ROFI_1969

Sehr geehrte Kollegen, ich habe da mal eine Frage, die ich zwar schon zig-fach im Internet gelesen habe, aber bislang habe ich noch keine befriedigende Antwort gefunden, die mir auch wirklich erklärt, warum das so ist: Es geht um das Ereignis im Windows Event Log, wenn jemand versucht, sich mit falschem Login und Passwort anzumelden. Protokolliert wird dies mit der EventID 4625. Die Failure Reason ist mit 2313 protokolliert (Unknown user name or bad password). Im TargetUserName wird auch der böse Benutzer protokolliert (in meinem Fall ROGERS). Die ProcessId, welche hierfür verantwortlich war, hat aktuell die Id 616. Dies ist bei mir die LSASS.EXE (Local Security Authority Subsystem Service). Nun meine Frage: In sehr vielen Fällen wird die IP-Adresse des Angreifers unter z. Bsp. <Data Name="IpAddress">44.33.22.11</Data> protokolliert. Dies hilft, eine Firewall Regel einzurichten, um den Banausen zu blocken. In sehr vielen Fällen aber, wie auch im unten beschriebenen Fall, wird leider nur ein Minus-Zeichen protokolliert. Weshalb ist das so? Warum wird manchmal die IP-Adresse des Angreifers protokolliert und warum manchmal nicht? <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4625</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2022-04-07T07:28:46.747178700Z" /> <EventRecordID>122520213</EventRecordID> <Correlation /> <Execution ProcessID="616" ThreadID="9276" /> <!-- lsass.exe --> <Channel>Security</Channel> <Computer>subdomain.mydomain.de</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> <Data Name="SubjectLogonId">0x0</Data> <Data Name="TargetUserSid">S-1-0-0</Data> <Data Name="TargetUserName">ROGERS</Data> <Data Name="TargetDomainName" /> <Data Name="Status">0xc000006d</Data> <Data Name="FailureReason">%%2313</Data> <Data Name="SubStatus">0xc0000064</Data> <Data Name="LogonType">3</Data> <Data Name="LogonProcessName">NtLmSsp</Data> <Data Name="AuthenticationPackageName">NTLM</Data> <Data Name="WorkstationName">-</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x0</Data> <Data Name="ProcessName">-</Data> <Data Name="IpAddress">-</Data> <!-- Warum fehlt hier die IP-Adresse? --> <Data Name="IpPort">-</Data> </EventData> </Event>

Ist diese Frage jetzt ernst gemeint? Weil der Server vielleicht für mich und meine Kunden seinen treuen Dienst tut? Und angegriffen wird halt, was benötigt wird und demnach offen sein muss: IIS, SMTP/POP3/IMAP, FTP und RD.

Hallo, mein Windows Server 2008R2 wird seit Tagen an mehreren Ports von einem einzelnen Rechner mit einer IP-Adresse vermutlich aus Südafrika angegriffen. Ich bezweifle, dass er Erfolg haben wird, weil ich grundsätzlich gute Passwörter nutze. Außerdem habe ich ihn bereits über die Firewall geblockt. Meine vielleicht für Euch naiven Fragen sind nun eher allgemeiner Natur zum Verständnis für mich: - Gibt es denn eine Möglichkeit, dass ich den Internet-Provider dieses Rechners über den wirklich hartnäckigen Versuch informiere und dieser ihn dann "abstraft"? - Oder gibt es Firewalls, welche diese eindeutigen stundenlangen Angriffsversuche erkennen und ihrerseits den Provider des Angreifers hierüber informieren? - Wird so ein "verpetzen" bei den Providern denn überhaupt ernst genommen? - Weshalb erkennen denn diese Provider eigentlich nicht selber, dass eines ihrer Schäfchen ständig in der Gegend herumhackt und verbietet ihm dies? Immerhin verursachen sie bei ihnen ja unnützen Ausgangs-Traffic. - Weshalb kommunizieren die Provider untereinander denn nicht über dieses Problem? Ich freue mich auf informative Antworten Viele Grüße Robert