03 -versucht uns jmd. zu hacken?

[butch80 10]

Hi all,

 

heute Nacht hatten wir in der Ereignisanziege Sicherheit mehrere Fehlschläge wie folgt gesichtet:

 

Quelle: Security, Kategorie An/Abeldung, Ereigniskennung: 529

Benutzer: NT-Autorität\System

Computer:SBS

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: office

Domäne:

Anmeldetyp: 3

Anmeldevorgang: Advapi

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Name der Arbeitsstation: SBS

Aufruferbenutzername: SBS$

Aufruferdomäne: Unsere-Domäne

Aufruferanmeldekennung: (0x0,0x3E7)

Aufruferprozesskennung: 2164

Übertragene Dienste: -

Quellnetzwerkadresse: -

Quellport: -

 

Weitere Einträge mit anderem Benutzernamen wie "test", "contact" wurden ebenfalls die gleichen Fehlschläge geloggt.

 

Wie geht man am Besten in solch einen Fall vor, damit man diese Art Bruteforce Attacken unterbindet? (leider fehlt mir die Quell-IP)

 

Danke im Voraus!

[NilsK 3.046]

Moin,

 

der beste Schutz gegen Brute Force sind starke Kennwörter.

 

Ansonsten kann man dazu wenig sagen, ohne die Struktur zu kennen. Selbstverständlich solltet ihr euch nach außen durch Firewalls schützen usw. Derartige Angriffe können aber auch durch Malware von innen verursacht werden - also gehört auch Schutz dagegen auf die Liste.

 

Oder was willst du jetzt hören?

 

Gruß, Nils

[butch80 10]

 

Oder was willst du jetzt hören?

 

Gruß, Nils

 

ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin?

 

Sollte die Firewall solche Angriffe nicht endecken und unterbinden?

Wir haben eine firebox550 von Watchguard im Einsatz.

trotzdem danke für deine Info Nils

[butch80 10]

die Angriffe tauchen übrigens immer nachts auf und der Anmeldename wechselt nach ca. 5 Versuchen.

 

Sehr beunruhigend.

bearbeitet 12. August 2010 von butch80

[GuentherH 61]

Hallo.

 

Sollte die Firewall solche Angriffe nicht endecken und unterbinden?

 

Wieso? Wenn z.B. der RDP Port auf der Firewall geöffnet ist, wieso soll dann die Firewall überprüfen, bzw. überprüfen können ob die User Authentifizierung ok ist.

 

Wie immer an dieser Stelle die Frage, welche Ports sind auf der Firewall geöffnet?

 

LG Günther

[butch80 10]

Hallo GuentherH,

 

da hast du auch wieder Recht!

 

der RDP Port ist aber nicht offen.

 

hier die offenen Ports:

 

21

22

25

80

443

1935

53

5060

30000-30005 (telefonsoftware)

5004-5027 (telefonsoftware)

 

thats all.

[XP-Fan 234]

Hi,

 

sind das augehende Ports oder eingehende ?

[butch80 10]

hier etwas detaillierter:

 

21 Ausgehend

22 Ausgehend

25 Ein-/ Ausgehend

80 ausgehend

443 Ein-/ Ausgehend

1935 sowohl, als auch ( haben einen mediaserver im Haus)

53 ausgehend

NTP 123 (hatte ich zuvor vergessen) ausgehend

5060 Ein-/ Ausgehend

30000-30005 (telefonsoftware) Ein-/ Ausgehend

5004-5027 (telefonsoftware) Ein-/ Ausgehend

bearbeitet 12. August 2010 von butch80

[butch80 10]

Wir haben vermerhrt Einträge, die unlogisch für einen Angriff sind. Da versucht jemand mit einem "@" sich als Benutzername anzumelden?

 

Bei diesen Versuchen, stammt die Quell-IP auch von unseren SQL und Terminalservern.

 

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: @

Domäne:

Anmeldetyp: 3

Anmeldevorgang: NtLmSsp

Authentifizierungspaket: NTLM

Name der Arbeitsstation: Terminalserver

Aufruferbenutzername: -

Aufruferdomäne: -

Aufruferanmeldekennung: -

Aufruferprozesskennung: -

Übertragene Dienste: -

Quellnetzwerkadresse: 192.168.1.123

Quellport: 0

 

Wir haben Windows Server 2003 im Einsatz. Die Server wurden komplett gescannt und sind angeblich sauber.

 

Noch jemand eine idee?

bearbeitet 16. August 2010 von butch80

[LukasB 10]

Häufig liegt dies an einem nach aussen geöffneten SMTP-Port, bei welchem auch SMTP-Auth aktiv ist - bei einem SBS03 die Default-Konfiguration. Aus diesem Grund deaktiviere ich SMTP-Auth bei SBSen jeweils.

[butch80 10]

wir haben meines Wissens keinen SMTP-Auth aktiviert. Immerhin haben wir folgende Einstellung: Ausgehende Sicherheit -->Anonymer Zugriff

 

oder lieg ich falsch?

[donnervogel515 13]

ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin?

 

Sollte die Firewall solche Angriffe nicht endecken und unterbinden?

Wir haben eine firebox550 von Watchguard im Einsatz.

trotzdem danke für deine Info Nils

 

 

Hallo,

die Firewall macht was man ihr sagt und wenn entsprechender Datenverkehr erlaubt ist prüft sie diesen nicht zwingend auf Sinnhaftigkeit.

 

Es gibt aber von Watchguard eine kostenpflichtige Option (IPS - Intrusion Prevention Service) die anhand verschiedener Signaturen/Angriffsmuster entsprechende unerwünschte Versuche automatisch unterbindet. Die Option kann einzeln oder als Bestandteil des UTM-Bundles erworben werden und sollte für die kleine X550e auch nicht die Welt kosten. Wir haben gerade in Verbindung mit dem SMTP-Proxy (Firewall) sehr gute Erfahrungen damit gemacht bzw. konnten noch keine Fehlfunktionen feststellen.

[butch80 10]

danke für die info!

 

Das optionale Bundle von Watchguard klingt zwar sehr interessant, aber wir haben ja schon einen Spamfilter, sowie das McAfee Komplettpaket (Groupshield etc.) Beides wird schwer zu verwalten sein, bzw. evtl. Probleme mit sich bringen. :-/

[donnervogel515 13]

Du musst ja nicht alle Funktionen nutzen.....mir ging es jetzt nur um die IPS-Funktion.

Aber aus persönlicher Erfahrung kann ich sagen, dass eine zusätzliche AV-Verteidigung bei McAfee Groupshield und auch allgemein nicht schaden kann. Aber dieses ist ein ganz anderes Thema.