Hackangriff auf SBS-Domäne?

[PatrickKByte 12]

Ich bekam heute in meinem Serverleistungsbericht eine nette Mitteilung:

 

Quelle: Security, Ereigniskennung 529, Letztes Vorkommen: heute um 6.55, Vorkommnisse gesamt: 4.566

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: Administrator

Domäne: [meinDomainName]

Anmeldetyp: 8

Anmeldevorgang: IIS

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Name der Arbeitsstation: [meinSBS]

Aufruferbenutzername: [meinSBS]$

Aufruferdomäne: [meinDomainName]

Aufruferanmeldekennung: (0x0,0x3E7)

Aufruferprozesskennung: 1320

Übertragene Dienste: -

Quellnetzwerkadresse: -

Quellport: -

 

 

Für mich sieht das nach nem Angriff aus... Wie kann ich herausbekommen, ob er reinkam bzw. was gefunden hat?

[Leachim 10]

Sofern die Überwachung auf dem Server aktiv ist, kannst Du in der Ereignisanzeige nachschaun, ob vor der Regelarbeitszeit eine erfolgreiche Anmeldung mit dem Benutzerkonto des Administrators erfolgt ist.

[zahni 521]

Hängt er Server mit seinem IIS im Internet ?

 

Schecke mal die WWW-Logs.

 

-Zahni

[Leachim 10]

Hängt er Server mit seinem IIS im Internet ?

 

Schecke mal die WWW-Logs.

 

-Zahni

 

Hi Zahni,

 

wie finde ich Hinweise in den WWW-Logs, ob eine erfolgreiche Anmeldung stattgefunden hat?

[zahni 521]

Je nach Einstellung des Logs steht dort der Benutzername drin. Ansonsten sollten sich eigentlich die 40x-Fehler finden lassen.

 

-Zahni

[PatrickKByte 12]

Danke für eure Beiträge, er kam NICHT rein.

Dummerweise waren kürzlich wieder einige Versuche im Protokoll.

 

Wir kriege ich den Administrator-Zugang dicht? Ich MUSS von außen nicht an den Server ran, um ihn zu administrieren. So lange der OWA / Exchange / IIS im Netz für die Mitarbeiter bzw. IIS+FTP für einige Kunden verfügbar ist, kann der Administrator unter Ausschluss der Öffentlichkeit laufen.

 

Gibts n Tut, mit dem ich den Administrator-Dingens von außen dicht mache? Ich will KEINE Anmeldung mehr per IIS am Server selbst zulassen...

[zahni 521]

1. Schritt wäre den Administrator umzubennen in irgendwas Schräges. Dann einen "Dummy-Administrator" zum Loggen erstellen.

 

Du Kannst auch in den Einstellungen der Website den Zugriff auf "anonym" beschränken.

 

-Zahni

[PatrickKByte 12]

1. Schritt wäre den Administrator umzubennen in irgendwas Schräges. Dann einen "Dummy-Administrator" zum Loggen erstellen.

 

Du Kannst auch in den Einstellungen der Website den Zugriff auf "anonym" beschränken.

 

-Zahni

 

 

D.h. ich gehe echt in das AD und nenne meinen Domänen-Administrator um!? Riskier ich dabei sonst noch etwas, oder geht das einfach stressfrei?

 

Den Dummy-Administrator lege ich dann als Benutzer mit eingeschänkten Rechten an, der dann garnichts darf, oder wie?

Ich würde den jetzt als neuen (Domänen?)Benutzer anlegen und dem sämtliche Lese- und Schreibrechte verbieten.

 

Das mit dem "anonym" wäre interessant. Wie siehts dann mit dem OWA aus? Die User sind ja nicht "anonym". klappt das dann trotzdem noch?

 

Vielen Dank für deinen Tipp!

[ChristianHemker 10]

Hier findest du was über das Umbenennen des Administrators:

http://www.microsoft.com/germany/technet/datenbank/articles/900123.mspx#EVH

 

Dann einfach einen normalen Domänenbenutzer mit Benutzernamen Administrator anlegen. Extra verbieten musst du dem nichts, es reicht wenn er in keiner Gruppe drin ist, dann darf er ja schon fast nichts.

[zahni 521]

Wenn sich ein User an irgendwas anmelden muß, geht es natürlich nicht. Ist doch logisch, oder ? Sorry, OWA kenne ich weiter nicht. Wir dürfen Notes benutzen ;)

 

-Zahni

[PatrickKByte 12]

Dann einen "Dummy-Administrator" zum Loggen erstellen.

Ich danke dir vielmals für den Tipp.

Kannst du mir sagen, was alles im Administrator-Konto geloggt wird, was ich nicht auch mit meinem "echten" umbenannten ADmin nicht kann?

[ChristianHemker 10]

Es geht wohl vielmer darum, dass jemadn von Außen einen Eindringversuch zuerst auf den Account mit dem Benutzernamen "Administrator" versuchen wird. Ist dieser bei dir nicht vorhanden kannst du diese Versuche erstens nicht mitloggen, zweitens merkt der Angreifer dieses evtl. und konzentriert seine Versuche nicht mehr auf den Dummy Account.

[PatrickKByte 12]

Okay. Soweit, so gut.

 

Mein neuer "echter" ADmin hat jetzt nur ein kleines Problem mit McAfees Protection Pilot. Ich werde den MIst nochmal rückgängig machen müssen, um den Protection Pilot zu deinstellieren udn dann unter meinem echten erneut zu installieren.

 

Es ist NICHT möglich, das Teil über den anderen, echten Admin zu verwalten.

 

Ich sehe jetzt im Ereignisprotokoll viele Loginprobleme über den IIS vom Server selbst (Ereigniskennung 539), und das hat sogar schon meinen Dummy-Administrator gesperrt... tsts.

[zahni 521]

Schau Dir mal die Dienste an. Dort kannst Du ein anderes Konto zu Anmeldung einstellen.

 

-Zahni

[PatrickKByte 12]

Hab ich gemacht. Aber der Protection Pilot hat daran kein Interesse und stoppt den Dienst wieder... Ich werds mit Gewalt probieren.