Jump to content

VServer Logon Versuche


Go to solution Solved by NilsK,

Recommended Posts

Hi liebe Community,

 

ich habe einen VServer bei Strato und schon wenige Stunden nach Inbetriebnahme hatte ich mehrere Tausend! Events im Eventlog wegen fehlerhaften Anmeldungen.

Dann habe ich RDP und Datei/Druckerfreigabe in der Firewall blockiert.

Nun habe ich dennoch ca. 150 fehlerhafte Anmeldungen am Tag.

 

Das Log zeigt - Kontoname variiert zwischen üblich möglichen Name, ebenso die Kontodomäne. Die Quell IP scheint die des Angreifers zu sein.  Ist hier ersichtlich, welche Ports bzw. über welche Dienste hier versucht wird sich anzumelden? Ich erkenne nur Port 58068 aber was ist das? 

Auf dem Server ist bisher nichts installiert.

 

Danke und Grüße

 

 

 

Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		NULL SID
	Kontoname:		-
	Kontodomäne:		-
	Anmelde-ID:		0x0

Anmeldetyp:			3

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		administrator
	Kontodomäne:		HUAWEI

Fehlerinformationen:
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
	Status:			0xC000006D
	Unterstatus::		0xC000006A

Prozessinformationen:
	Aufrufprozess-ID:	0x0
	Aufrufprozessname:	-

Netzwerkinformationen:
	Arbeitsstationsname:	HUAWEI
	Quellnetzwerkadresse:	61.182.50.11
	Quellport:		58068

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		NtLmSsp 
	Authentifizierungspaket:	NTLM
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

 

Link to comment
vor 7 Minuten schrieb BusterFriendly:

ich würde IPs und Ports nicht so offen und klar darlegen...

Wieso, ist doch nur des Angreifers. Und nicht registriert, ist also gespooft.  Korrektur: Ist doch registriert, chinesisch.

Anmeldetyp 3 ist Netzwerk-Anmeldung, kann also ein beliebiges authentifizierungspflichtiges Protokoll sein - RPC, SMB, HTTP, WinRM etc.

Mach doch die Firewall komplett zu, wenn die Maschine ungefiltert im Internet steht.

Edited by cj_berlin
Link to comment
  • Solution

Moin,

 

Dass versucht wird, sich an einen öffentlich erreichbaren Server anzumelden, ist ja nicht verwunderlich. Es ist auch völlig egal, von oder auf welchen Ports das versucht wird. Wichtig ist, dass es nicht klappt.

 

"Ports" werden oft völlig missverstanden. Ein "offener Port" ist per se überhaupt kein Problem. Das wird es erst, wenn auf dem Port etwas ungesichert reagiert und Dinge ausführt, die nicht erwünscht sind. Das wiederum kann man ja durchaus als Betreiber im Griff haben.

 

Gruß, Nils

 

  • Like 2
Link to comment
  • 2 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...