-MaxXx- 10 Geschrieben 7. April 2004 Melden Teilen Geschrieben 7. April 2004 Hi. Hab mir grade unser Ereignisprotokoll - Sicherheit angeschaut... Ereignistyp: Fehlerüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 529 Datum: 29.03.2004 Zeit: 10:07:49 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SERVER Beschreibung: Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Domäne: Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Name der Arbeitsstation: - Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.x.x Quellport: 0 ... diese Fehlermeldung wird 17x die sekunde angezeigt, die Computer bei uns sind nachts ausgeschaltet (zumindest normalerweise). Die Uhrzeit hier ist zwar von 10 Uhr, es fing aber um 5 Uhr in der früh an... Wäre es möglich, das das ein BruteForce Angriff war ? Weiß jetzt ehrlich gesagt nicht, ob ich mir jetzt ernsthaft sorgen machen muss, oder nicht... MaxXx Zitieren Link zu diesem Kommentar
din 10 Geschrieben 7. April 2004 Melden Teilen Geschrieben 7. April 2004 terminalserver? Zitieren Link zu diesem Kommentar
-MaxXx- 10 Geschrieben 7. April 2004 Autor Melden Teilen Geschrieben 7. April 2004 nein, nur sharepointservice läuft. wir greifen zwar von ausserhalb auf unseren server zu, aber nicht zu diesen unmenschlichen zeiten. ausserdem müsste er bzw. hat er sich dann authentifiziert und kommt ja dann ins system rein. auch wenn sich jemand von aussen einwählt, falls er doch mal seinen benutzernamen oder passwort falsch eingibt, kann er das denke ich mal nicht 17x die sekunde machen... Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 7. April 2004 Melden Teilen Geschrieben 7. April 2004 Hallo, die Meldung haben wir auch gelegentlich (NT4.0 Server), auch zu Zeiten, wo garantiert keiner dran ist. Hacking können wir aber ausschließen, da der Server im internen Netz steht, auf das von Außen unmöglich zugegriffen werden kann. Tippe daher auf unseren Samba, bei euch vielleicht ein anderer Win DC? Grüße Olaf Zitieren Link zu diesem Kommentar
-MaxXx- 10 Geschrieben 8. April 2004 Autor Melden Teilen Geschrieben 8. April 2004 hi. die Fehlermeldung IST auf unserem PDC. Welcher Dienst könnte das verursachen ? Zitieren Link zu diesem Kommentar
Schwarze Elise 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Ich hatte das auch schon in der Firma! Bei uns war es ein zweiter DC. Da hats irgendwelche Probs gegeben bis wir die Server neu gestartet haben. Zitieren Link zu diesem Kommentar
fritzo 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Hallo, zuwenig Info, um das genau zu bestimmen. Schau mal auf: http://www.eventid.net/display.asp?eventid=529&eventno=1&source=Security&phase=1 oder http://support.microsoft.com/default.aspx?scid=kb;en-us;Q239869 Die Ursache könnte zB Eventcomb oder ein Script sein, daß lediglich Logevents einsammelt, aber unter dem falschen Kontext läuft. Da Kerberos genannt ist, könnte es auch auf ein Authentifizierungsproblem hinweisen. Prüf mal bitte die Sicherheitseinstellungen, ob dort LM oder NTLM oder Kerberos explizit gesetzt ist oder verweigert wird. Ansonsten könnte es auch eine noch laufende Session eines Users sein - aber um 5 Uhr.. hm.. da würde ich dann eher auf einen Dienstaccount tippen, der sein Paßwort nicht mehr hat. Prüf also auch die Dienste auf dem System mal auf gültige Accounts. Ist die genannte IP die des Servers selbst? Dann könnte es auch sein, daß es mit DNS zusammenhängt - in dem Fall mal mit nslookup die Auflösung auf FQDN prüfen. Sorry, daß ich es nicht genauer hinkriege aber es sind halt wenig Infos - more Input please ;o)= Grüße, Fritz Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.