Asphyxia 10 Geschrieben 28. März 2011 Melden Teilen Geschrieben 28. März 2011 Hallo zusammen, seitdem ich bei einem unserer Kunden einen Monitoring Agent (GFIMAXX - Acmeo Dashboard) eingerichtet habe meldet dieser unauthorisierte Anmeldeversuche. Der Server hat eine Externe IP. Ich habe jetzt unter Ereignisanzeige/Sicherheit festgestellt, dass die Ereignis ID 529 immer wieder auftaucht - teilweise alle paar Sekunden. Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Administrator Anmeldetyp: 10 Anmeldevorgang: User32 Authentifizierungspaket: Negotiate Quellnetzwerkadresse: Immer unterschiedlich! Ich habe inzwischen 7 verschiedene ausgemacht. Ports: Ebenfalls immer unterschiedlich Läuft da ein Programm das Passwörter ausprobiert (Brute Force oder sowas?):confused: Wenn Ihr eine Idee habt was das sein könnte, und am besten wie ich mich davor schütze, wäre ich echt dankbar für eure Antworten.:) Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 28. März 2011 Melden Teilen Geschrieben 28. März 2011 Quellnetzwerkadresse: Immer unterschiedlich! Ich habe inzwischen 7 verschiedene ausgemacht. Externe oder Interne? Hat das Monitoring-Tool auch eine Option, Dein Netzwerk von außen auf Schwachstellen zu prüfen? Schau mal hier in der KB vom Hersteller (sind zwar nur allgemeine Infos, aber vielleicht hilft's): http://kbase.gfi.com/showarticle.asp?id=KBID001723 Zitieren Link zu diesem Kommentar
Asphyxia 10 Geschrieben 28. März 2011 Autor Melden Teilen Geschrieben 28. März 2011 Bei den Ip´s handelte es sich ausschließlich um externe! Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 28. März 2011 Melden Teilen Geschrieben 28. März 2011 OK. GFI MAX bietet sehr viele Prüfungen an. Vielleicht kommen die IPs alle aus deren Adressbereich. Würde ich zumindest mal prüfen, bevor Du Dich verrückt machst. Oder ist es vielleicht das (Zitat aus EventID.net): MacbrideThis event may appear in the Exchange server event log if the SMTP server component is configured to attempt to authenticate remote SMTP server using NTLM authentication. If the remote server is not able to provide a valid user id/password, this event will be recorded. Verify the properties of the SMTP server component. Das hat aber dann nichts mit dem Monitoring-Agent zu tun ;) Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 28. März 2011 Melden Teilen Geschrieben 28. März 2011 Mit welchen Ports bzw. Funktionen präsentiert sich der Server denn in der Öffentlichkeit ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.