Jump to content

2003 SBS - 960 Ereigniseinträge Nr. 529. (Fehlgeschlagene Anmeldung)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

mir macht ein Server etwas Sorgen.

 

Wir haben einen Kunden mit einem Windows 2003 SBS SP2 (Server01) und einen Windows 2003 Terminalserver Server02) laufen.

Die Server sind mit einer Hardwarefirewall von gateprotect geschützt.

Der Server steht in der DMZ und es sind die Ports 443, 3389 und 4125 offen.

Damit man per https://remote.kundendomain.de/exchange zugreifen kann.

Der Server ist mit einen Servervirenschutz von NOD32 Ver. 4.2 geschützt.

Die Firewall stellt VPN-Tunnel zur Verfügung, da viele Mitarbeiter von aussen zugreifen. Es wird komplett über den Terminalserver gearbeitet.

 

Im Ereignislog steht bei 2 Tagen 960 Ereigniseinträge Nr. 529. (Fehlgeschlagene Anmeldung, fehlerhafter Benutzername oder Passwort falsch) und es gibt auch Warnung Kontosperrung (Ereigniskennung: 539)

 

Es treten seit dem 04.07.2010 ab 13:27 mehrere unregelmäßig Zugriff / Anmeldeversuche auf Ihren Server. Machmal 2 oder 3 pro Tag. Am 02 und 03.08.2010 gab es insgesamt 960 Ereigniseinträge Nr. 529. (Fehlgeschlagene Anmeldung, fehlerhafter Benutzername oder Passwort falsch)

Die Zugriffszeiten unterliegen keinem reproduzierbarem Muster. Es gibt Zugriffsversuchen am 29.07.2010 um 04:04:09 genauso gibt Zugriffsversuche mittags am 02.08.2010 14:46:29.

Also sehr willkürlich. Was auf einen automatischen Hackversuch hin deutet. Laut Ereignisprotokoll wurde Versucht über die Benutzerkonten Administrator, admin und Verwalter auf dem Server01 Zugriff zu erlangen.

 

Da es das Benutzerkonto Verwalter nicht gibt besteht dort keine Gefahr. Ich würde als erste Aktion das Admin und Administrator Benutzerkonto deaktivieren und ein neues Konto für den Admin anlegen.

Der Benutzername sollte etwas ausgefallener sein. ad23min zum Beispiel. Damit hätte man das Problem der bekannten Benutzerprofile zur Hackversuch unterbunden und man wäre etwas sicherer.

 

Im Ereigniseintrag steht noch dring:

Benutzername: admin

Anmeldetype: 10

Anmeldevorgang: User32

 

oder

 

Benutzername: administrator

Anmeldetype: 4

Anmeldevorgang: ADVAPI

 

deutet das auf den Angreifer oder seine Vorgehensweise hin?

 

Aber das ist ja eigentlich kein Zustand. Wie kann man diese Hackversuche unterbinden?

 

Gruss und Danke Peter

Link zu diesem Kommentar

Hi.

 

Wie kann man diese Hackversuche unterbinden?

 

Das sind keine richtigen Hackversuche. Wenn der RDP Port 3389 offen ist, dann kann jeder Script Kiddy lustig herumprobieren, und hoffen, das PW des Administrator 123 lautet.

 

Sperre Port 3389 und du hast Ruhe.

 

Der Server steht in der DMZ

 

Welcher Server steht in der DMZ, und was soll das bringen?

 

LG Günther

Link zu diesem Kommentar

Hi.

 

Ja, aber wie richtet man sonst die Syncronisation ein.

 

Genauso wie sonst auch. Eine DMZ würde Sinn machen, wenn der SBS im LAN hängt, und in der DMZ ein Proxy. Dann würde ein Zugriff WAN -> LAN überhaupt gesperrt werden, und der Zugriff könnte nur über WAN -> DMZ -> Proxy erfolgen.

 

Schau dir noch einmal die Funktion einer DMZan

 

- Demilitarized Zone ? Wikipedia

- http://www.msxfaq.de/internet/firewall3.htm

 

LG Günther

Link zu diesem Kommentar

Hi Günther,

 

ich habe dem Port 3389 geschlossen. Es kommen aber immer noch Anmelde versuche am Server an. Die auch entsprechend Protokolloert werden.

 

Es sind nur nich die Ports 443 und 4125 von aussen auf den Server offen.

 

Können darüber anmelde Versuche an den Server gehen?

 

Es könnte doch auch ein Angriff von Innen sein. Das auf einem der PC´s eine Hackprogramm läuft und die Anfragen startet.

 

Was meinst du?

 

Ich habe mit LAnGuard 9.0 den SErver überprüft und das Prg. sagt alles wäre korrekt eingerichtet.

 

Danke und Gruss Peter

Link zu diesem Kommentar

Auszug aus dem Ereignisprotokoll "Sicherheit"

 

Benutzername: SERVER01$

Ereigniskennung: 540

Quellnetzwerkadresse: 192.68.30.100

Quellport: 14685

Anmeldetype: 3

 

Benutzername: SERVER01$

Ereigniskennung: 540

Quellnetzwerkadresse: 192.68.30.100

Quellport: 14707

Anmeldetype: 3

 

Es gibt dann zum gleichen Zeitpunkt noch weitere Ereignisskennungen.

 

538 und 576

 

alle mit dem Benutzername: SERVER01$

 

Das passiert jede Minuten.

 

Was passiert da?

 

Wer oder was greift den Server da an?

 

Wir kann man das unterdrücken?

 

Das macht mich einwenig nervös.

 

Danke und Gruss Peter

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...