26228
Nov 06, 2008, updated at Dec 17, 2008 (UTC)
10291
9
0
Unbekannter Benutzername bzw. unberechtigter Zugriffsversuch ?
Erfolgt hier ein unberechtigter Zugriff von aussen oder ist dies ein internes Problem?
Hallo zusammen, als Hobby-Admin in einem kleinen Unternehmen hab ich mal eine Frage zu nachstehender Meldung aus dem
täglichen Serverleistungsbericht:
Ereignis-ID: Security 529
Zeitpunkt: 05.11.2008 15:33
Häufigkeit: 1
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: inna
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: ZensiertSERVER
Aufruferbenutzername: ZensiertSERVER$
Aufruferdomäne: Zensiert-STUTTGART
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1992
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Die Meldung hab ich ca. 2 - 3 Mal die Woche mit jeweils 3-5 fehlgeschlagenen Zugriffsversuchen. Den Benutzernamen "inna" gibt es bei uns nicht. Auch ein Dienst der diesem Namen ähnlich ist oder damit
in Verbindung gebracht werden könnte ist mir nicht bekannt. Die Zugriffe erfolgen zu vollkommen willkürlichen Uhrzeiten und Wochentagen.
Als Server verwenden wir einen SBS 2003, auf dem Exchange läuft und der als DC fungiert. Externe IP-Adresse ist fest. Der Server ist über einen Router ans Internet angebunden.
Vielleicht kann mir jemand sagen, ob diese Zugriffe unberechtigt von aussen initiiert werden oder es doch ein "internes" Problem ist. Falls jemand weitere Informationen benötigt, bitte einfach
kurz melden.
Vielen Dank einstweilen.
täglichen Serverleistungsbericht:
Ereignis-ID: Security 529
Zeitpunkt: 05.11.2008 15:33
Häufigkeit: 1
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: inna
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: ZensiertSERVER
Aufruferbenutzername: ZensiertSERVER$
Aufruferdomäne: Zensiert-STUTTGART
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1992
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Die Meldung hab ich ca. 2 - 3 Mal die Woche mit jeweils 3-5 fehlgeschlagenen Zugriffsversuchen. Den Benutzernamen "inna" gibt es bei uns nicht. Auch ein Dienst der diesem Namen ähnlich ist oder damit
in Verbindung gebracht werden könnte ist mir nicht bekannt. Die Zugriffe erfolgen zu vollkommen willkürlichen Uhrzeiten und Wochentagen.
Als Server verwenden wir einen SBS 2003, auf dem Exchange läuft und der als DC fungiert. Externe IP-Adresse ist fest. Der Server ist über einen Router ans Internet angebunden.
Vielleicht kann mir jemand sagen, ob diese Zugriffe unberechtigt von aussen initiiert werden oder es doch ein "internes" Problem ist. Falls jemand weitere Informationen benötigt, bitte einfach
kurz melden.
Vielen Dank einstweilen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 101159
Url: https://administrator.de/contentid/101159
Printed on: April 23, 2024 at 09:04 o'clock
9 Comments
Latest comment
Kannst Du denn mit den zensierten "Anruferbenutzernamen" - "Anruferdomäne" - "Name der Arbeitsstation" was anfangen?
Das ist doch von Dir zensiert, oder steht das so im Protokoll?
Das deutet ja schonmal auf eine Einwahl von aussen hin und nicht über einen Router, bzw. LAN.
Gibts denn eine Einwahlmöglichkeit, evtl. Fernwartung, ISDN, whatever...
Einen Angriff würde ich zwar nicht ausschliessen, aber wenn, dann wäre "Administrator" der versuchte Benutzername. Domäne wurde ja auch keine angegeben.
Ausser natürlich, es läuft ein spezieller Dienst, der "inna" als Anmeldung akzeptieren würde. Backdoor, Trojaner... oder Remote Desktop-Anwendungen....
HTH
Jürgen
Das ist doch von Dir zensiert, oder steht das so im Protokoll?
Das deutet ja schonmal auf eine Einwahl von aussen hin und nicht über einen Router, bzw. LAN.
Gibts denn eine Einwahlmöglichkeit, evtl. Fernwartung, ISDN, whatever...
Einen Angriff würde ich zwar nicht ausschliessen, aber wenn, dann wäre "Administrator" der versuchte Benutzername. Domäne wurde ja auch keine angegeben.
Ausser natürlich, es läuft ein spezieller Dienst, der "inna" als Anmeldung akzeptieren würde. Backdoor, Trojaner... oder Remote Desktop-Anwendungen....
HTH
Jürgen
Hallo Jürgen,
das Wort "zensiert" habe ich eingefügt. Im Originaltext steht bei "Name der Arbeitsstation" der korrekte Name des unseres SBS2003-Servers, bei "Anruferbenutzername"
steht wiederum der Name unseres Servers gefolgt von $ (Ich denke mal, gemäß der Formel Maschinenname+$ = Anruferbenutzername) und bei der "Anruferdomäne"
unsere korrekte Domänenbezeichnung.
Ich hatte auch schon Angriffe von aussen die als solche leicht zu erkennen waren, da wurden Benutzernamen wie Administrator, Admin, Win-Admin usw. verwendet.
Aber bei der Geschichte werd ich nicht schlau. Backup, Virenscan, Defrag kann ich ausschließen, da die immer zur selben Zeit laufen, aber diese mutmasslichen Fremdzugriffe
ja zeitlich kein Schema haben.
Einwahlmöglichkeiten von aussen gibt es schon. Per ISDN reagiert aber nur das Faxprogramm, per Mobilfunk das SMS-Gateway und ansonsten wären nur
noch SMTP (25), HTTP (80), POP3 SSL (995), Remote Desktop (4125), HTTPS (443 u. 444) von aussen erreichbar.
Gruss Arno
das Wort "zensiert" habe ich eingefügt. Im Originaltext steht bei "Name der Arbeitsstation" der korrekte Name des unseres SBS2003-Servers, bei "Anruferbenutzername"
steht wiederum der Name unseres Servers gefolgt von $ (Ich denke mal, gemäß der Formel Maschinenname+$ = Anruferbenutzername) und bei der "Anruferdomäne"
unsere korrekte Domänenbezeichnung.
Ich hatte auch schon Angriffe von aussen die als solche leicht zu erkennen waren, da wurden Benutzernamen wie Administrator, Admin, Win-Admin usw. verwendet.
Aber bei der Geschichte werd ich nicht schlau. Backup, Virenscan, Defrag kann ich ausschließen, da die immer zur selben Zeit laufen, aber diese mutmasslichen Fremdzugriffe
ja zeitlich kein Schema haben.
Einwahlmöglichkeiten von aussen gibt es schon. Per ISDN reagiert aber nur das Faxprogramm, per Mobilfunk das SMS-Gateway und ansonsten wären nur
noch SMTP (25), HTTP (80), POP3 SSL (995), Remote Desktop (4125), HTTPS (443 u. 444) von aussen erreichbar.
Gruss Arno
Wie schon gesagt die "Anrufer-"-Sachen hast Du bei einer normalen Anmeldung aus dem Netz nicht. Schau doch zur Kontrolle mal die korrekten Anmeldevorgänge im Log an und schau ob da was bei Anrufer steht.. normal nicht.
RAS aktiviert?
J.
RAS aktiviert?
J.
Uhps, oder wohl doch ein Angriff....
schau Dir das mal an - sieht ganz nach Deinem Problem aus.... da ist auch der Hinweis auf Filterung im Protokoll wie Du auf die Herkunft kommen kannst.
http://www.meinews.net/sbs2k3-t139941.html?s=a8eadccf1602511016fd720aa2 ...;
HTH
schau Dir das mal an - sieht ganz nach Deinem Problem aus.... da ist auch der Hinweis auf Filterung im Protokoll wie Du auf die Herkunft kommen kannst.
http://www.meinews.net/sbs2k3-t139941.html?s=a8eadccf1602511016fd720aa2 ...;
HTH
Hallo Jürgen,
danke für den Link. Ja, das sieht mir ganz nach solch einer Geschichte aus. Da stellen sich mir natürlich gleich ein paar Fragen:
1. Komme ich auch ohne den Einsatz von ISA an nähere Informationen wie IP des "Angreifers" etc. ?
2. Wie finde ich heraus, auf welchen Service hier ein Zugriffsversuch erfolgte ?
3. Wie gehe ich vor, um mir diese Infos aus dem Server "rauszufiltern"
Wie eingangs erwähnt bin ich auf dem Gebiet nur als "Hobby-Admin" tätig, da unsere kleine Firma nicht über eine eigene IT-Abteilung verfügt
und auch keinen externen Dienstleister dafür hat. Was ich weiß, hab ich mir im Laufe der Jahre selbst angeeignet.
Gruss Arno
danke für den Link. Ja, das sieht mir ganz nach solch einer Geschichte aus. Da stellen sich mir natürlich gleich ein paar Fragen:
1. Komme ich auch ohne den Einsatz von ISA an nähere Informationen wie IP des "Angreifers" etc. ?
2. Wie finde ich heraus, auf welchen Service hier ein Zugriffsversuch erfolgte ?
3. Wie gehe ich vor, um mir diese Infos aus dem Server "rauszufiltern"
Wie eingangs erwähnt bin ich auf dem Gebiet nur als "Hobby-Admin" tätig, da unsere kleine Firma nicht über eine eigene IT-Abteilung verfügt
und auch keinen externen Dienstleister dafür hat. Was ich weiß, hab ich mir im Laufe der Jahre selbst angeeignet.
Gruss Arno
Ich fürchte, da kann ich Dir im Moment auch nicht groß weiterhelfen. Wie die "Anrufer--"Kennungen eingetragen werden, entzieht sich meiner Kenntnis und ist auch in meinen Logs noch nie aufgetaucht (wir haben auch keine externe Einwahlmöglichkeit).
Wenn sich hier keiner findet, der Dir weiterhelfen kann, wirst Du Dich erstmal einlesen müssen...
Ich würde jetzt erstmal herausfinden wollen, wie es generell dazu kommt, daß Einträge unter "Anrufer..." gemacht werden. Sofern das nicht wirklich weiterhilft, kannst Du versuchen ein Muster der Zugriffszeiten herauszufinden und zu den Zeiten einen Netzwerksniffer mitlaufen lassen, der den Traffic protokolliert.
Alternativ würde ich das komplette Netz weiterhin auf Viren und Trojaner/Backdoors prüfen. Falls Firewall vorhanden, dort die Logs und Einstellungen prüfen ob es zeitliche oder andere Zusammenhänge gibt. Bei Einwahlverbindungen diese Logs ebenso prüfen falls vorhanden.
usw...
Bitte verbessert mich jemand, wenn ich daneben liege....
HTH
Jürgen
Wenn sich hier keiner findet, der Dir weiterhelfen kann, wirst Du Dich erstmal einlesen müssen...
Ich würde jetzt erstmal herausfinden wollen, wie es generell dazu kommt, daß Einträge unter "Anrufer..." gemacht werden. Sofern das nicht wirklich weiterhilft, kannst Du versuchen ein Muster der Zugriffszeiten herauszufinden und zu den Zeiten einen Netzwerksniffer mitlaufen lassen, der den Traffic protokolliert.
Alternativ würde ich das komplette Netz weiterhin auf Viren und Trojaner/Backdoors prüfen. Falls Firewall vorhanden, dort die Logs und Einstellungen prüfen ob es zeitliche oder andere Zusammenhänge gibt. Bei Einwahlverbindungen diese Logs ebenso prüfen falls vorhanden.
usw...
Bitte verbessert mich jemand, wenn ich daneben liege....
HTH
Jürgen
Ich habe bei mehreren Kunden regelmäßig Anmeldeversuche von "Inna", da es den User natürlich nicht gibt und die Versuche weit unter einer "gefährlichen" Wiederholungsanzahl liegen, habe ich da noch nie drauf reagiert. Hatte erst lokale Fehlversuche vermutet und nachdem es auch bei anderen Kunden auftrat wohl richtig vermutet, dass ich nicht allein mit dem "neuen" Benutzer bin.
Gruß Uwe
Gruß Uwe
Ich habe die Anmeldeversuche von "Inna" fast täglich, aber es sind immer nur 3 - 4 Versuche pro Tag. Testweise hatte ich auch mal eingehend alles ausser smtp und pop3-ssl geblockt, aber "Inna" wollte trotzdem rein. Wie kann ich eigentlich beim SBS 2003 solche Versuche unterbinden? Gibts da ne Regel die z.B. lautet: wenn Benutzername "Inna" sich 1 x erfolglos anmeldet, sperre Benutzername für 24 Std. ? Oder funktioniert das nur bei existierenden Benutzern ?
Solange man Ports zum Internet geöffnet hat sollte man die Kennwortrichtlinien aktiviert haben mit regelmäßigem Passwortwechsel. Benutzer mit Fehlversuchen wird in der Standarteinstellung eh nach einer gewissen Anzahl eine zeitgesteuerte Sperre vorgschoben. Einen Benutzernamen sperren, den es nicht gibt macht wohl wenig Sinn, da es ihn nicht gibt kann er auch keinen Zugriff bekommen.
Ich hab mir darum bis jetzt noch keinen großen Kopf gemacht.
Ich hab mir darum bis jetzt noch keinen großen Kopf gemacht.
