Jump to content

Eventlogeinträge: Angriffsversuch?

bkalinski

Von bkalinski
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

bkalinski Rookie

bkalinski   10

Geschrieben
Geschrieben

Hallo Leute,

 

ich habe einen (virtualisierten) Win2k3 Server mit IIS laufen, der einen .NET Webservice und eine MySQL Datenbank bereitstellt. Außerdem liegt auch mein SVN Repository da drauf.

 

Ich habe heute morgen das Eventlog durchgeschaut und einen ganzen Haufen Einträge gefunden:

 

Source: MSFTPSVC

Category: None

Type: Warning

EventID: 100

User: N/A

 

The server was unable to logon the Windows NT account 'irgendeinName' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.

 

Data:

0000: 0000052e

 

Die Events wiederholen sich regelmäßig und sekündlich zu verschiedenen Uhrzeiten, teilweise erstrecken die Events sich über ein paar Stunden, teilweise auch auch nur über ein, zwei Minuten. Dazwischen kommt teilweise gar nichts.

 

Der Username der sich einzuloggen versucht, variiert zwischen 'Administrator', 'admin', 'root', 'test', 'sysadmin' usw. . Es gibt pro Nutzernamen immer einen ganzen Haufen Events nacheinander, nach einigen Events kommt dann ein neuer Nutzername dran.

 

Das hat mich ein wenig stutzig gemacht, ich würde einen Bruteforce-Angriff auf ein System auch so fahren: Einen Benutzernamen nehmen der ziemlich gebräuchlich ist und dann mit verschiedenen Passwörtern variieren.

 

Für mich sieht das deswegen so aus als versuche jemand den FTP Zugriff auf den Server zu bekommen (wegen der MSFTPSVC). Ich kenne mich aber mit Windows Servern zu wenig damit aus.

 

Mir ist schon klar das es ein Webserver natürlich eine ganze Anzahl mit allen möglichen Angriffen nach sich zieht, aber ich würde mich trotzdem gerne absichern.

 

Kann ich irgendwo rausfinden woher diese Login Versuche kommen (mir würde schon reichen wenn ich wüsste ob sie aus dem LAN oder aus dem Internet kommen)?

 

Und gibt es eine Möglichkeit die Anzahl der Logins zu begrenzen, bzw. eine Zeitsperre nach X fehlgeschlagenenen Versuchen einzustellen?

 

Um den Server mache ich mir vorerst mal keine Sorgen, das Administrator Kennwort sollte via BruteForce nicht in angemessener Zeit knackbar zu sein.

 

Ich freu mich auf Antworten und Hilfe um ein wenig Licht ins Dunkel zu bringen ;-)

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...