Jump to content

Hacker/Brute Forcer


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi.

 

Hab mir grade unser Ereignisprotokoll - Sicherheit angeschaut...

 

Ereignistyp: Fehlerüberw.

Ereignisquelle: Security

Ereigniskategorie: An-/Abmeldung

Ereigniskennung: 529

Datum: 29.03.2004

Zeit: 10:07:49

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: SERVER

Beschreibung:

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername:

Domäne:

Anmeldetyp: 3

Anmeldevorgang: Kerberos

Authentifizierungspaket: Kerberos

Name der Arbeitsstation: -

Aufruferbenutzername: -

Aufruferdomäne: -

Aufruferanmeldekennung: -

Aufruferprozesskennung: -

Übertragene Dienste: -

Quellnetzwerkadresse: 192.168.x.x Quellport: 0

 

 

... diese Fehlermeldung wird 17x die sekunde angezeigt, die Computer bei uns sind nachts ausgeschaltet (zumindest normalerweise). Die Uhrzeit hier ist zwar von 10 Uhr, es fing aber um 5 Uhr in der früh an...

 

Wäre es möglich, das das ein BruteForce Angriff war ? Weiß jetzt ehrlich gesagt nicht, ob ich mir jetzt ernsthaft sorgen machen muss, oder nicht...

 

MaxXx

Link zu diesem Kommentar

nein, nur sharepointservice läuft.

wir greifen zwar von ausserhalb auf unseren server zu, aber nicht zu diesen unmenschlichen zeiten. ausserdem müsste er bzw. hat er sich dann authentifiziert und kommt ja dann ins system rein.

auch wenn sich jemand von aussen einwählt, falls er doch mal seinen benutzernamen oder passwort falsch eingibt, kann er das denke ich mal nicht 17x die sekunde machen...

Link zu diesem Kommentar

Hallo,

 

zuwenig Info, um das genau zu bestimmen. Schau mal auf:

 

http://www.eventid.net/display.asp?eventid=529&eventno=1&source=Security&phase=1

 

oder

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q239869

 

Die Ursache könnte zB Eventcomb oder ein Script sein, daß lediglich Logevents einsammelt, aber unter dem falschen Kontext läuft. Da Kerberos genannt ist, könnte es auch auf ein Authentifizierungsproblem hinweisen. Prüf mal bitte die Sicherheitseinstellungen, ob dort LM oder NTLM oder Kerberos explizit gesetzt ist oder verweigert wird. Ansonsten könnte es auch eine noch laufende Session eines Users sein - aber um 5 Uhr.. hm.. da würde ich dann eher auf einen Dienstaccount tippen, der sein Paßwort nicht mehr hat. Prüf also auch die Dienste auf dem System mal auf gültige Accounts. Ist die genannte IP die des Servers selbst?

Dann könnte es auch sein, daß es mit DNS zusammenhängt - in dem Fall mal mit nslookup die Auflösung auf FQDN prüfen. Sorry, daß ich es nicht genauer hinkriege aber es sind halt wenig Infos - more Input please ;o)=

 

Grüße,

Fritz

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...