einen Router, bzw. LAN.
Gibts denn eine Einwahlmöglichkeit, evtl. Fernwartung, ISDN, whatever...

Einen Angriff würde ich zwar nicht ausschliessen, aber wenn, dann wäre "Administrator" der versuchte Benutzername. Domäne wurde ja auch keine angegeben.
Ausser natürlich, es läuft ein spezieller Dienst, der "inna" als Anmeldung akzeptieren würde. Backdoor, Trojaner... oder Remote Desktop-Anwendungen....

HTH
Jürgen
Mitglied: 26228
26228 06.11.2008 um 12:17:17 Uhr
Goto Top
Hallo Jürgen,

das Wort "zensiert" habe ich eingefügt. Im Originaltext steht bei "Name der Arbeitsstation" der korrekte Name des unseres SBS2003-Servers, bei "Anruferbenutzername"
steht wiederum der Name unseres Servers gefolgt von $ (Ich denke mal, gemäß der Formel Maschinenname+$ = Anruferbenutzername) und bei der "Anruferdomäne"
unsere korrekte Domänenbezeichnung.

Ich hatte auch schon Angriffe von aussen die als solche leicht zu erkennen waren, da wurden Benutzernamen wie Administrator, Admin, Win-Admin usw. verwendet.

Aber bei der Geschichte werd ich nicht schlau. Backup, Virenscan, Defrag kann ich ausschließen, da die immer zur selben Zeit laufen, aber diese mutmasslichen Fremdzugriffe
ja zeitlich kein Schema haben.

Einwahlmöglichkeiten von aussen gibt es schon. Per ISDN reagiert aber nur das Faxprogramm, per Mobilfunk das SMS-Gateway und ansonsten wären nur
noch SMTP (25), HTTP (80), POP3 SSL (995), Remote Desktop (4125), HTTPS (443 u. 444) von aussen erreichbar.

Gruss Arno
Mitglied: Driver401
Driver401 06.11.2008 um 13:09:22 Uhr
Goto Top
Wie schon gesagt die "Anrufer-"-Sachen hast Du bei einer normalen Anmeldung aus dem Netz nicht. Schau doch zur Kontrolle mal die korrekten Anmeldevorgänge im Log an und schau ob da was bei Anrufer steht.. normal nicht.

RAS aktiviert?

J.
Mitglied: Driver401
Driver401 06.11.2008 um 13:17:27 Uhr
Goto Top
Uhps, oder wohl doch ein Angriff....
schau Dir das mal an - sieht ganz nach Deinem Problem aus.... da ist auch der Hinweis auf Filterung im Protokoll wie Du auf die Herkunft kommen kannst.

http://www.meinews.net/sbs2k3-t139941.html?s=a8eadccf1602511016fd720aa2 ...;

HTH
Mitglied: 26228
26228 07.11.2008 um 08:19:53 Uhr
Goto Top
Hallo Jürgen,

danke für den Link. Ja, das sieht mir ganz nach solch einer Geschichte aus. Da stellen sich mir natürlich gleich ein paar Fragen:

1. Komme ich auch ohne den Einsatz von ISA an nähere Informationen wie IP des "Angreifers" etc. ?
2. Wie finde ich heraus, auf welchen Service hier ein Zugriffsversuch erfolgte ?
3. Wie gehe ich vor, um mir diese Infos aus dem Server "rauszufiltern"

Wie eingangs erwähnt bin ich auf dem Gebiet nur als "Hobby-Admin" tätig, da unsere kleine Firma nicht über eine eigene IT-Abteilung verfügt
und auch keinen externen Dienstleister dafür hat. Was ich weiß, hab ich mir im Laufe der Jahre selbst angeeignet.

Gruss Arno
Mitglied: Driver401
Driver401 07.11.2008 um 12:12:09 Uhr
Goto Top
Ich fürchte, da kann ich Dir im Moment auch nicht groß weiterhelfen. Wie die "Anrufer--"Kennungen eingetragen werden, entzieht sich meiner Kenntnis und ist auch in meinen Logs noch nie aufgetaucht (wir haben auch keine externe Einwahlmöglichkeit).
Wenn sich hier keiner findet, der Dir weiterhelfen kann, wirst Du Dich erstmal einlesen müssen...

Ich würde jetzt erstmal herausfinden wollen, wie es generell dazu kommt, daß Einträge unter "Anrufer..." gemacht werden. Sofern das nicht wirklich weiterhilft, kannst Du versuchen ein Muster der Zugriffszeiten herauszufinden und zu den Zeiten einen Netzwerksniffer mitlaufen lassen, der den Traffic protokolliert.
Alternativ würde ich das komplette Netz weiterhin auf Viren und Trojaner/Backdoors prüfen. Falls Firewall vorhanden, dort die Logs und Einstellungen prüfen ob es zeitliche oder andere Zusammenhänge gibt. Bei Einwahlverbindungen diese Logs ebenso prüfen falls vorhanden.
usw...

Bitte verbessert mich jemand, wenn ich daneben liege....

HTH
Jürgen
Mitglied: Jeckl8
Jeckl8 17.12.2008 um 07:28:05 Uhr
Goto Top
Ich habe bei mehreren Kunden regelmäßig Anmeldeversuche von "Inna", da es den User natürlich nicht gibt und die Versuche weit unter einer "gefährlichen" Wiederholungsanzahl liegen, habe ich da noch nie drauf reagiert. Hatte erst lokale Fehlversuche vermutet und nachdem es auch bei anderen Kunden auftrat wohl richtig vermutet, dass ich nicht allein mit dem "neuen" Benutzer bin.

Gruß Uwe
Mitglied: 26228
26228 17.12.2008 um 07:58:27 Uhr
Goto Top
Ich habe die Anmeldeversuche von "Inna" fast täglich, aber es sind immer nur 3 - 4 Versuche pro Tag. Testweise hatte ich auch mal eingehend alles ausser smtp und pop3-ssl geblockt, aber "Inna" wollte trotzdem rein. Wie kann ich eigentlich beim SBS 2003 solche Versuche unterbinden? Gibts da ne Regel die z.B. lautet: wenn Benutzername "Inna" sich 1 x erfolglos anmeldet, sperre Benutzername für 24 Std. ? Oder funktioniert das nur bei existierenden Benutzern ?
Mitglied: Jeckl8
Jeckl8 17.12.2008 um 08:10:35 Uhr
Goto Top
Solange man Ports zum Internet geöffnet hat sollte man die Kennwortrichtlinien aktiviert haben mit regelmäßigem Passwortwechsel. Benutzer mit Fehlversuchen wird in der Standarteinstellung eh nach einer gewissen Anzahl eine zeitgesteuerte Sperre vorgschoben. Einen Benutzernamen sperren, den es nicht gibt macht wohl wenig Sinn, da es ihn nicht gibt kann er auch keinen Zugriff bekommen.
Ich hab mir darum bis jetzt noch keinen großen Kopf gemacht.
Heiß diskutierte Beiträge
general
Telekom hat größere StörunganteNopeVor 1 TagAllgemeinInformationsdienste29 Kommentare

Moin, es scheint als hätte die Telekom gerade eine größere Störung. Bei vielen Kunden mit Telekom-Internetanschluss funktionieren Office 365 und auch IMAP-Mails nicht. Wartezeit in ...

question
Windows 365SarekHLVor 1 TagFrageWindows 1112 Kommentare

Hallo zusammen, nun ist es also soweit - Microsoft stellt mit "Windows 365" die Weichen in Richtung Windows as a Service: Wenn Microsoft da schreibt ...

question
Geplanter Server für Home LABraxxis990Vor 1 TagFrageServer-Hardware15 Kommentare

Guten Tag , Ich möchte gern meine aktuelle Hardware Tauschen. Im Einsatz ist ein kleiner Lenovo M93p ( Glaube ). Dort läuft ESXI mit 3 ...

question
Massive Probleme mit Windows Suche, Taskbar, Windows Standard Apps auf jedem Windows 10-PC im Firmennetzwerkrznr666Vor 22 StundenFrageWindows 1027 Kommentare

Hallo liebe Community, die PCs in unserem Unternehmen weisen folgende Probleme auf. Die Fehler treten nach einiger Zeit auf JEDEM Windows 10-PC auf, der genaue ...

question
Absicherung Exchange ServerLKleemannVor 21 StundenFrageExchange Server6 Kommentare

Hallo zusammen, wir sind bei uns in der Firma nun endlich vom Exchange POP3 Connector weggekommen und empfangen nun unsere E-Mail direkt über MX-Einträge. Nun ...

question
Anfragen an internen- und externen DNS Server gelöst BPeterVor 1 TagFrageWindows Server17 Kommentare

Hallo, im Homeoffice soll eine DNS Anfrage für Softphone über einen externen DNS Server laufen und nicht über den internen DNS Server. Dies soll aber ...

question
CMS für Lebenslauf einer Maschine gelöst rrobbyyVor 1 TagFrageCMS10 Kommentare

Hallo zusammen, im Zuge einer Masterarbeit loten wir gerade ein paar Möglichkeiten aus, wie man die (alle) technischen Daten einer Anlage (Kran-Anlagen) strukturiert und nachvollziehbar ...

question
Domainbenutzer Passwort lokal ändern?gecekusuVor 1 TagFrageWindows Userverwaltung9 Kommentare

Hallo zusammen, gibt es die Möglichkeit das Benutzerpasswort von lokalen Benutzer am PC der in einer (nicht verbundenen) Domain ist zu ändern? Sprich, Benutzer ist ...