Unbekannter Benutzername oder falsches Kennwort - 14774 Anmeldeversuche?
Hallo Liebe Admins,
Ist sicher schon ein Jahr her, dass diese komischen Anmeldefehler aufgetreten waren, doch jetzt von heute auf morgen 14.774 Anmeldeversuche?
Vielleicht kann mich hier jemand auf die richtige Quelle / Lösung bringen.
Ich habe die Suche missbraucht doch eine Lösung habe ich nicht wirklich finden können.
Viele Threads in unterschiedlichen Foren haben den "gleichen" Fall - aber scheinbar keine echte Lösung.
Kritische Warnungen im Protokoll Sicherheit:
Quelle Ereigniskennung Letztes Vorkommen Vorkommnisse insgesamt
Security 529 07.09.2012 05:46 14'774 *
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: america
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER
Aufruferdomäne: XYZ
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2276
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Das merkwürdige, es gibt kein Quellnetzwerk /Port.
Die Zywall hat keine Einträge im Protokoll und auch Symantec EPP hat keine Aufzeichnungen.
Versucht hier ein Dienst eine Ameldung und wenn ja wieso mit Benutzername america, dieser wurde sicher nicht eingerichtet.
Wenn es eine Quelle gäbe würde ich ja auf Angriff tippen aber so?
Virenschutz ist aktuell, sowohl Server als auch die 3 Clients.
Clients sind 2 x WIN / Pro und 1 x WIN XP Pro SP3
Server SBS 2003 inkl. SP's usw..
Eine Sache noch: Auf dem Server gibt es ein DynDNS Tool da es keine Fixe IP gibt. Evtl. hier der Wurm drin?
Ich habe diese nicht eingerichtet und bin auch nicht wirklich mit vertraut.
Derzeit hänge ich da fest und könnte echt einen guten Rat brauchen wie man das Ganze angehen sollte.
Besten Grüsse
Maik
Ist sicher schon ein Jahr her, dass diese komischen Anmeldefehler aufgetreten waren, doch jetzt von heute auf morgen 14.774 Anmeldeversuche?
Vielleicht kann mich hier jemand auf die richtige Quelle / Lösung bringen.
Ich habe die Suche missbraucht doch eine Lösung habe ich nicht wirklich finden können.
Viele Threads in unterschiedlichen Foren haben den "gleichen" Fall - aber scheinbar keine echte Lösung.
Kritische Warnungen im Protokoll Sicherheit:
Quelle Ereigniskennung Letztes Vorkommen Vorkommnisse insgesamt
Security 529 07.09.2012 05:46 14'774 *
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: america
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER
Aufruferdomäne: XYZ
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2276
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Das merkwürdige, es gibt kein Quellnetzwerk /Port.
Die Zywall hat keine Einträge im Protokoll und auch Symantec EPP hat keine Aufzeichnungen.
Versucht hier ein Dienst eine Ameldung und wenn ja wieso mit Benutzername america, dieser wurde sicher nicht eingerichtet.
Wenn es eine Quelle gäbe würde ich ja auf Angriff tippen aber so?
Virenschutz ist aktuell, sowohl Server als auch die 3 Clients.
Clients sind 2 x WIN / Pro und 1 x WIN XP Pro SP3
Server SBS 2003 inkl. SP's usw..
Eine Sache noch: Auf dem Server gibt es ein DynDNS Tool da es keine Fixe IP gibt. Evtl. hier der Wurm drin?
Ich habe diese nicht eingerichtet und bin auch nicht wirklich mit vertraut.
Derzeit hänge ich da fest und könnte echt einen guten Rat brauchen wie man das Ganze angehen sollte.
Besten Grüsse
Maik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190877
Url: https://administrator.de/forum/unbekannter-benutzername-oder-falsches-kennwort-14774-anmeldeversuche-190877.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
19 Kommentare
Neuester Kommentar
Servus,
schau mal...
http://support.microsoft.com/kb/305822/de
Wie viele dieser Einträge existieren?
Gruß
Mike
schau mal...
http://support.microsoft.com/kb/305822/de
Wie viele dieser Einträge existieren?
Gruß
Mike
Guten Tag,
was für eine Firewall oder für einen Router benutzt Du denn?
Hat der Router oder die Firewall log files die er speichert und wenn ja wohin, intern oder extern auf einen
Syslog Server oder Handler?
Du sagst das trat schon einmal auf, wann war das denn?
Was macht Deine Firma denn genau, Geschäftsfeld?
Nehmet Ihr gerade an Ausschreibungen teil?
Meldet Ihr gerade Patente an?
Mal mit dem Betriebsrat gesprochen das Du einen Rechner mit Wireshark oder TCPDUM anwirfst um mehr heraus zu finden?
Was sagt denn Deine Geschäftsleitung zu dem Fall oder der Chef?
Bist Du neu und das ist nur ein Test?
Wie sieht der Rest der Netzwerkstruktur aus? (Switche, IDS, Honeypots)
Habt ihre eine DMZ und vor allem was steht da drin?
Vielleicht scannt einer die DynDNS hosts ab und versucht nur die Antworten Deiner Firewall ab zugreifen damit er sieht wer Ihm antwortet.
Wie viel Zeit liegt denn zwischen den Anmeldeversuchen und um welche Zeit genau fand das ganze denn statt?
Gruß
Dobby
was für eine Firewall oder für einen Router benutzt Du denn?
Hat der Router oder die Firewall log files die er speichert und wenn ja wohin, intern oder extern auf einen
Syslog Server oder Handler?
Du sagst das trat schon einmal auf, wann war das denn?
Was macht Deine Firma denn genau, Geschäftsfeld?
Nehmet Ihr gerade an Ausschreibungen teil?
Meldet Ihr gerade Patente an?
Mal mit dem Betriebsrat gesprochen das Du einen Rechner mit Wireshark oder TCPDUM anwirfst um mehr heraus zu finden?
Was sagt denn Deine Geschäftsleitung zu dem Fall oder der Chef?
Bist Du neu und das ist nur ein Test?
Wie sieht der Rest der Netzwerkstruktur aus? (Switche, IDS, Honeypots)
Habt ihre eine DMZ und vor allem was steht da drin?
Vielleicht scannt einer die DynDNS hosts ab und versucht nur die Antworten Deiner Firewall ab zugreifen damit er sieht wer Ihm antwortet.
Wie viel Zeit liegt denn zwischen den Anmeldeversuchen und um welche Zeit genau fand das ganze denn statt?
Gruß
Dobby
Hallo nochmal,
was ist das denn bitte für ein DynDNS Tool, was da auf dem Server läuft?
Und vor allem was macht das Tool genau?
Oder unterstützt Deine Zywall so etwas wie VPN Pass-Through und deshalb kann Sie auch nichts mit protokollieren und
das "VPN Tool" auf Eurem Server ist so etwas wie ein VPN Server Tool?
Gruß
Dobby
was ist das denn bitte für ein DynDNS Tool, was da auf dem Server läuft?
Und vor allem was macht das Tool genau?
Oder unterstützt Deine Zywall so etwas wie VPN Pass-Through und deshalb kann Sie auch nichts mit protokollieren und
das "VPN Tool" auf Eurem Server ist so etwas wie ein VPN Server Tool?
Gruß
Dobby
Hallo joeyschweiz,
also wenn das im Sekundentakt von ein bis drei Sekunden läuft ist das was automatisches und kein Mensch.
Kann sein das da ein Programm oder ein Bot läuft der sich zu verbinden versucht.
Naja mal im Ernst der Router leitet das einfach durch via VPN Pass-Through und dann ist da halt nur noch die Anmeldung am Server dann wäre Er/Sie drinnen!
Was liegt denn alles auch dem Server? Ich meine "wichtige" Sachen und willst Du jetzt so zuschauen
das Er/Sie irgend wann drinnen ist?
Ich sage es mal ganz ehrlich wie ich es sehe, die kleine Zyxel Firewall lässt den Verkehr durch und jemand versucht nun sein Glück mit Eurem Server.
Zyxel p-661H D1 = Gerät
[ftp://ftp.zyxel.fi/P-661H-D1/support_note/P-661H-D1_3.40.pdf Zyxel p-661H D1] = Bedienungsanleitung
Auf Seite 12 steht das Euer Router von Zyxel mit DynDNS umgehen kann!!
Und ab Seite 18 steht das er zwei VPN Tunnel managen kann.
Also es ist ja eh Freitag und da würde ich an Deiner Stelle die Gunst der Stunde nutzen und den DynDNS
schnell eintragen und dann hast Du wenigstens Ruhe, im Notfall Logfiles und Er/Sie ist nicht gleich am Server dran!!!!!
Gruß
Dobby
also wenn das im Sekundentakt von ein bis drei Sekunden läuft ist das was automatisches und kein Mensch.
Kann sein das da ein Programm oder ein Bot läuft der sich zu verbinden versucht.
Naja mal im Ernst der Router leitet das einfach durch via VPN Pass-Through und dann ist da halt nur noch die Anmeldung am Server dann wäre Er/Sie drinnen!
Was liegt denn alles auch dem Server? Ich meine "wichtige" Sachen und willst Du jetzt so zuschauen
das Er/Sie irgend wann drinnen ist?
Ich sage es mal ganz ehrlich wie ich es sehe, die kleine Zyxel Firewall lässt den Verkehr durch und jemand versucht nun sein Glück mit Eurem Server.
Zyxel p-661H D1 = Gerät
[ftp://ftp.zyxel.fi/P-661H-D1/support_note/P-661H-D1_3.40.pdf Zyxel p-661H D1] = Bedienungsanleitung
Auf Seite 12 steht das Euer Router von Zyxel mit DynDNS umgehen kann!!
Und ab Seite 18 steht das er zwei VPN Tunnel managen kann.
Also es ist ja eh Freitag und da würde ich an Deiner Stelle die Gunst der Stunde nutzen und den DynDNS
schnell eintragen und dann hast Du wenigstens Ruhe, im Notfall Logfiles und Er/Sie ist nicht gleich am Server dran!!!!!
Gruß
Dobby
Hallo joeyschweiz,
jo gut gemacht was nicht da ist kann man nicht greifen.
Tja eine Datenbank das ist doch mal eine Ansage!
Vielleicht ein Konkurent oder jemand den Ihr "erfolgreich" verkauft habt oder einer der wissen will wie Ihr das Geschäft x, y oder z abwickeln wollt, ich meine Möglichkeiten gibt es da genug und meist sind es dann auch noch die, an die man nicht gedacht hat.
Also Anmeldenamen wie america und apple sind garantiert aus einem Wörterbuch, ist zwar nur geraten aber dicht dran.
Die IP von der aus jemand "angreift" kann nur die Firewall loggen, es sei denn es handelt sich um eine VPN Pass-Through Verbindung, dann nicht, denn dann leitet Sie den ganzen Verkehr nur durch.
Da in dem Handbuch zu der Zyxel steht, das Sie zwei VPN Tunnel unterstützt, würde ich einmal
DynDNS direkt in der Zyxek angeben und dann halt per Portweiterleitung auf den Server weiter leiten.
Dann hast Du noch die beiden VPN Tunnel völlig frei zur Verfügung.
Wer greift denn via VPN auf den Server zu und vor allen Dingen mit was?
Denn diese Sachen kann man dann bequem mit den VPN Tunneln abdecken.
Gruß
Dobby
jo gut gemacht was nicht da ist kann man nicht greifen.
Tja eine Datenbank das ist doch mal eine Ansage!
Vielleicht ein Konkurent oder jemand den Ihr "erfolgreich" verkauft habt oder einer der wissen will wie Ihr das Geschäft x, y oder z abwickeln wollt, ich meine Möglichkeiten gibt es da genug und meist sind es dann auch noch die, an die man nicht gedacht hat.
Also Anmeldenamen wie america und apple sind garantiert aus einem Wörterbuch, ist zwar nur geraten aber dicht dran.
Die IP von der aus jemand "angreift" kann nur die Firewall loggen, es sei denn es handelt sich um eine VPN Pass-Through Verbindung, dann nicht, denn dann leitet Sie den ganzen Verkehr nur durch.
Da in dem Handbuch zu der Zyxel steht, das Sie zwei VPN Tunnel unterstützt, würde ich einmal
DynDNS direkt in der Zyxek angeben und dann halt per Portweiterleitung auf den Server weiter leiten.
Dann hast Du noch die beiden VPN Tunnel völlig frei zur Verfügung.
Wer greift denn via VPN auf den Server zu und vor allen Dingen mit was?
Denn diese Sachen kann man dann bequem mit den VPN Tunneln abdecken.
Gruß
Dobby
Hallo Maik,
tja passt doch wie die Faust aufs auge, oder etwa nicht?
DynDNS eingeben am Zyxel, ein VPN Tunnel von Eurem zum anderen Standort (Site-to-Site VPN)
und Du hast dann noch die Möglichkeit die andere VPN Möglich keit zur Fernwartung von zu Hause oder Deinem jetzigen Standort.
Gruß und schönes WE
Dobby
tja passt doch wie die Faust aufs auge, oder etwa nicht?
DynDNS eingeben am Zyxel, ein VPN Tunnel von Eurem zum anderen Standort (Site-to-Site VPN)
und Du hast dann noch die Möglichkeit die andere VPN Möglich keit zur Fernwartung von zu Hause oder Deinem jetzigen Standort.
Gruß und schönes WE
Dobby
Moin,
hier zyxelt's aber ganz schön
Klingt nach bruteforce via RDP - ist der Port auf der firewall offen? - oder OWA, wenn Ihr den nutzt.
Ich würde, bevor ich jetzt Intimitäten über Euer Geschäftsfeld, laufende Patentverfahren und den Fusspilzbefall Deines Grossvaters offenbare, ersteinmal auf der firewall Port 3389 prüfen, wenn offen - dichtmachen. Wenn nicht weitergeleitet gewesen, allen ein schönes Wochenende ohne OWA wünschen und Port 80/443 von aussen zumachen. Dann den Server wieder ins Netz hängen, und gucken, ob die Fremdanmeldungen ausbleiben ...
?Wie holt Ihr Eure emails ab - über den Exchange oder über pop-connector
DYNDNS-Synchronisierung gehört vor die Firewall, also guck, ob Du das über den Router angedröselt bekommst. Da Du ja OWA dicht machst, ist es kein Beinbruch, wenn das erst in ein, zwei Tagen passiert. Blöd wird es halt, wenn Ihr die mails direkt über den Exchange reinholt, dann muss es für die Zeit halt mal die Briefpost tun
LG, Thomas
hier zyxelt's aber ganz schön
Klingt nach bruteforce via RDP - ist der Port auf der firewall offen? - oder OWA, wenn Ihr den nutzt.
Ich würde, bevor ich jetzt Intimitäten über Euer Geschäftsfeld, laufende Patentverfahren und den Fusspilzbefall Deines Grossvaters offenbare, ersteinmal auf der firewall Port 3389 prüfen, wenn offen - dichtmachen. Wenn nicht weitergeleitet gewesen, allen ein schönes Wochenende ohne OWA wünschen und Port 80/443 von aussen zumachen. Dann den Server wieder ins Netz hängen, und gucken, ob die Fremdanmeldungen ausbleiben ...
?Wie holt Ihr Eure emails ab - über den Exchange oder über pop-connector
DYNDNS-Synchronisierung gehört vor die Firewall, also guck, ob Du das über den Router angedröselt bekommst. Da Du ja OWA dicht machst, ist es kein Beinbruch, wenn das erst in ein, zwei Tagen passiert. Blöd wird es halt, wenn Ihr die mails direkt über den Exchange reinholt, dann muss es für die Zeit halt mal die Briefpost tun
LG, Thomas
Hallo,
Du kannst obiges auch ganz einfach testen und dir somit den genauen Ablauf darstellen. Mimm einen von eurem Netz aus gesehenen externen Rechner und verbinde dich per http://dein.server.name/remote/ oder http://dein.server.name/owa/ oder https://dein.server.name/remote/ oder https://dein.server.name/owa/ (sofern remote oder OWA vorhanden) und verwende einen nicht existenten Benutzernamen. Du solltest deinen Event Eintrag ID 529 so genau nachstellen können. Und auch die PID solltest du dann zu einem laufenden Prozess auf deinem Server nachverfolgen können und falls dein Router es hergibt, auch die Quellverbindung.
Gruß,
Peter
Zitat von @joeyschweiz:
Viele Threads in unterschiedlichen Foren haben den "gleichen" Fall - aber scheinbar keine echte Lösung.
Eine Lösung als solches wird es auch nicht geben. Dazu müsstest du den Dienst der hier die Anmeldung annimmt abstellen (IIS?)Viele Threads in unterschiedlichen Foren haben den "gleichen" Fall - aber scheinbar keine echte Lösung.
Benutzername: america
Alle möglichen Namen können hier auftauchen (Wörterbücher etc.). Nichts ungewöhnliches. Anmeldetyp: 3
Netzwerk (und jetzt überleg mal was alles zum Netzwerk gehört). Anmeldetyp hier mal nachschlagen http://www.msxfaq.de/tools/trackloginevents.htm Aufruferprozesskennung: 2276
Hier ist dein Ansatz. Diese PID kannst du z.B. im Taskmanager oder in Tasklist /SVC oder Tasklist /M nachschlagen. Sofern dieser Prozess noch läuft oder der Server noch nicht neu gestartet wurde, solltest du ihn finden. Ich vermute das er hier wie bei fast allen anderen dann auf den IIS deutet. (W3WP.exe)Das merkwürdige, es gibt kein Quellnetzwerk /Port.
Gibt es schon. Netzwerk ist dein Quellnetzwerk.Die Zywall hat keine Einträge im Protokoll und auch Symantec EPP hat keine Aufzeichnungen.
Zumindest sollte aber, sofern du es mitloggst, eine Anfrage an einen Port deines Servers (IP) erkennbar sein. Da sind dann die Quell IP und Port zu finden. Als Ziel dein IIS mit Port 80 / 443.Versucht hier ein Dienst eine Ameldung und wenn ja wieso mit Benutzername america, dieser wurde sicher nicht eingerichtet.
Weil es von ausserhalb kommt.Wenn es eine Quelle gäbe würde ich ja auf Angriff tippen aber so?
Die gibt es natürlich. Irgendein Rechner im WWW. Ob wegen einer Fehleingabe oder bewusst als Einbruchsversuch bleibt deiner Phantasie übrigVirenschutz ist aktuell,
Was hilft das bei bewussten Portweiterleitungen?Eine Sache noch: Auf dem Server gibt es ein DynDNS Tool da es keine Fixe IP gibt. Evtl. hier der Wurm drin?
Nein, hat damit nichts zu tun.Du kannst obiges auch ganz einfach testen und dir somit den genauen Ablauf darstellen. Mimm einen von eurem Netz aus gesehenen externen Rechner und verbinde dich per http://dein.server.name/remote/ oder http://dein.server.name/owa/ oder https://dein.server.name/remote/ oder https://dein.server.name/owa/ (sofern remote oder OWA vorhanden) und verwende einen nicht existenten Benutzernamen. Du solltest deinen Event Eintrag ID 529 so genau nachstellen können. Und auch die PID solltest du dann zu einem laufenden Prozess auf deinem Server nachverfolgen können und falls dein Router es hergibt, auch die Quellverbindung.
Gruß,
Peter
Hallo joeyschweiz,
wäre ja schön wenn Du dich noch einmal dazu auslässt in ein paar Tagen und wenn alles in Ordnung ist, dann bitte Beitrag gelöst nicht vergessen.
Gruß
Dobby
wäre ja schön wenn Du dich noch einmal dazu auslässt in ein paar Tagen und wenn alles in Ordnung ist, dann bitte Beitrag gelöst nicht vergessen.
Gruß
Dobby
Hallo,
Hat aber mit deinem Eventlogs auf deinem Server(n) nichts zu tun. Das sind (mittlerweile) ganz normale Portscans.
Gruß,
Peter
Hat aber mit deinem Eventlogs auf deinem Server(n) nichts zu tun. Das sind (mittlerweile) ganz normale Portscans.
Erstmal IP Range 85.195.82.0 - 85.195.82.254 gesperrt.
Und sicher das kein Kunde oder Lieferant oder Interessent oder externer Mitarbeiter/Zugang von euch da drin ist? Nicht jeder verwendet Feste IPs. Das solltest du mit deinem DynDNS am besten wissen Werkzeuge wie http://www.robtex.com helfen dir da weiter. Das gesperrte Netz gehört zu Velia.net. Sich das das Sperren von deutschen IPs dir wirklich hilft?Die Firewall habe ich neugestartet was scheinbar wunder gewirkt hat
Naja nicht ganz Du hast danach wieder eine neue IP bekommen. Wen wundert es da dann noch das plötzlich der UDP Portscan (auf die alte nun nicht mehr dir zugeteilte IP) aufhört Aber wie schon erwähnt, das hat mit den fehlerhaften) Anmeldeversuchen an deinen Server(n) nichts zu tun.dem Server Hinweise in den Logs.
Naja, du hast dein Server (und wohl auch dein Router) ja ein paar Tage ausgehabt. Es sagt ja keiner das du permanent Anmeldeversuche hast oder haben musst. Mal passiert es weil du jetzt die IP von jemanden hast der vorher dort einen Dienst am laufen hatte und es noch nicht allen bekannt ist (DNS etc.), mal passiert es weil jemand die falschen IPs anspricht und dann weil deine IP jetzt gerade wieder dran ist Es ist also ein ständiges kommen und gehen. mal mehr, mal weniger, mal gar nichtsBin jetzt nicht 100% sicher was letztendlich "DICHT" gemacht hat
Gar nichts bis auf das du 254 IPs an deinem Router ablehnst (Sperrst). Die Wahrscheinlichkeit das die Anmeldeversuche von diesen IPs ausgangen ist fast 0.Gruß,
Peter