2
Event-ID 529 in Security Log
Wer versucht sich da anzumelden?
Hallo Leute,
habe auf einem DC (Win2k3, SP2) im Security-Eventlog Meldungen unter der Kategorie An-/Abmeldung folgende Meldungen gefunden, bei denen mir die Quellnetzwerkadresse Sorgen macht:
Die Meldungen gibt es manchmal alle 20 Sekunden, immer die gleiche QuellIP (LPuteaux-151-43-1-132.w217-128.abo.wanadoo.fr). Es gab davor noch eine andere QuellIP: 121.223.224.105 (cpe-121-223-224-105.static.vic.bigpond.net.au
Könnte das ein Trojaner sein?? Der Server hängt hinter eine (ordentlichen) Firewall, wird aber auch als Dateiablageserver genutzt. Drauf läuft ESET-NOD32, wie auch auf allen Clientrechnern.
Kennt jemand diese Situation?
vG Lars
habe auf einem DC (Win2k3, SP2) im Security-Eventlog Meldungen unter der Kategorie An-/Abmeldung folgende Meldungen gefunden, bei denen mir die Quellnetzwerkadresse Sorgen macht:
Ereignistyp: Fehlerüberw.Ereignisquelle: SecurityEreigniskategorie: An-/Abmeldung Ereigniskennung: 529Datum: 02.09.2009Zeit: 21:31:22Benutzer: NT-AUTORITÄT\SYSTEMComputer: SV01Beschreibung:Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Administrator Domäne: XX Anmeldetyp: 10 Anmeldevorgang: User32 Authentifizierungspaket: Negotiate Name der Arbeitsstation: SV01 Aufruferbenutzername: SV01$ Aufruferdomäne: ET Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 5952 Übertragene Dienste: - Quellnetzwerkadresse: 217.128.240.132 Quellport: 2031Die Meldungen gibt es manchmal alle 20 Sekunden, immer die gleiche QuellIP (LPuteaux-151-43-1-132.w217-128.abo.wanadoo.fr). Es gab davor noch eine andere QuellIP: 121.223.224.105 (cpe-121-223-224-105.static.vic.bigpond.net.au
Könnte das ein Trojaner sein?? Der Server hängt hinter eine (ordentlichen) Firewall, wird aber auch als Dateiablageserver genutzt. Drauf läuft ESET-NOD32, wie auch auf allen Clientrechnern.
Kennt jemand diese Situation?
vG Lars
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 124864
Url: https://administrator.de/contentid/124864
Printed on: April 19, 2024 at 12:04 o'clock
2 Comments
Latest comment
Anmeldetyp 10: Terminaldienste oder Remotedesktop
Alle 20 Sekunden? Da versucht einer/etwas in Dein System zu kommen....
Wenn Du eine "ordentliche" Firewall hast, würd ich als erstes mal die IP sperren und den Account "Administrator " sperren, falls überhaupt vorhanden.
Ansonsten.... weiterhin überprüfen, absichern, evtl. abuse an den Provider...
http://www.microsoft.com/germany/technet/datenbank/articles/900374.mspx ...
Gruß
Alle 20 Sekunden? Da versucht einer/etwas in Dein System zu kommen....
Wenn Du eine "ordentliche" Firewall hast, würd ich als erstes mal die IP sperren und den Account "Administrator " sperren, falls überhaupt vorhanden.
Ansonsten.... weiterhin überprüfen, absichern, evtl. abuse an den Provider...
http://www.microsoft.com/germany/technet/datenbank/articles/900374.mspx ...
Gruß
Hallo Driver401,
der Hinweis auf Anmeldetyp 10 == RDP war's!
In der Firewall war genau der Port von WAN nach LAN offen (es gab vor kurzem die Notwendigkeit dazu). Es wurde dann aber vergessen...
Hinweis auf Umbenennen des Administrators ist auch gut.
Ich denke mal, das war's.
Bis zum nächsten Problemchen...
vG. Lars
der Hinweis auf Anmeldetyp 10 == RDP war's!
In der Firewall war genau der Port von WAN nach LAN offen (es gab vor kurzem die Notwendigkeit dazu). Es wurde dann aber vergessen...
Hinweis auf Umbenennen des Administrators ist auch gut.
Ich denke mal, das war's.
Bis zum nächsten Problemchen...
vG. Lars
