Grzesiek 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Confihuration: SBS 2003 R2 , Clients XP Pro, Hardware Firewall Netgear FVX 538 einkommente Ports alle geschlossen bis auf HTTPS + SMTP Statische WAN IP Alle Updates sind installiert Das Admin Konto habe ich mal in der Sicherheitrichtlinie umbenannt Seit 3 Tagen habe ich in der Ereignissanzeige Anmeldeversuche mit diversen Benutzernamen die nicht existieren. Ein Name war sogar ein Treffer, das Konto wurde nach mehreren Fehlversuchen gesperrt. Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: inna Domäne: Anmeldetyp: 3 Anmeldevorgang: Advapi Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Name der Arbeitsstation: SERVER Aufruferbenutzername: SERVER$ Aufruferdomäne: LOKALEDOMAIN Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 1892 Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: administrator Domäne: GM-COMP Anmeldetyp: 10 Anmeldevorgang: User32 Authentifizierungspaket: Negotiate Name der Arbeitsstation: SERVER Aufruferbenutzername: SERVER$ Aufruferdomäne: DOMAINNAME Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 532 Übertragene Dienste: - Quellnetzwerkadresse: 94.249.147.131 Quellport: 17845 Was kann ich noch tun um dieses zu verhindern ? Quote Link to comment
zahni 554 Posted February 1, 2011 Report Share Posted February 1, 2011 Die IP-Adresse scheint aus D zu sein: getpos.de :: Whois-Abfrage Einfach mal da anrufen und fragen, was Die auf Deinem Server wollen. -Zahni Quote Link to comment
dmetzger 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Ein Name war sogar ein Treffer, das Konto wurde nach mehreren Fehlversuchen gesperrt. Benutzername: administrator Was kann ich noch tun um dieses zu verhindern ? Und falls der Namenstreffer der "Administrator" war, ist es bestimmt jetzt an der Zeit, diesen gemäss Best Practices umzubenennen und ggf. - nach Erstellung eines neuen Domänenadmins - zu deaktivieren. Quote Link to comment
carlito 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Das Admin Konto habe ich mal in der Sicherheitrichtlinie umbenannt Und falls der Namenstreffer der "Administrator" war, ist es bestimmt jetzt an der Zeit, diesen gemäss Best Practices umzubenennen und ggf. - nach Erstellung eines neuen Domänenadmins - zu deaktivieren. Ähm... Quote Link to comment
Grzesiek 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 der Administrator war es nicht den habe ich bei der Serverinstallation umbenannt habe ich aber auch schon am anfang geschrieben Quote Link to comment
carlito 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Confihuration:SBS 2003 R2 , Clients XP Pro, Hardware Firewall Netgear FVX 538 einkommente Ports alle geschlossen bis auf HTTPS + SMTP Bist du sicher, dass alle Ports bis auf 443 und 25 geschlossen sind? Wurde das durch einen von extern ausgeführten Portscan bestätigt? Quote Link to comment
dmetzger 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Ähm... @Carlito: Du hast Recht. der Administrator war es nicht den habe ich bei der Serverinstallation umbenannt habe ich aber auch schon am anfang geschrieben @Grzesiek: Du hast in diesem Fall auch Recht. Mir war nicht klar, ob das vor dem Fremdzugriff war oder eine Massnahme danach, denn da stand ohne zeitliche Einordnung: Das Admin Konto habe ich mal in der Sicherheitrichtlinie umbenannt Deshalb...: falls der Namenstreffer der "Administrator" war, ... habe für einmal auch ich ein bisschen Recht. :D Quote Link to comment
Grzesiek 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 Port-Scans | heise Security WinBoard - Die Windows Community NS Remote Port Scanner 1.32 in Netzwerk - IT-Profi-Tools - Windows | Downloads | ZDNet.de wie gut der portscan dort ist , hmmm jedenfalls zeigt dieser nur 25 + 443 als offen an Ich werde alle Mobiltelefone auf VPN umstellen dann kann auch https geschlossen werden Quote Link to comment
Grzesiek 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 der admin war es nicht es war einfach ein test Konto mit sehr langen Passwort mit Umlauten. LOPHT-Crack konnte das Passwort nicht auslesen. Quote Link to comment
zahni 554 Posted February 1, 2011 Report Share Posted February 1, 2011 Testt der Server einfach mal von zu Hause mit nmap: Netzwerkscanner nmap in neuer Version | heise Security Was die Netgear FW alles kann, k.a. Ich hoffe, es ist etwas mehr als in simpler Portfilter. Wenn "noch mehr Sicherheit" gewünscht ist, ist vielleicht der Forefront Threat Management Gateway - Microsoft Forefront was für Dich. -Zahni Quote Link to comment
carlito 10 Posted February 1, 2011 Report Share Posted February 1, 2011 jedenfalls zeigt dieser nur 25 + 443 als offen an Deine geposteten Daten lassen mich etwas anderes glauben. Sag mal deine WAN IP. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.