Jump to content
Sign in to follow this  
magicpeter

2003 SBS - 960 Ereigniseinträge Nr. 529. (Fehlgeschlagene Anmeldung)

Recommended Posts

Hi,

 

mir macht ein Server etwas Sorgen.

 

Wir haben einen Kunden mit einem Windows 2003 SBS SP2 (Server01) und einen Windows 2003 Terminalserver Server02) laufen.

Die Server sind mit einer Hardwarefirewall von gateprotect geschützt.

Der Server steht in der DMZ und es sind die Ports 443, 3389 und 4125 offen.

Damit man per https://remote.kundendomain.de/exchange zugreifen kann.

Der Server ist mit einen Servervirenschutz von NOD32 Ver. 4.2 geschützt.

Die Firewall stellt VPN-Tunnel zur Verfügung, da viele Mitarbeiter von aussen zugreifen. Es wird komplett über den Terminalserver gearbeitet.

 

Im Ereignislog steht bei 2 Tagen 960 Ereigniseinträge Nr. 529. (Fehlgeschlagene Anmeldung, fehlerhafter Benutzername oder Passwort falsch) und es gibt auch Warnung Kontosperrung (Ereigniskennung: 539)

 

Es treten seit dem 04.07.2010 ab 13:27 mehrere unregelmäßig Zugriff / Anmeldeversuche auf Ihren Server. Machmal 2 oder 3 pro Tag. Am 02 und 03.08.2010 gab es insgesamt 960 Ereigniseinträge Nr. 529. (Fehlgeschlagene Anmeldung, fehlerhafter Benutzername oder Passwort falsch)

Die Zugriffszeiten unterliegen keinem reproduzierbarem Muster. Es gibt Zugriffsversuchen am 29.07.2010 um 04:04:09 genauso gibt Zugriffsversuche mittags am 02.08.2010 14:46:29.

Also sehr willkürlich. Was auf einen automatischen Hackversuch hin deutet. Laut Ereignisprotokoll wurde Versucht über die Benutzerkonten Administrator, admin und Verwalter auf dem Server01 Zugriff zu erlangen.

 

Da es das Benutzerkonto Verwalter nicht gibt besteht dort keine Gefahr. Ich würde als erste Aktion das Admin und Administrator Benutzerkonto deaktivieren und ein neues Konto für den Admin anlegen.

Der Benutzername sollte etwas ausgefallener sein. ad23min zum Beispiel. Damit hätte man das Problem der bekannten Benutzerprofile zur Hackversuch unterbunden und man wäre etwas sicherer.

 

Im Ereigniseintrag steht noch dring:

Benutzername: admin

Anmeldetype: 10

Anmeldevorgang: User32

 

oder

 

Benutzername: administrator

Anmeldetype: 4

Anmeldevorgang: ADVAPI

 

deutet das auf den Angreifer oder seine Vorgehensweise hin?

 

Aber das ist ja eigentlich kein Zustand. Wie kann man diese Hackversuche unterbinden?

 

Gruss und Danke Peter

Share this post


Link to post

Hi.

 

Wie kann man diese Hackversuche unterbinden?

 

Das sind keine richtigen Hackversuche. Wenn der RDP Port 3389 offen ist, dann kann jeder Script Kiddy lustig herumprobieren, und hoffen, das PW des Administrator 123 lautet.

 

Sperre Port 3389 und du hast Ruhe.

 

Der Server steht in der DMZ

 

Welcher Server steht in der DMZ, und was soll das bringen?

 

LG Günther

Share this post


Link to post

Hi Günther,

 

stimmt Port 3389 hat in der DMZ nichts verloren.

 

Danke ich mach den zu.

 

Der Windows 2003 SBS SP2 (Server01) steht in der DMZ damit der Kunde sein Windows Mobile Handy abgleichen kann.

 

Funktioniert auch sehr gut.

 

Spricht doch eigentlich nicht gegen oder?

 

Danke und Gruss Peter

Share this post


Link to post

Hi.

 

Spricht doch eigentlich nicht gegen oder?

 

Macht aber auch keinen Sinn, und bringt keinerlei Vorteile oder zusätzliche Sicherheit.

 

LG Günther

Share this post


Link to post

Ja, aber wie richtet man sonst die Syncronisation ein.

 

Es muss doch der Port 443 auf den Exchangeserver weitergeleitet werden.

 

Oder wie machst du das?

 

Gruss Peter

Share this post


Link to post

Hi.

 

Ja, aber wie richtet man sonst die Syncronisation ein.

 

Genauso wie sonst auch. Eine DMZ würde Sinn machen, wenn der SBS im LAN hängt, und in der DMZ ein Proxy. Dann würde ein Zugriff WAN -> LAN überhaupt gesperrt werden, und der Zugriff könnte nur über WAN -> DMZ -> Proxy erfolgen.

 

Schau dir noch einmal die Funktion einer DMZan

 

- Demilitarized Zone ? Wikipedia

- http://www.msxfaq.de/internet/firewall3.htm

 

LG Günther

Share this post


Link to post

Hi Günther,

 

ich habe dem Port 3389 geschlossen. Es kommen aber immer noch Anmelde versuche am Server an. Die auch entsprechend Protokolloert werden.

 

Es sind nur nich die Ports 443 und 4125 von aussen auf den Server offen.

 

Können darüber anmelde Versuche an den Server gehen?

 

Es könnte doch auch ein Angriff von Innen sein. Das auf einem der PC´s eine Hackprogramm läuft und die Anfragen startet.

 

Was meinst du?

 

Ich habe mit LAnGuard 9.0 den SErver überprüft und das Prg. sagt alles wäre korrekt eingerichtet.

 

Danke und Gruss Peter

Share this post


Link to post

Hi.

 

Es kommen aber immer noch Anmelde versuche am Server an. Die auch entsprechend Protokolloert werden

 

Dann sollte aber doch im LOG auf die IP Adresse ersichtlich sein. Damit kannst du feststellen ob der Angriff von innen oder über das WAN kommt.

 

LG Günther

Share this post


Link to post

Auszug aus dem Ereignisprotokoll "Sicherheit"

 

Benutzername: SERVER01$

Ereigniskennung: 540

Quellnetzwerkadresse: 192.68.30.100

Quellport: 14685

Anmeldetype: 3

 

Benutzername: SERVER01$

Ereigniskennung: 540

Quellnetzwerkadresse: 192.68.30.100

Quellport: 14707

Anmeldetype: 3

 

Es gibt dann zum gleichen Zeitpunkt noch weitere Ereignisskennungen.

 

538 und 576

 

alle mit dem Benutzername: SERVER01$

 

Das passiert jede Minuten.

 

Was passiert da?

 

Wer oder was greift den Server da an?

 

Wir kann man das unterdrücken?

 

Das macht mich einwenig nervös.

 

Danke und Gruss Peter

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...