Jump to content

VServer Logon Versuche


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi liebe Community,

 

ich habe einen VServer bei Strato und schon wenige Stunden nach Inbetriebnahme hatte ich mehrere Tausend! Events im Eventlog wegen fehlerhaften Anmeldungen.

Dann habe ich RDP und Datei/Druckerfreigabe in der Firewall blockiert.

Nun habe ich dennoch ca. 150 fehlerhafte Anmeldungen am Tag.

 

Das Log zeigt - Kontoname variiert zwischen üblich möglichen Name, ebenso die Kontodomäne. Die Quell IP scheint die des Angreifers zu sein.  Ist hier ersichtlich, welche Ports bzw. über welche Dienste hier versucht wird sich anzumelden? Ich erkenne nur Port 58068 aber was ist das? 

Auf dem Server ist bisher nichts installiert.

 

Danke und Grüße

 

 

 

Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		NULL SID
	Kontoname:		-
	Kontodomäne:		-
	Anmelde-ID:		0x0

Anmeldetyp:			3

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		administrator
	Kontodomäne:		HUAWEI

Fehlerinformationen:
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
	Status:			0xC000006D
	Unterstatus::		0xC000006A

Prozessinformationen:
	Aufrufprozess-ID:	0x0
	Aufrufprozessname:	-

Netzwerkinformationen:
	Arbeitsstationsname:	HUAWEI
	Quellnetzwerkadresse:	61.182.50.11
	Quellport:		58068

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		NtLmSsp 
	Authentifizierungspaket:	NTLM
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

 

Link zu diesem Kommentar
vor 7 Minuten schrieb BusterFriendly:

ich würde IPs und Ports nicht so offen und klar darlegen...

Wieso, ist doch nur des Angreifers. Und nicht registriert, ist also gespooft.  Korrektur: Ist doch registriert, chinesisch.

Anmeldetyp 3 ist Netzwerk-Anmeldung, kann also ein beliebiges authentifizierungspflichtiges Protokoll sein - RPC, SMB, HTTP, WinRM etc.

Mach doch die Firewall komplett zu, wenn die Maschine ungefiltert im Internet steht.

bearbeitet von cj_berlin
Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

Dass versucht wird, sich an einen öffentlich erreichbaren Server anzumelden, ist ja nicht verwunderlich. Es ist auch völlig egal, von oder auf welchen Ports das versucht wird. Wichtig ist, dass es nicht klappt.

 

"Ports" werden oft völlig missverstanden. Ein "offener Port" ist per se überhaupt kein Problem. Das wird es erst, wenn auf dem Port etwas ungesichert reagiert und Dinge ausführt, die nicht erwünscht sind. Das wiederum kann man ja durchaus als Betreiber im Griff haben.

 

Gruß, Nils

 

Link zu diesem Kommentar
  • 2 Monate später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...