wulle 10 Geschrieben 16. Februar 2011 Melden Teilen Geschrieben 16. Februar 2011 (bearbeitet) hallo an alle, ich bin nicht gerade ein Spezialist, wurde vorübergehend um Hilfe gebeten nachdem der ursprünglich für den Server zuständige IT-Fachman scheinbar Konkurs gemacht hat. Mein Vorgehen hier ist intuitiv bitte nicht lästern sondern helfen :-) Folgende Situation: In der Security log finden sich auf einmal vermehrt Ereignisse 529 (siehe unten). Zeitweise alle 3 Sekunden ein Ereignis. Sind das versuche das Password zu knacken oder um was handelt es sich da? Die IP-Addresse sagt mir gar nichts. Whois ERgab 195.39.8.139/mail.maxigewinn.com IP Address WHOIS | DomainTools.com habe dann mal nachdem Inhaber gegoogled und da kam noch mehr verwirrendes zu tage: ich habe den hier Link entfernt, blub Meine Frage nun was wollen die Auf dem Server oder deutet ich das ganze völlig falsch? Bin dankbar für jede hilfe ------------------------------------------------------------------------- evenit id 529: Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: administrator Domäne: xxx Anmeldetyp: 10 Anmeldevorgang: User32 Authentifizierungspaket: Negotiate Name der Arbeitsstation: MAIL Aufruferbenutzername: MAIL$ Aufruferdomäne: xxx Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 3512 Übertragene Dienste: - Quellnetzwerkadresse: 195.39.8.139 Quellport: 53953 ------------------------------------------------------------------------- bearbeitet 16. Februar 2011 von blub Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. Februar 2011 Melden Teilen Geschrieben 16. Februar 2011 Hi wulle und willkommen an Bo(a)rd, :) meine Empfehlung: Hol Dir bzw. empfehle Deinem Auftraggeber sich schnellstmöglich einen Dienstleister ins Boot zu holen, der Dich bei den Themen unterstützen kann. Das Forum ist kein guter Ort für die Aneignung von Grundlagenwissen. Das ist überhaupt nicht böse gemeint, sondern ausschließlich konstruktiv. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
wulle 10 Geschrieben 16. Februar 2011 Autor Melden Teilen Geschrieben 16. Februar 2011 die antwort hilft mir ja immerhin 0% weiter. zumindest ne aussage ob das gefährlich ist oder nicht sollte machbar sein mit deinem enormen grundlagenwissen. wenn die option bestehen würde jemand hinzuholen wäre dies längst geschehen. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 16. Februar 2011 Melden Teilen Geschrieben 16. Februar 2011 Hallo wulle, ok. Wenn ich Dir jetzt sage, dass das gefährlich ist, was fängst Du nun damit an? olc meint es nur gut, auch wenn Dir seine Aussage nicht passt. Der Anmeldetyp 10 lässt darauf schließen, dass es sich um ein Anmeldeversuch per RDP handelt. Existiert eine Weiterleitung hierfür auf der Firewall? Dann würde ich die schleunigst löschen. Danach suche Dir einen Spezialisten. Dafür sind die ja schließlich da ;) Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 16. Februar 2011 Melden Teilen Geschrieben 16. Februar 2011 OK. IIS kann's auch sein. Siehe Event-ID.net: Event ID 529 Source Security Und tschüss ;) Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 16. Februar 2011 Melden Teilen Geschrieben 16. Februar 2011 Hi wulle. Dein "intuitives" Vorgehen in Ehren, und Deine Bemühungen auch, aber sei so nett und nimm' die Ratschläge meiner Vorschreiber ernst. Es geht nicht darum Dir nicht helfen zu wollen, es geht vielmehr um eine saubere und vor allem sichere Lösung. Mit den Informationen kann keiner hier entscheiden was wirklich los ist. Mir fällt dazu als erstes "Bedrohung" ein, ... und um Dir/Euch sinnvoll zu helfen sollte ein Spezialist vor der Maschine sitzen, auch wenn er was kosten wird. Sollte zum Schluß ein Datenverlust stehen wird der wohl eher teurer sein. Nix für ungut und trotzdem noch 'nen angenehmen und erfolgreichen Tag M. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 16. Februar 2011 Melden Teilen Geschrieben 16. Februar 2011 die antwort hilft mir ja immerhin 0% weiter.. Das sehe ich anders. wenn die option bestehen würde jemand hinzuholen wäre dies längst geschehen. Warum besteht diese Option nicht? P.S. Achte bitte darauf auch Großbuchstaben zu nutzen. Je besser deine Beiträge zu lesen sind um so leichter fällt es uns dir zu helfen. Zitieren Link zu diesem Kommentar
samsam 14 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 (bearbeitet) Moin wolle, Lies eingach diese post, dann kannst du sehen, was die MVP Leute über diese fehler geschrieben. (gefährlich ist oder nicht) Event ID 529, Logon Type 10, "Unknown User Name or Bad Password" in Event Log of SBS 2003 Update: Ich habe vergessen, hier ist gute Artikel über Router setting für SBS 2008. Windows Small Business Server 2008: Router Setup mfg bearbeitet 17. Februar 2011 von samsam Zitieren Link zu diesem Kommentar
schizophrenchen 10 Geschrieben 17. März 2011 Melden Teilen Geschrieben 17. März 2011 Und hier gern auch och die Meinung von einem Security Analysten: viele, in kurzer Zeit fehlgeschlagene anmeldeversuche von unbekannten ip Adressen mit dem user 'administrator' sind aus meiner Sicht sehr bedenklich. Entweder, weil jemand versucht, das Passwort für den Admin user zu raten (Passwort guessing oder brute Force), oder, weil eure sicherheitsrichtline erlaubt, von extern auf diesen Server zuzugreifen (vor allem, wenn der Zielport rdp, cifs oder smb war). Hol dir jemanden, der euch in diesem Vorfall UND bei der Analyse grundsätzlicher sicherheitmängel eures Netzes hilft!!! Das muss nun reichen, sonst wird's fahrlässig ;-) Gruß, Schizo Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.