HanKooR 0 Geschrieben 28. August 2013 Melden Teilen Geschrieben 28. August 2013 Moin Community, ich besitze einen abgesetzten Win2008 Server. Dieser wird via VPN remoteverwaltet. Auch Remotedesktop ist auf die "lokale" VPN IP beschränkt. Normalerweise finde ich daher im Sicherheitsprotokoll auch keine Anmeldeversuche fremder Systeme. Doch heute Nacht bekam ich 2x folgende Meldung: Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: NULL SID Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: Administrator Kontodomäne: 85.214.***.*** Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc000006a Prozessinformationen: Aufrufprozess-ID: 0x0 Aufrufprozessname: - Netzwerkinformationen: Arbeitsstationsname: 888TIGER-DB3D62 Quellnetzwerkadresse: 118.169.**.** Quellport: 2783 (ein weiteres mal Port 1212) Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Über welchen Weg versucht sich hier jmd einzuloggen? Wie kann ich diese Lücke schließen? Danke... HanKooR Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 29. August 2013 Melden Teilen Geschrieben 29. August 2013 Hallo und herzlich willkommen an Board, um dir wirklich weiterhelfen zu können, sind (aus meiner Sicht) mehr Informationen notwendig. Zum einen betrifft das den Netzwerkaufbau (andere Systeme im gleichen Netz, Internetzugang ja/nein, wo und wie wird der VPN-Zugang bereitgestellt usw.), zum anderen betrifft das die Software (in diesem Fall die Dienste) des Servers. Gruß Thomas Zitieren Link zu diesem Kommentar
HanKooR 0 Geschrieben 29. August 2013 Autor Melden Teilen Geschrieben 29. August 2013 Zum einen betrifft das den Netzwerkaufbau (andere Systeme im gleichen Netz, Internetzugang ja/nein Kann ich nicht mit Sicherheit sagen, da es sich um einen Server bei STRATO handelt. Internetzugang: JA wo und wie wird der VPN-Zugang bereitgestellt usw.), Der VPN wird via OpenVPN hergestellt. Ich habe selbst erstellte Zertifikate und beschränke z.B. den RemoteDesktop Zugriff auf die von OpenVPN vergebene IP. zum anderen betrifft das die Software (in diesem Fall die Dienste) des Servers. Installiert wurde bisher nur OpenVPN, TeamSpeak3-Server (als Dienst), IIS, MySQL. Der Rest ist noch im Urzustand. Wenn du möchtest, kann ich noch eine Diensteaulistung anhängen.... Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 29. August 2013 Melden Teilen Geschrieben 29. August 2013 Der Server steht also direkt im Internet? Zitieren Link zu diesem Kommentar
HanKooR 0 Geschrieben 1. September 2013 Autor Melden Teilen Geschrieben 1. September 2013 Der Server steht also direkt im Internet? Ja. Diese Server sind so konzipiert. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 1. September 2013 Melden Teilen Geschrieben 1. September 2013 Ich dachte du kommst von selber drauf ;) Wenn dein Server im Internet per RDP erreichbar ist, dann sind solche Loginversuche völlig normal, da andauernd nach offenen Servern gescannt wird. Du kannst z.b. mit Portknocking arbeiten oder den RDP Port auf einen anderen High Port legen, da du wahrscheinlich keine Firewall davor bauen kannst. Zitieren Link zu diesem Kommentar
HanKooR 0 Geschrieben 1. September 2013 Autor Melden Teilen Geschrieben 1. September 2013 Also Remote Dekstop ist nur noch via VPN erreichbar. Diese VPN Netzwerkschnittstelle ist auch die einzige die RDP Verbindungen zulässt. Über die Schnittstelle die im Internet erreichbar ist, antwortet mein Server nicht auf RDP o.ä. Siehe 1. Beitrag :p Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 1. September 2013 Melden Teilen Geschrieben 1. September 2013 Evtl. andere Sachen offen? SMB, RPC? Zitieren Link zu diesem Kommentar
HanKooR 0 Geschrieben 2. September 2013 Autor Melden Teilen Geschrieben 2. September 2013 RPC, SMB ist für die Internetschnittstelle komplett geschlossen. Was ist denn unter Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM zu verstehen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.