57263
Goto Top

SBS2003 mit IIS, Eindringversuch von außen?

Seit einiger Zeit, früher gar nicht, werden im Serverleistungsbericht an manchen Tagen mehrere tausend Login-Versuche protokolliert, vor allem, wenn es bei uns Nacht oder früher Morgen ist. Ich habe mehrere Anfragen mit diesem Thema gefunden, aber keine Lösung.

Folgende Meldung erscheint im Serverleistungsbericht (1-2 pro Sekunde im Ereignisprotokoll, 2 1/2 Stunden lang von 6:00 bis 8:30 Uhr), 3.655mal:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 8
Anmeldevorgang: IIS
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1872
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

an einem anderen Tag abends 113mal:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 9552
Übertragene Dienste: -
Quellnetzwerkadresse: 222.92.69.108
Quellport: 4415

Manchmal sind auch Quellports und IP-Adressen aufgeführt, wie im unteren Beispiel, die aber nicht ereichbar sind oder auch ein Login erfordern. Sind das Angriffe aus dem Internet? Es ist ja nur ein Frage der Dauer des Probierens, bis jemand eindringen kann. Wie kann man das sicher machen? Oder ist das ein interner (IIS-) Prozess, der ein falsches/abgelaufenes Passwort benutzt?

Christian Tietje, Dipl.-Ing. (FH) Gießen 1983

Content-Key: 168014

Url: https://administrator.de/contentid/168014

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: brammer
brammer 15.06.2011 um 08:46:20 Uhr
Goto Top
Hallo,

hast du die Quelladresse in deinem Zweiten Beispiel mal überprüft?
Die weisst auf eine Chinesische Firma im Chemie Sektor hin.

Entweder ein versuchter Login eines Kunden/Lieferant oder ein versuchter Angriff, eventuell über ein BotRechner.

brammer
Mitglied: Hubert.N
Hubert.N 15.06.2011 um 09:07:39 Uhr
Goto Top
Moin

Was du dich mal fragen solltest ist:

- welche Dienste bietet dein SBS-Server extern an ? Im letzteren Fall bedeutet eine Anmeldetyp 10 erst einmal, dass eine RDP-Verbindung aufgebaut werden sollte. vgl dazu Technet: Anmeldeereignisse überwachen. Frag dich also, welche Dienste du wirklich aus dem Internet heraus benötigst und welche nicht. Je weniger Dienste du anbietest, umso weniger Angriffsfläche bietet der Server.

- Wenn du feststellst, dass jemand versucht die Anmeldung des Administrators zu knacken, dann solltest du natürlich 1. auf ein richtig gutes Kennwort achten, welches nicht mit einer Brutforce-Attacke zu knacken ist. und 2. lässt sich der Administrator in einer Domäne umbenennen. Wenn es keinen Administrator mehr gibt, dann laufen Angriffe unter Verwendung dieses Benutzernamens schon mal im Ansatz ins Leere...

Wnn du schon Dienste im Internet zur Verfügung stellst, dann solltest du gerade dann grundsätzlich für alle Benutzerkonten sichere Kennwörter verlangen.

Gruß

Hubert
Mitglied: 57263
57263 15.06.2011 um 09:21:53 Uhr
Goto Top
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108
2. Die Dienste werden tatsächlich benötigt: RDP über Internet/IIS, Outlook über Internet; könnte aber auch über VPN geschehen, wenn RDP oder Exchange über IIS zu unsicher sind.
3. Administrator umbenennen war auch mein erster Gedanke. Das ist wohl ein sozusagen eingebauter und somit sehr wahrscheinlich vorhandener User auf fast jedem Server.
4. Sichere Passwörter haben wir aus Zahlen, Buchstaben und Sonderzeichen mit mindestens 10 Zeichen Länge. Die Frage ist nur, ob man auch die nicht irgendwann knacken kann. Dann wäre eine solche Möglichkeit, sich von außen über Web einloggen zu können schon schlecht geplant und sollte abgeschaltet werden. Wenn das nötig ist, dann machen wir das.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.06.2011 um 10:44:29 Uhr
Goto Top
Zitat von @57263:
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108

mstsc /v:222.92.69.108 fördert zutage, daß es ein chinesischer Windows Enterprise-Server ist. Vermutlich gehackt. Sorge schleunigst dafür, daß nur Dienste nach außen sichtbar sind, die auch wirklich notwendig sind. Außerdem gehören Systeme, die Dienste nach außen anbieten in eine NZ/DMZ, die vom LAN abgeschottet ist.

Schränke ggf. den Zugriff auf die Dienste in Deiner Firewall auf "deutsche" IP-netze ein.
Mitglied: 57263
57263 28.06.2011 um 21:37:31 Uhr
Goto Top
habe Port 3389 geschlossen und greife nur noch über vpn zu