Asphyxia 10 Geschrieben 28. März 2011 Melden Geschrieben 28. März 2011 Hallo zusammen, seitdem ich bei einem unserer Kunden einen Monitoring Agent (GFIMAXX - Acmeo Dashboard) eingerichtet habe meldet dieser unauthorisierte Anmeldeversuche. Der Server hat eine Externe IP. Ich habe jetzt unter Ereignisanzeige/Sicherheit festgestellt, dass die Ereignis ID 529 immer wieder auftaucht - teilweise alle paar Sekunden. Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Administrator Anmeldetyp: 10 Anmeldevorgang: User32 Authentifizierungspaket: Negotiate Quellnetzwerkadresse: Immer unterschiedlich! Ich habe inzwischen 7 verschiedene ausgemacht. Ports: Ebenfalls immer unterschiedlich Läuft da ein Programm das Passwörter ausprobiert (Brute Force oder sowas?):confused: Wenn Ihr eine Idee habt was das sein könnte, und am besten wie ich mich davor schütze, wäre ich echt dankbar für eure Antworten.:)
iDiddi 27 Geschrieben 28. März 2011 Melden Geschrieben 28. März 2011 Quellnetzwerkadresse: Immer unterschiedlich! Ich habe inzwischen 7 verschiedene ausgemacht. Externe oder Interne? Hat das Monitoring-Tool auch eine Option, Dein Netzwerk von außen auf Schwachstellen zu prüfen? Schau mal hier in der KB vom Hersteller (sind zwar nur allgemeine Infos, aber vielleicht hilft's): http://kbase.gfi.com/showarticle.asp?id=KBID001723
Asphyxia 10 Geschrieben 28. März 2011 Autor Melden Geschrieben 28. März 2011 Bei den Ip´s handelte es sich ausschließlich um externe!
iDiddi 27 Geschrieben 28. März 2011 Melden Geschrieben 28. März 2011 OK. GFI MAX bietet sehr viele Prüfungen an. Vielleicht kommen die IPs alle aus deren Adressbereich. Würde ich zumindest mal prüfen, bevor Du Dich verrückt machst. Oder ist es vielleicht das (Zitat aus EventID.net): MacbrideThis event may appear in the Exchange server event log if the SMTP server component is configured to attempt to authenticate remote SMTP server using NTLM authentication. If the remote server is not able to provide a valid user id/password, this event will be recorded. Verify the properties of the SMTP server component. Das hat aber dann nichts mit dem Monitoring-Agent zu tun ;)
zahni 587 Geschrieben 28. März 2011 Melden Geschrieben 28. März 2011 Mit welchen Ports bzw. Funktionen präsentiert sich der Server denn in der Öffentlichkeit ?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden