Wer oder was will sich hier einloggen? SBS2003
Habe folgenden Eintrag in der Ereignisanzeige:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: test
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: meinedomäne <- (von mir überschrieben...)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2076
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
davon habe ich 12 Einträge allein an einem Tag. Teilweise steht dort auch "info" oder "webmaster" als benutzername. Handelt es sich dabei evtl. um einen gezielten Angriff von draussen (Internet) auf meinen Server? Dann würde aber doch die IP-Adresse angezeigt werden, oder was ist mit "Quellnetzwerkadresse" gemeint?
Gruß
Michi!
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: test
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: meinedomäne <- (von mir überschrieben...)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2076
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
davon habe ich 12 Einträge allein an einem Tag. Teilweise steht dort auch "info" oder "webmaster" als benutzername. Handelt es sich dabei evtl. um einen gezielten Angriff von draussen (Internet) auf meinen Server? Dann würde aber doch die IP-Adresse angezeigt werden, oder was ist mit "Quellnetzwerkadresse" gemeint?
Gruß
Michi!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 67259
Url: https://administrator.de/forum/wer-oder-was-will-sich-hier-einloggen-sbs2003-67259.html
Ausgedruckt am: 28.12.2024 um 01:12 Uhr
17 Kommentare
Neuester Kommentar
Hallo!
1. Welche Ereigniskennung hat die Fehlermeldung?
2. Es könnte sich um einen Virus handeln... hast du zufällig einen Prozess der sich Advapi.exe nennt?
Es gibt einen bekannten Bug unter XP der diese Fehlermeldung verursacht.. allerdings weiß ich nicht, inwieweit auch der SBS2003 betroffen ist.
Gruß
1. Welche Ereigniskennung hat die Fehlermeldung?
2. Es könnte sich um einen Virus handeln... hast du zufällig einen Prozess der sich Advapi.exe nennt?
Es gibt einen bekannten Bug unter XP der diese Fehlermeldung verursacht.. allerdings weiß ich nicht, inwieweit auch der SBS2003 betroffen ist.
Gruß
Hallo,
diese Ereignisse waren bei mir auch in den Logfiles. Anmeldeversuche mit webmaster und admin sind fehlgeschlagen. Ich schließe interne Versuche ebenfalls aus.
Alle 20 Versuche ware letzten Freitag so kurz nach 15 Uhr:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: admin
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: servername
Aufruferbenutzername: servername$
Aufruferdomäne: meinedomäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1824
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Bei uns läuft OWA, hab auch noch nicht rausgefunden wo die Anmeldeversuche herkommen.
Antivirensoftware läuft, auch Exchange Groupshield.
Ich hänge mich hiermit mal an das Problem dran...
Gruß - Tobias
[edit]: Internetdienste laufen, volles Programm: Sharepoint, companyweb und wsus, owa ist von außen zugänglich
Ereignis-ID: 529
diese Ereignisse waren bei mir auch in den Logfiles. Anmeldeversuche mit webmaster und admin sind fehlgeschlagen. Ich schließe interne Versuche ebenfalls aus.
Alle 20 Versuche ware letzten Freitag so kurz nach 15 Uhr:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: admin
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: servername
Aufruferbenutzername: servername$
Aufruferdomäne: meinedomäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1824
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Bei uns läuft OWA, hab auch noch nicht rausgefunden wo die Anmeldeversuche herkommen.
Antivirensoftware läuft, auch Exchange Groupshield.
Ich hänge mich hiermit mal an das Problem dran...
Gruß - Tobias
[edit]: Internetdienste laufen, volles Programm: Sharepoint, companyweb und wsus, owa ist von außen zugänglich
Ereignis-ID: 529
> Es könnte ja auch sein, dass von
intern
> jeamnd versucht, sich dort einzuloggen,
und
> einfach mal
> Benutzernamen ausprobiert.
das traue ich den usern nicht zu....die
wissen gerade eben so, wie sie den pc starten
davon abgesehen handelt es sich nur um 6
clients. die uhrzeit passt auch nicht zu den
arbeitszeiten der user...
intern
> jeamnd versucht, sich dort einzuloggen,
und
> einfach mal
> Benutzernamen ausprobiert.
das traue ich den usern nicht zu....die
wissen gerade eben so, wie sie den pc starten
davon abgesehen handelt es sich nur um 6
clients. die uhrzeit passt auch nicht zu den
arbeitszeiten der user...
Dann muss irgendwas von aussen zugänglich sein. Schau doch mal auf eurem Router,
ob da Ports weitergeleitet sind. Habt ihr eventuell ein WLan, dann dort mal den Key ändern,
und eventuell auf WPA(2) umstellen.
jein...die clients sind alle abgesichert,
beim server will eine standalone-lösung
NUR für den server, keine sbs-suite
für ich weiss nicht wieviel geld. steht
einfach nicht im verhältnis zueinander.
somit läuft dort antivir als
workstation-version (ich weiss...nicht das
optimale, aber besser als nichts)
beim server will eine standalone-lösung
NUR für den server, keine sbs-suite
für ich weiss nicht wieviel geld. steht
einfach nicht im verhältnis zueinander.
somit läuft dort antivir als
workstation-version (ich weiss...nicht das
optimale, aber besser als nichts)
Naja, insbesondere ist das keine gültige Lizenz für diesen Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal einfach überlesen
Gruß
cykes
Da schaut man einfach mal in folgende Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082
Und dann postet Du/Ihr mir bitte in welchen/m Verzeichnis/sen sich advAPI befindet.
Die adv-Api ist nichts weiter als ein Windows Application Programming Interface.
saludos
gnarff
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082
Und dann postet Du/Ihr mir bitte in welchen/m Verzeichnis/sen sich advAPI befindet.
Die adv-Api ist nichts weiter als ein Windows Application Programming Interface.
saludos
gnarff
Hallo cykes,
die advapi32.dll ist in diversen Verzeichnissen enthalten:
%Bootdrive%\Windows\System32
%Bootdrive%\WINDOWS\ServicePackFiles\i386
weiterhin in:
diversen ServicePack-Installationsordner (XPSP2, 2KSP4, IE6) - meist als *.DL_
Ich weiß ja nicht ob das weiterhilft.
Eine EXE-Datei oder ein Service war nicht auffindbar, der Support-Artikel von M$ konnte mir auch nicht großartig weiterhelfen. Da ist die Rede von Updates usw. Bei uns sind alle Rechner (Win2KSP4), einschließlich des Servers (SBS2003R2 SP2), vollständig geupdatet.
Bisher traten diese Fehlanmeldungen nicht nocheinmal auf, ich denke ich werde das beobachten.
Gruß - Tobias
die advapi32.dll ist in diversen Verzeichnissen enthalten:
%Bootdrive%\Windows\System32
%Bootdrive%\WINDOWS\ServicePackFiles\i386
weiterhin in:
diversen ServicePack-Installationsordner (XPSP2, 2KSP4, IE6) - meist als *.DL_
Ich weiß ja nicht ob das weiterhilft.
Eine EXE-Datei oder ein Service war nicht auffindbar, der Support-Artikel von M$ konnte mir auch nicht großartig weiterhelfen. Da ist die Rede von Updates usw. Bei uns sind alle Rechner (Win2KSP4), einschließlich des Servers (SBS2003R2 SP2), vollständig geupdatet.
Bisher traten diese Fehlanmeldungen nicht nocheinmal auf, ich denke ich werde das beobachten.
Gruß - Tobias
Um festzustellen, von wo diese Logon-Versuche kommen, sollte man einmal die Logfiles der Firewall auswerten; in Uebereinstimmung mit den Datums- und Zeitstempeln aus dem Event-ID Log, nach
Kerberos auf Port 88 tcp/udp
Microsoft Directory Services traffic auf Port 445 tcp/udp
LDAP Port 398 udp
Welche Beobachtungen hast Du bei der Auswertung gemacht?
Wenn die Clients nicht Internetfaced sind, dann kann der Zugriff nur von Innen erfolgen.
Sind die Clients Internetfaced, d.h. mit dem Internet verbunden?
Koennen Anhaenge aus E-Mails geoffnet und lokal gespeichert werden?
Ausserdem wuerde ich dazu raten wireshark einzusetzen, um den Netzwerkverkehr genauer ueberwachen zu koennen...
saludos
gnarff
Kerberos auf Port 88 tcp/udp
Microsoft Directory Services traffic auf Port 445 tcp/udp
LDAP Port 398 udp
Welche Beobachtungen hast Du bei der Auswertung gemacht?
Wenn die Clients nicht Internetfaced sind, dann kann der Zugriff nur von Innen erfolgen.
Sind die Clients Internetfaced, d.h. mit dem Internet verbunden?
Koennen Anhaenge aus E-Mails geoffnet und lokal gespeichert werden?
Ausserdem wuerde ich dazu raten wireshark einzusetzen, um den Netzwerkverkehr genauer ueberwachen zu koennen...
saludos
gnarff