Jump to content
Sign in to follow this  
rolcio

SBS 2003 R2 Sicherheitsproblem Ereignisnr. 529

Recommended Posts

Hallo,

es gibt bereits mehrere Beiträge zu diesem Thema, aber nie eine Lösung oder ein "aha!"

 

Ereignistyp: Fehlerüberw.

Ereignisquelle: Security

Ereigniskategorie: An-/Abmeldung

Ereigniskennung: 529

Datum: 27.12.2011

Zeit: 10:30:41

Benutzer: NT-AUTORITÄT\SYSTEM

Beschreibung:

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: 1234

Domäne:

Anmeldetyp: 3

Anmeldevorgang: Advapi

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Aufruferanmeldekennung: (0x0,0x3E7)

Aufruferprozesskennung: 1764

Übertragene Dienste: -

Quellnetzwerkadresse: -

Quellport: -

 

Und das 500x in 3 Stunden mit Wechselnden Benutzernamen die es natürlich gar nicht gibt

 

http://www.mcseboard.de/windows-forum-security-47/sbs-2003-r2-sicherheitsprobleme-174285.html

http://www.mcseboard.de/windows-server-forum-78/angriff-meinen-sbs-2k3-server-172914.html

http://www.mcseboard.de/windows-forum-security-47/03-versucht-uns-jmd-hacken-168688.html

http://www.mcseboard.de/windows-server-forum-78/2003-sbs-960-ereigniseintraege-nr-529-fehlgeschlagene-anmeldung-168400.html

 

Vielleicht kann mir jemand zumindest einen neuen Tipp geben. War es offene Ports, oder ein Anfriff von Innen (warum aber keine IP Adresse?)

 

Danke

Share this post


Link to post
Share on other sites

Hi.

Was genau macht denn der Server?

Darauf, davor eine Firewall?

Wer "muss/soll" sich auf das Teil verbinden können?

 

...

edit.

Sind diese Anmeldeversuche dauerhaft oder phasenweise?

Wenn phasenweise zu welchen Zeiten?

Share this post


Link to post
Share on other sites

Hi,

ich kann leider nur teilweise Antworten, da der eigentlich Admin ausser Gefecht ist und mir das Know How fehlt. Aber offensichtlich ist das ein Problem das schon mehrere hatten da es öfters hier beschrieben wurde.

Portliste muß ich nachreichen.

Davor sitzt eine Firewall (Fortigate)

Der Server dient als Mailserver, als Datenserver und für das ERP für ca. 15 Client PC´s.

Die Anmeldeversuche sind phasenweise. Ich kann es nicht beweisen, aber gefühlsmässig passieren die Anmeldeversuche immer/bzw. oft dann, wenn über Nacht vergessen wurde ein Client PC abzudrehen. Das würde bedeuten, dass wir bereits infiltriert wurden. Aber warum wird dann keine IP Adresse angezeigt. Ein Virenscan aller Clients per Linux USB Stick mit 4 verschiedenen Signaturen war ergebnislos.

 

Danke für eure Hilfe!

Share this post


Link to post
Share on other sites

Soweit mir bekannt häufen sich in den letzten Tagen wieder mal die Meldungen über Brute Force oder WB Angriffe auf Mailserver.

Wir haben gestern alleine auf einem 3 Unterschiedliche beobachtet.

 

Schau mal ob und wenn ja, was die LogFiles des Maildienstes hergeben.

 

Fall gestern (durch die Logs entsprechend nachzuvollziehen) dass der Angriff von einem "privaten" Rechner aus .pl gekommen ist.

Es ist somit auch nicht auszuschliessen dass Ihr bereits einen "Innentäter" sitzen habt, auch wenn ich eher vermute dass es sich um den oben geschilderten Angriff auf den Mailserver handelt.

Share this post


Link to post
Share on other sites

Mache doch einfach mal mit NMAP (bzw. ZENMAP) einen Portscan auf die Internetadresse (am besten von zu Hause, oder so). Dann siehst Du, welche Ports offen, bzw. im Internet verfügbar sind.

 

Das was Du da siehst, sind wahrscheinlich Wörterbuch-Attacken und/oder Scans mit "Sicherheitstools", die nach Sicherheitslücken suchen. Das erlebt jeder normale Webserver fast täglich in der Art:

 

[Tue Dec 27 15:06:43 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/w00tw00t.at.blackhats.romanian.anti-sec:)

[Tue Dec 27 15:06:43 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/phpMyAdmin

[Tue Dec 27 15:06:43 2011] [error] [client 64.128.16.140] client denied by server configuration: /usr/share/phpmyadmin/config

[Tue Dec 27 15:06:44 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/pma

[Tue Dec 27 15:06:44 2011] [error] [client 64.128.16.140] client denied by server configuration: /usr/share/phpmyadmin/index.php

[Tue Dec 27 15:06:44 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/myadmin

[Tue Dec 27 15:06:44 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/phpMyAdmin2

[Tue Dec 27 15:06:45 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/php-my-admin

[Tue Dec 27 15:06:45 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/mysqladmin

[Tue Dec 27 15:06:45 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/web

[Tue Dec 27 15:06:45 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/websql

[Tue Dec 27 15:06:46 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/php-my-admin

[Tue Dec 27 15:06:46 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/phpMyAdmin-2

[Tue Dec 27 15:06:46 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/pma

[Tue Dec 27 15:06:47 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/PMA2005

[Tue Dec 27 15:06:47 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/phpmyadmin1

[Tue Dec 27 15:06:47 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/phpmanager

[Tue Dec 27 15:06:47 2011] [error] [client 64.128.16.140] client denied by server configuration: /www/sites/xxxxxxx/html/phpadmin

Share this post


Link to post
Share on other sites

"Wörterbuch Attacke" triffts genau. Wir hatten verschiedeneste Frauennamen und die Klassiker wie "root" oder "admin". Verstehe ich das richtig, wenn es tatsächlich das ist, kann ich die Belästigung nur verhindern wenn ich Ports schliesse!?

Share this post


Link to post
Share on other sites
"Wörterbuch Attacke" triffts genau. Wir hatten verschiedeneste Frauennamen und die Klassiker wie "root" oder "admin". Verstehe ich das richtig, wenn es tatsächlich das ist, kann ich die Belästigung nur verhindern wenn ich Ports schliesse!?

 

1. Die IP des Angreifers rausfinden

2. Die IP an der Firewall sperren.

 

Automatisiert macht so etwas beispielsweise fail2ban (Nach soundsovielen fehlgeschlagenen Loginversuchen wird die IP soundsolange gesperrt)

Share this post


Link to post
Share on other sites
IP-Adressen sperren ist ziemlich sinnfrei. Davon gibt es zu viele ;)

:suspect:

Ist aber immerhin effektiv genug um einen solchen Angriff zu stoppen. Beim gestrigen Beispiel waren es immerhin an die 1000 Anfragen/sek

Share this post


Link to post
Share on other sites

Sicher kann man das probieren. Ob es hilft ? Z.B. bei einem Botnet eher weniger.

 

Richtig helfen wird nur eine korrekte Konfiguration der Firewall. Der SMTP-Port sollte genügen. Den Rest sollte man nur über VPN machen, falls Remote-PC's beteiligt sind.

Share this post


Link to post
Share on other sites

Ich meinte ja nicht unbedingt als Maßnahme gegen einen DDoS Angriff.

Sondern um "WB / BF Logins" zu vereiteln.

 

Wenn der Angriff gerade auf den einen offenen Port zielt.. wie konfigurierst du dann "richtig"?

Share this post


Link to post
Share on other sites

Muss man sich bei SMTP "anmelden" können um Mails loszuwerden ?

 

Kann man über SMTP auf andere Dienste zugreifen ?

 

Stell Dir diese Fragen... ;)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...