Folgendes Problem:
Hinter einem Router (Hardware) steht ein SBS. 1 NIC externe Verbindung Internet, 1 NIC internes LAN. Da dran hängen 4 Firmen PCs
Der Router hat leider seinen Geist aufgegeben und so musste ich vorübergehend den SBS als Router konfigurieren um die Aufgabe des ausgefallenen Routers zu übernehmen.
Jetzt bekomme ich heute morgen meinen SBS Bericht per Mail und stelle fest, das über 250 Angriffe stattfanden
Folgendes habe ich dann im Ereignisprotokoll gefunden:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 11.03.2005
Zeit: 00:41:35
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: DC
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername:
0006731748805200555242300001@t-online.de
Domäne:
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: MUSTAFA
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 217.83.185.185
Quellport: 0
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 11.03.2005
Zeit: 00:41:36
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: DC
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername:
0006731748805200555242300001@t-online.de
Domäne:
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: MUSTAFA
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 217.83.185.185
Quellport: 0
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 11.03.2005
Zeit: 00:41:43
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: DC
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: DC$
Domäne: "******"
Anmeldekennung: (0x0,0x33613BC5)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Alle angelegten Benutzer haben recht sichere Passwörter und NAT ist aktiviert. Ich denke das das eher irgendwelche gelangweilten Kids sind die keine anderen Hobbys haben aber man weis ja nie.
Ich denke nicht das irgendetwas passiert ist aber würde doch schon gerne hören was das Board dazu sagt.
Hab nämlich kein Bock meinem Chef erklären zu müssen warum plötzlich das ganze LAN offen ist.
Also lasst hören was ihr dazu meint und habe ich eine Möglichkeit da irgendetwas gegen zu machen? Immerhin habe ich Rechnername und IP der Angreifer.
PS: Router ist schon bestellt und kommt hoffentlich nächste Woche aber bis dahin muss ich leider diese Lösung fahren. Daher bitte keine Aussagen wie -> neuen Router kaufen. Das ist nicht die Frage dieses Posts
Angriffe auf SBS
