SBS - 03 -versucht uns jmd. zu hacken?

[butch80]

Hi all,

heute Nacht hatten wir in der Ereignisanziege Sicherheit mehrere Fehlschläge wie folgt gesichtet:

Quelle: Security, Kategorie An/Abeldung, Ereigniskennung: 529
Benutzer: NT-Autorität\System
Computer:SBS

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: office
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SBS
Aufruferbenutzername: SBS$
Aufruferdomäne: Unsere-Domäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2164
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Weitere Einträge mit anderem Benutzernamen wie "test", "contact" wurden ebenfalls die gleichen Fehlschläge geloggt.

Wie geht man am Besten in solch einen Fall vor, damit man diese Art Bruteforce Attacken unterbindet? (leider fehlt mir die Quell-IP)

Danke im Voraus!

[NilsK]

Moin,

der beste Schutz gegen Brute Force sind starke Kennwörter.

Ansonsten kann man dazu wenig sagen, ohne die Struktur zu kennen. Selbstverständlich solltet ihr euch nach außen durch Firewalls schützen usw. Derartige Angriffe können aber auch durch Malware von innen verursacht werden - also gehört auch Schutz dagegen auf die Liste.

Oder was willst du jetzt hören?

Gruß, Nils

[butch80]

Zitat von NilsK Oder was willst du jetzt hören? Gruß, Nils

ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin?

Sollte die Firewall solche Angriffe nicht endecken und unterbinden?
Wir haben eine firebox550 von Watchguard im Einsatz.
trotzdem danke für deine Info Nils

[butch80]

die Angriffe tauchen übrigens immer nachts auf und der Anmeldename wechselt nach ca. 5 Versuchen.

Sehr beunruhigend.

[GuentherH]

Hallo.

Sollte die Firewall solche Angriffe nicht endecken und unterbinden?

Wieso? Wenn z.B. der RDP Port auf der Firewall geöffnet ist, wieso soll dann die Firewall überprüfen, bzw. überprüfen können ob die User Authentifizierung ok ist.

Wie immer an dieser Stelle die Frage, welche Ports sind auf der Firewall geöffnet?

LG Günther

[butch80]

Hallo GuentherH,

da hast du auch wieder Recht!

der RDP Port ist aber nicht offen.

hier die offenen Ports:

21
22
25
80
443
1935
53
5060
30000-30005 (telefonsoftware)
5004-5027 (telefonsoftware)

thats all.

[XP-Fan]

Hi,

sind das augehende Ports oder eingehende ?

[butch80]

hier etwas detaillierter:

21 Ausgehend
22 Ausgehend
25 Ein-/ Ausgehend
80 ausgehend
443 Ein-/ Ausgehend
1935 sowohl, als auch ( haben einen mediaserver im Haus)
53 ausgehend
NTP 123 (hatte ich zuvor vergessen) ausgehend
5060 Ein-/ Ausgehend
30000-30005 (telefonsoftware) Ein-/ Ausgehend
5004-5027 (telefonsoftware) Ein-/ Ausgehend

[butch80]

Wir haben vermerhrt Einträge, die unlogisch für einen Angriff sind. Da versucht jemand mit einem "@" sich als Benutzername anzumelden?

Bei diesen Versuchen, stammt die Quell-IP auch von unseren SQL und Terminalservern.


Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: @
Domäne:
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: Terminalserver
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.1.123
Quellport: 0

Wir haben Windows Server 2003 im Einsatz. Die Server wurden komplett gescannt und sind angeblich sauber.

Noch jemand eine idee?

[LukasB]

Häufig liegt dies an einem nach aussen geöffneten SMTP-Port, bei welchem auch SMTP-Auth aktiv ist - bei einem SBS03 die Default-Konfiguration. Aus diesem Grund deaktiviere ich SMTP-Auth bei SBSen jeweils.