-MaxXx- 10 Geschrieben 7. April 2004 Melden Geschrieben 7. April 2004 Hi. Hab mir grade unser Ereignisprotokoll - Sicherheit angeschaut... Ereignistyp: Fehlerüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 529 Datum: 29.03.2004 Zeit: 10:07:49 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SERVER Beschreibung: Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Domäne: Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Name der Arbeitsstation: - Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.x.x Quellport: 0 ... diese Fehlermeldung wird 17x die sekunde angezeigt, die Computer bei uns sind nachts ausgeschaltet (zumindest normalerweise). Die Uhrzeit hier ist zwar von 10 Uhr, es fing aber um 5 Uhr in der früh an... Wäre es möglich, das das ein BruteForce Angriff war ? Weiß jetzt ehrlich gesagt nicht, ob ich mir jetzt ernsthaft sorgen machen muss, oder nicht... MaxXx
-MaxXx- 10 Geschrieben 7. April 2004 Autor Melden Geschrieben 7. April 2004 nein, nur sharepointservice läuft. wir greifen zwar von ausserhalb auf unseren server zu, aber nicht zu diesen unmenschlichen zeiten. ausserdem müsste er bzw. hat er sich dann authentifiziert und kommt ja dann ins system rein. auch wenn sich jemand von aussen einwählt, falls er doch mal seinen benutzernamen oder passwort falsch eingibt, kann er das denke ich mal nicht 17x die sekunde machen...
edv-olaf 10 Geschrieben 7. April 2004 Melden Geschrieben 7. April 2004 Hallo, die Meldung haben wir auch gelegentlich (NT4.0 Server), auch zu Zeiten, wo garantiert keiner dran ist. Hacking können wir aber ausschließen, da der Server im internen Netz steht, auf das von Außen unmöglich zugegriffen werden kann. Tippe daher auf unseren Samba, bei euch vielleicht ein anderer Win DC? Grüße Olaf
-MaxXx- 10 Geschrieben 8. April 2004 Autor Melden Geschrieben 8. April 2004 hi. die Fehlermeldung IST auf unserem PDC. Welcher Dienst könnte das verursachen ?
Schwarze Elise 10 Geschrieben 15. April 2004 Melden Geschrieben 15. April 2004 Ich hatte das auch schon in der Firma! Bei uns war es ein zweiter DC. Da hats irgendwelche Probs gegeben bis wir die Server neu gestartet haben.
fritzo 10 Geschrieben 15. April 2004 Melden Geschrieben 15. April 2004 Hallo, zuwenig Info, um das genau zu bestimmen. Schau mal auf: http://www.eventid.net/display.asp?eventid=529&eventno=1&source=Security&phase=1 oder http://support.microsoft.com/default.aspx?scid=kb;en-us;Q239869 Die Ursache könnte zB Eventcomb oder ein Script sein, daß lediglich Logevents einsammelt, aber unter dem falschen Kontext läuft. Da Kerberos genannt ist, könnte es auch auf ein Authentifizierungsproblem hinweisen. Prüf mal bitte die Sicherheitseinstellungen, ob dort LM oder NTLM oder Kerberos explizit gesetzt ist oder verweigert wird. Ansonsten könnte es auch eine noch laufende Session eines Users sein - aber um 5 Uhr.. hm.. da würde ich dann eher auf einen Dienstaccount tippen, der sein Paßwort nicht mehr hat. Prüf also auch die Dienste auf dem System mal auf gültige Accounts. Ist die genannte IP die des Servers selbst? Dann könnte es auch sein, daß es mit DNS zusammenhängt - in dem Fall mal mit nslookup die Auflösung auf FQDN prüfen. Sorry, daß ich es nicht genauer hinkriege aber es sind halt wenig Infos - more Input please ;o)= Grüße, Fritz
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden