mykell
Goto Top

Wer oder was will sich hier einloggen? SBS2003

Habe folgenden Eintrag in der Ereignisanzeige:

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: test
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: meinedomäne <- (von mir überschrieben...)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2076
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

davon habe ich 12 Einträge allein an einem Tag. Teilweise steht dort auch "info" oder "webmaster" als benutzername. Handelt es sich dabei evtl. um einen gezielten Angriff von draussen (Internet) auf meinen Server? Dann würde aber doch die IP-Adresse angezeigt werden, oder was ist mit "Quellnetzwerkadresse" gemeint?

Gruß
Michi!

Content-ID: 67259

Url: https://administrator.de/forum/wer-oder-was-will-sich-hier-einloggen-sbs2003-67259.html

Ausgedruckt am: 28.12.2024 um 01:12 Uhr

45666
45666 28.08.2007 um 11:17:52 Uhr
Goto Top
Hallo!


1. Welche Ereigniskennung hat die Fehlermeldung?

2. Es könnte sich um einen Virus handeln... hast du zufällig einen Prozess der sich Advapi.exe nennt?

Es gibt einen bekannten Bug unter XP der diese Fehlermeldung verursacht.. allerdings weiß ich nicht, inwieweit auch der SBS2003 betroffen ist.

Gruß
MyKell
MyKell 28.08.2007 um 11:21:28 Uhr
Goto Top
Hallo!


1. Welche Ereigniskennung hat die
Fehlermeldung?

529

2. Es könnte sich um einen Virus
handeln... hast du zufällig einen
Prozess der sich Advapi.exe nennt?

negativ...
cykes
cykes 28.08.2007 um 11:24:14 Uhr
Goto Top
Hi,

habt ihr irgendwelche Webdienste auf dem SBS laufen, mit eventuell per Passwort geschützten
Bereichen. Sind diese Webdienste von aussen (Internet) zugänglich?

Gruß

cykes
45666
45666 28.08.2007 um 11:27:01 Uhr
Goto Top
MyKell
MyKell 28.08.2007 um 11:30:11 Uhr
Goto Top
habt ihr irgendwelche Webdienste auf dem SBS
laufen, mit eventuell per Passwort
geschützten
Bereichen. Sind diese Webdienste von aussen
(Internet) zugänglich?

meines wissens nach nicht...habe damals alle (mir bekannten) services wie pop3, webaccess usw deaktiviert. vielleicht kannst du mir nochmal die bekanntesten services nennen, welche auf jeden fall abgeschaltet sein sollten. wir nutzen keine externe zugriffe auf den server, bzw. benötigen diese nicht.
cykes
cykes 28.08.2007 um 11:33:19 Uhr
Goto Top
Also auf dem SBS könnten noch die Sharepointservices, Outlook Web Access usw. laufen.
Schau doch mal unter Verwaltung->Internet Informationsdienste Manager ...

Gruß

cykes
MyKell
MyKell 28.08.2007 um 11:44:24 Uhr
Goto Top
Also auf dem SBS könnten noch die
Sharepointservices, Outlook Web Access usw.
laufen.
Schau doch mal unter Verwaltung->Internet
Informationsdienste Manager ...

stimmt...habe dort noch den WSUS-Server als auch die companyweb laufen. diese dienste sollten aber doch von aussen nicht erreichbar sein, da in den eigenschaften die ip's beschränkt sind auf das lokale netz...
cykes
cykes 28.08.2007 um 11:54:58 Uhr
Goto Top
Es könnte ja auch sein, dass von intern jeamnd versucht, sich dort einzuloggen, und einfach mal
Benutzernamen ausprobiert.

Eine zentrale Antivirenlösung habt ihr aber, oder?
MyKell
MyKell 28.08.2007 um 12:00:29 Uhr
Goto Top
Es könnte ja auch sein, dass von intern
jeamnd versucht, sich dort einzuloggen, und
einfach mal
Benutzernamen ausprobiert.

das traue ich den usern nicht zu....die wissen gerade eben so, wie sie den pc starten face-smile davon abgesehen handelt es sich nur um 6 clients. die uhrzeit passt auch nicht zu den arbeitszeiten der user...

Eine zentrale Antivirenlösung habt ihr
aber, oder?

jein...die clients sind alle abgesichert, beim server will eine standalone-lösung NUR für den server, keine sbs-suite für ich weiss nicht wieviel geld. steht einfach nicht im verhältnis zueinander. somit läuft dort antivir als workstation-version (ich weiss...nicht das optimale, aber besser als nichts)
KHP
KHP 28.08.2007 um 12:07:27 Uhr
Goto Top
Hallo,

diese Ereignisse waren bei mir auch in den Logfiles. Anmeldeversuche mit webmaster und admin sind fehlgeschlagen. Ich schließe interne Versuche ebenfalls aus.

Alle 20 Versuche ware letzten Freitag so kurz nach 15 Uhr:

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: admin
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: servername
Aufruferbenutzername: servername$
Aufruferdomäne: meinedomäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1824
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Bei uns läuft OWA, hab auch noch nicht rausgefunden wo die Anmeldeversuche herkommen.

Antivirensoftware läuft, auch Exchange Groupshield.

Ich hänge mich hiermit mal an das Problem dran...

Gruß - Tobias


[edit]: Internetdienste laufen, volles Programm: Sharepoint, companyweb und wsus, owa ist von außen zugänglich

Ereignis-ID: 529
cykes
cykes 28.08.2007 um 12:07:57 Uhr
Goto Top
> Es könnte ja auch sein, dass von
intern
> jeamnd versucht, sich dort einzuloggen,
und
> einfach mal
> Benutzernamen ausprobiert.

das traue ich den usern nicht zu....die
wissen gerade eben so, wie sie den pc starten
face-smile davon abgesehen handelt es sich nur um 6
clients. die uhrzeit passt auch nicht zu den
arbeitszeiten der user...

Dann muss irgendwas von aussen zugänglich sein. Schau doch mal auf eurem Router,
ob da Ports weitergeleitet sind. Habt ihr eventuell ein WLan, dann dort mal den Key ändern,
und eventuell auf WPA(2) umstellen.

jein...die clients sind alle abgesichert,
beim server will eine standalone-lösung
NUR für den server, keine sbs-suite
für ich weiss nicht wieviel geld. steht
einfach nicht im verhältnis zueinander.
somit läuft dort antivir als
workstation-version (ich weiss...nicht das
optimale, aber besser als nichts)

Naja, insbesondere ist das keine gültige Lizenz für diesen Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal einfach überlesen face-wink

Gruß

cykes
MyKell
MyKell 28.08.2007 um 22:46:47 Uhr
Goto Top
Dann muss irgendwas von aussen
zugänglich sein. Schau doch mal auf
eurem Router,
ob da Ports weitergeleitet sind. Habt ihr
eventuell ein WLan, dann dort mal den Key
ändern,
und eventuell auf WPA(2) umstellen.

habe zwar wlan,allerdings ohne aussendende SSID, MAC-Filter aktiv. kein mensch stellt sich mit dem auto ins industriegebiet morgens um 6 uhr, um ins netz zu kommen....auszuschliessen ist natürlich nichts...gebe ich dir recht...was mich aber wirklich brennend interessieren würde ist, woher der angriff (falls es wirklich einer ist) kommt. wirklich von extern, oder doch von intern?

Naja, insbesondere ist das keine
gültige Lizenz für diesen
Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal
einfach überlesen face-wink

kein thema...habe ja eine gültige lizenz....dann hast du als partner bestimmt noch einen tip für mich...wie bekomme ich NUR den server gesichert, ohne die Suite zu erwerben.... face-wink
gnarff
gnarff 29.08.2007 um 03:45:05 Uhr
Goto Top
Da schaut man einfach mal in folgende Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082

Und dann postet Du/Ihr mir bitte in welchen/m Verzeichnis/sen sich advAPI befindet.
Die adv-Api ist nichts weiter als ein Windows Application Programming Interface.
saludos
gnarff
MyKell
MyKell 30.08.2007 um 11:19:20 Uhr
Goto Top
Da schaut man einfach mal in folgende
Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082

Und dann postet Du/Ihr mir bitte in
welchen/m Verzeichnis/sen sich advAPI
befindet.
Die adv-Api ist nichts weiter als ein
Windows Application Programming Interface.

habe heute erneut einen eintrag in der ereignisanzeige, diesmal mit dem user "company". also muss jemand wahllos versuchen sich mit verschiedenen usernames an mein system anzumelden. bislang ohne erfolg...*holzklopf*

kann man diese anmeldeversuche nicht grundsätzlich unterbinden?
cykes
cykes 30.08.2007 um 11:56:04 Uhr
Goto Top
Ich wollte nicht ausschliessen, dass es sich um irgendwelche Malware handelt, nur
die andere Möglichkeit, dass es sich um einen realen (internen) User mit in Betracht ziehen.
KHP
KHP 30.08.2007 um 17:13:44 Uhr
Goto Top
Hallo cykes,

die advapi32.dll ist in diversen Verzeichnissen enthalten:
%Bootdrive%\Windows\System32
%Bootdrive%\WINDOWS\ServicePackFiles\i386
weiterhin in:
diversen ServicePack-Installationsordner (XPSP2, 2KSP4, IE6) - meist als *.DL_

Ich weiß ja nicht ob das weiterhilft.

Eine EXE-Datei oder ein Service war nicht auffindbar, der Support-Artikel von M$ konnte mir auch nicht großartig weiterhelfen. Da ist die Rede von Updates usw. Bei uns sind alle Rechner (Win2KSP4), einschließlich des Servers (SBS2003R2 SP2), vollständig geupdatet.

Bisher traten diese Fehlanmeldungen nicht nocheinmal auf, ich denke ich werde das beobachten.

Gruß - Tobias
gnarff
gnarff 30.08.2007 um 21:11:40 Uhr
Goto Top
Um festzustellen, von wo diese Logon-Versuche kommen, sollte man einmal die Logfiles der Firewall auswerten; in Uebereinstimmung mit den Datums- und Zeitstempeln aus dem Event-ID Log, nach
Kerberos auf Port 88 tcp/udp
Microsoft Directory Services traffic auf Port 445 tcp/udp
LDAP Port 398 udp
Welche Beobachtungen hast Du bei der Auswertung gemacht?

Wenn die Clients nicht Internetfaced sind, dann kann der Zugriff nur von Innen erfolgen.
Sind die Clients Internetfaced, d.h. mit dem Internet verbunden?
Koennen Anhaenge aus E-Mails geoffnet und lokal gespeichert werden?

Ausserdem wuerde ich dazu raten wireshark einzusetzen, um den Netzwerkverkehr genauer ueberwachen zu koennen...

saludos
gnarff