Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wer oder was will sich hier einloggen? SBS2003

Mitglied: MyKell

MyKell (Level 1) - Jetzt verbinden

28.08.2007, aktualisiert 02.01.2009, 17657 Aufrufe, 17 Kommentare

Habe folgenden Eintrag in der Ereignisanzeige:

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: test
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: meinedomäne <- (von mir überschrieben...)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2076
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

davon habe ich 12 Einträge allein an einem Tag. Teilweise steht dort auch "info" oder "webmaster" als benutzername. Handelt es sich dabei evtl. um einen gezielten Angriff von draussen (Internet) auf meinen Server? Dann würde aber doch die IP-Adresse angezeigt werden, oder was ist mit "Quellnetzwerkadresse" gemeint?

Gruß
Michi!
Mitglied: 45666
28.08.2007 um 11:17 Uhr
Hallo!


1. Welche Ereigniskennung hat die Fehlermeldung?

2. Es könnte sich um einen Virus handeln... hast du zufällig einen Prozess der sich Advapi.exe nennt?

Es gibt einen bekannten Bug unter XP der diese Fehlermeldung verursacht.. allerdings weiß ich nicht, inwieweit auch der SBS2003 betroffen ist.

Gruß
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 11:21 Uhr
Hallo!


1. Welche Ereigniskennung hat die
Fehlermeldung?

529

2. Es könnte sich um einen Virus
handeln... hast du zufällig einen
Prozess der sich Advapi.exe nennt?

negativ...
Bitte warten ..
Mitglied: cykes
28.08.2007 um 11:24 Uhr
Hi,

habt ihr irgendwelche Webdienste auf dem SBS laufen, mit eventuell per Passwort geschützten
Bereichen. Sind diese Webdienste von aussen (Internet) zugänglich?

Gruß

cykes
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 11:30 Uhr
habt ihr irgendwelche Webdienste auf dem SBS
laufen, mit eventuell per Passwort
geschützten
Bereichen. Sind diese Webdienste von aussen
(Internet) zugänglich?

meines wissens nach nicht...habe damals alle (mir bekannten) services wie pop3, webaccess usw deaktiviert. vielleicht kannst du mir nochmal die bekanntesten services nennen, welche auf jeden fall abgeschaltet sein sollten. wir nutzen keine externe zugriffe auf den server, bzw. benötigen diese nicht.
Bitte warten ..
Mitglied: cykes
28.08.2007 um 11:33 Uhr
Also auf dem SBS könnten noch die Sharepointservices, Outlook Web Access usw. laufen.
Schau doch mal unter Verwaltung->Internet Informationsdienste Manager ...

Gruß

cykes
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 11:44 Uhr
Also auf dem SBS könnten noch die
Sharepointservices, Outlook Web Access usw.
laufen.
Schau doch mal unter Verwaltung->Internet
Informationsdienste Manager ...

stimmt...habe dort noch den WSUS-Server als auch die companyweb laufen. diese dienste sollten aber doch von aussen nicht erreichbar sein, da in den eigenschaften die ip's beschränkt sind auf das lokale netz...
Bitte warten ..
Mitglied: cykes
28.08.2007 um 11:54 Uhr
Es könnte ja auch sein, dass von intern jeamnd versucht, sich dort einzuloggen, und einfach mal
Benutzernamen ausprobiert.

Eine zentrale Antivirenlösung habt ihr aber, oder?
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 12:00 Uhr
Es könnte ja auch sein, dass von intern
jeamnd versucht, sich dort einzuloggen, und
einfach mal
Benutzernamen ausprobiert.

das traue ich den usern nicht zu....die wissen gerade eben so, wie sie den pc starten davon abgesehen handelt es sich nur um 6 clients. die uhrzeit passt auch nicht zu den arbeitszeiten der user...

Eine zentrale Antivirenlösung habt ihr
aber, oder?

jein...die clients sind alle abgesichert, beim server will eine standalone-lösung NUR für den server, keine sbs-suite für ich weiss nicht wieviel geld. steht einfach nicht im verhältnis zueinander. somit läuft dort antivir als workstation-version (ich weiss...nicht das optimale, aber besser als nichts)
Bitte warten ..
Mitglied: KHP
28.08.2007 um 12:07 Uhr
Hallo,

diese Ereignisse waren bei mir auch in den Logfiles. Anmeldeversuche mit webmaster und admin sind fehlgeschlagen. Ich schließe interne Versuche ebenfalls aus.

Alle 20 Versuche ware letzten Freitag so kurz nach 15 Uhr:

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: admin
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: servername
Aufruferbenutzername: servername$
Aufruferdomäne: meinedomäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1824
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Bei uns läuft OWA, hab auch noch nicht rausgefunden wo die Anmeldeversuche herkommen.

Antivirensoftware läuft, auch Exchange Groupshield.

Ich hänge mich hiermit mal an das Problem dran...

Gruß - Tobias


[edit]: Internetdienste laufen, volles Programm: Sharepoint, companyweb und wsus, owa ist von außen zugänglich

Ereignis-ID: 529
Bitte warten ..
Mitglied: cykes
28.08.2007 um 12:07 Uhr
> Es könnte ja auch sein, dass von
intern
> jeamnd versucht, sich dort einzuloggen,
und
> einfach mal
> Benutzernamen ausprobiert.

das traue ich den usern nicht zu....die
wissen gerade eben so, wie sie den pc starten
davon abgesehen handelt es sich nur um 6
clients. die uhrzeit passt auch nicht zu den
arbeitszeiten der user...

Dann muss irgendwas von aussen zugänglich sein. Schau doch mal auf eurem Router,
ob da Ports weitergeleitet sind. Habt ihr eventuell ein WLan, dann dort mal den Key ändern,
und eventuell auf WPA(2) umstellen.

jein...die clients sind alle abgesichert,
beim server will eine standalone-lösung
NUR für den server, keine sbs-suite
für ich weiss nicht wieviel geld. steht
einfach nicht im verhältnis zueinander.
somit läuft dort antivir als
workstation-version (ich weiss...nicht das
optimale, aber besser als nichts)

Naja, insbesondere ist das keine gültige Lizenz für diesen Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal einfach überlesen

Gruß

cykes
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 22:46 Uhr
Dann muss irgendwas von aussen
zugänglich sein. Schau doch mal auf
eurem Router,
ob da Ports weitergeleitet sind. Habt ihr
eventuell ein WLan, dann dort mal den Key
ändern,
und eventuell auf WPA(2) umstellen.

habe zwar wlan,allerdings ohne aussendende SSID, MAC-Filter aktiv. kein mensch stellt sich mit dem auto ins industriegebiet morgens um 6 uhr, um ins netz zu kommen....auszuschliessen ist natürlich nichts...gebe ich dir recht...was mich aber wirklich brennend interessieren würde ist, woher der angriff (falls es wirklich einer ist) kommt. wirklich von extern, oder doch von intern?

Naja, insbesondere ist das keine
gültige Lizenz für diesen
Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal
einfach überlesen

kein thema...habe ja eine gültige lizenz....dann hast du als partner bestimmt noch einen tip für mich...wie bekomme ich NUR den server gesichert, ohne die Suite zu erwerben....
Bitte warten ..
Mitglied: gnarff
29.08.2007 um 03:45 Uhr
Da schaut man einfach mal in folgende Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082

Und dann postet Du/Ihr mir bitte in welchen/m Verzeichnis/sen sich advAPI befindet.
Die adv-Api ist nichts weiter als ein Windows Application Programming Interface.
saludos
gnarff
Bitte warten ..
Mitglied: MyKell
30.08.2007 um 11:19 Uhr
Da schaut man einfach mal in folgende
Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082

Und dann postet Du/Ihr mir bitte in
welchen/m Verzeichnis/sen sich advAPI
befindet.
Die adv-Api ist nichts weiter als ein
Windows Application Programming Interface.

habe heute erneut einen eintrag in der ereignisanzeige, diesmal mit dem user "company". also muss jemand wahllos versuchen sich mit verschiedenen usernames an mein system anzumelden. bislang ohne erfolg...*holzklopf*

kann man diese anmeldeversuche nicht grundsätzlich unterbinden?
Bitte warten ..
Mitglied: cykes
30.08.2007 um 11:56 Uhr
Ich wollte nicht ausschliessen, dass es sich um irgendwelche Malware handelt, nur
die andere Möglichkeit, dass es sich um einen realen (internen) User mit in Betracht ziehen.
Bitte warten ..
Mitglied: KHP
30.08.2007 um 17:13 Uhr
Hallo cykes,

die advapi32.dll ist in diversen Verzeichnissen enthalten:
%Bootdrive%\Windows\System32
%Bootdrive%\WINDOWS\ServicePackFiles\i386
weiterhin in:
diversen ServicePack-Installationsordner (XPSP2, 2KSP4, IE6) - meist als *.DL_

Ich weiß ja nicht ob das weiterhilft.

Eine EXE-Datei oder ein Service war nicht auffindbar, der Support-Artikel von M$ konnte mir auch nicht großartig weiterhelfen. Da ist die Rede von Updates usw. Bei uns sind alle Rechner (Win2KSP4), einschließlich des Servers (SBS2003R2 SP2), vollständig geupdatet.

Bisher traten diese Fehlanmeldungen nicht nocheinmal auf, ich denke ich werde das beobachten.

Gruß - Tobias
Bitte warten ..
Mitglied: gnarff
30.08.2007 um 21:11 Uhr
Um festzustellen, von wo diese Logon-Versuche kommen, sollte man einmal die Logfiles der Firewall auswerten; in Uebereinstimmung mit den Datums- und Zeitstempeln aus dem Event-ID Log, nach
Kerberos auf Port 88 tcp/udp
Microsoft Directory Services traffic auf Port 445 tcp/udp
LDAP Port 398 udp
Welche Beobachtungen hast Du bei der Auswertung gemacht?

Wenn die Clients nicht Internetfaced sind, dann kann der Zugriff nur von Innen erfolgen.
Sind die Clients Internetfaced, d.h. mit dem Internet verbunden?
Koennen Anhaenge aus E-Mails geoffnet und lokal gespeichert werden?

Ausserdem wuerde ich dazu raten wireshark einzusetzen, um den Netzwerkverkehr genauer ueberwachen zu koennen...

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows Server

Migration SBS2003 auf Srv2012R2 hängt?

gelöst Frage von ArnoNymousWindows Server6 Kommentare

Moin, bin gerade bei einer Migration von einem physischen SBS2003 auf einen virtuellen WinSrv2012R2. Alles aktuell gepatcht etc. Gesamtstruktur ...

Exchange Server

SBS2003 abschalten und gegen Server2012R2 ersetzen

gelöst Frage von takvorianExchange Server6 Kommentare

Hallo zusammen, habe einen 10 Jahre alten SBS2003 noch rumstehen der ersetzt werden muss. Der Exchange wird dort überhaupt ...

Exchange Server

Exchange Konto migrieren von SBS2003 auf HostedExchange

Frage von momaiExchange Server3 Kommentare

Hallo, ich Suche nach einer Möglichkeit einfach ein paar bestehende Konto auf einen HostedExchange zu migrieren. Aber mal von ...

Windows Server

Migrationspfad SBS2003 mit Exchange nach W2K12R2 mit Exchange 2016

gelöst Frage von slemkeWindows Server7 Kommentare

Hallo zusammen, ich plane gerade eine Migration eines SBS2003, auf dem auch Exchange genutzt wird auf einen W2K12R2 und ...

Neue Wissensbeiträge
Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 17 StundenBackup

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 2 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 2 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 3 TagenBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Heiß diskutierte Inhalte
Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android24 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Windows Server
Windows Server 2016 einrichten
Frage von borjiaWindows Server20 Kommentare

Ich würde gerne einen Server einrichten, erstmal nur mit DNS und AD. Habe mich die letzten Wochen durch diverse ...

Exchange Server
Vorgehen um von Tobit auf Exchange zu wechseln
Frage von Martin1987Exchange Server17 Kommentare

Guten Abend Ich habe den Auftrag erhalten, unser Mail von David zu Outlook zu wechseln. Wie muss ich da ...

Microsoft Office
Office 365 eMail via Website verschicken
Frage von BiBeSoMicrosoft Office16 Kommentare

Hallo, kann man im Office 365 eMails anlegen welche zum versenden (smtp) für die Website funktionieren ? Muss man ...