12
SBS 2008 - Bruteforce auf Exchange - Empfangsconnector Windows SBS Internet Receive
Hallo Zusammen,
ich habe hier einen SBS 2008, der schon seit vorgestern andauernd mit Bruteforce Attacken zu kämpfen hat. Mittlerweile sind es über 3000 Angriffe.
System:
- SBS 2008 SP2, Exchange 2007 mit SP3 RU4
- Internet via ADSL mit statischer IP.
- MX beim Provider, (mail.domäne.tld).
- Mail Versand/Empfang via SMTP.
- Router - Draytek Vigor 2820n -> Portforwarding: 443, 25, 1723, GRE (sonst nix).
Im Eventlog werden dann jede Menge 4625er Protokolliert:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NETZWERKDIENST
Kontoname: SERVERNAME$
Kontodomäne: DOMAENE
Anmelde-ID: 0x3e4
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: root <- wechselt sporadisch.
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064
Prozessinformationen:
Aufrufprozess-ID: 0xbb4
Aufrufprozessname: C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe
Netzwerkinformationen:
Arbeitsstationsname: SERVERNAME
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Unter Anwendungen wird dann noch die EventID: 1035 mit folgendem Inhalt protokolliert:
Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector Windows SBS Internet Receive SERVERNAME. Der Authentifizierungsmechanismus ist Login. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [70.88.83.61].
Die IP-Adresse des Angreifers kommt aus den USA. Der Hostname wird als "70-88-83-61-BusName-knoxville.tn-hfc.comcastbusiness.net" aufgelöst.
Im SMTP-Receive Logfile werden dann folgende Daten, (welche sich ständig wiederholen), ausgegeben. Die Einzigen Einträge, die sich ändern sind die hinter "EHLO" und die Portnummer hinter der 70er IP-Adresse:
#Software: Microsoft Exchange Server
#Version: 8.0.0.0
#Log-type: SMTP Receive Protocol Log
#Date: 2011-08-07T18:24:26.086Z
#Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,0,192.168.2.2:25,70.88.83.61:12438,+,,
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,1,192.168.2.2:25,70.88.83.61:12438,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,2,192.168.2.2:25,70.88.83.61:12438,>,"220 mail.domaene.tld Microsoft ESMTP MAIL Service ready at Sun, 7 Aug 2011 20:24:25 +0200",
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,3,192.168.2.2:25,70.88.83.61:12438,<,EHLO yfxnoo.com, <- ändert sich jedes mal!
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,4,192.168.2.2:25,70.88.83.61:12438,>,250-mail.domaene.tld Hello [70.88.83.61],
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,5,192.168.2.2:25,70.88.83.61:12438,>,250-SIZE 52428800,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,6,192.168.2.2:25,70.88.83.61:12438,>,250-PIPELINING,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,7,192.168.2.2:25,70.88.83.61:12438,>,250-DSN,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,8,192.168.2.2:25,70.88.83.61:12438,>,250-ENHANCEDSTATUSCODES,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,9,192.168.2.2:25,70.88.83.61:12438,>,250-AUTH LOGIN,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,10,192.168.2.2:25,70.88.83.61:12438,>,250-8BITMIME,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,11,192.168.2.2:25,70.88.83.61:12438,>,250-BINARYMIME,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,12,192.168.2.2:25,70.88.83.61:12438,>,250 CHUNKING,
2011-08-07T18:24:26.539Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,13,192.168.2.2:25,70.88.83.61:12438,<,AUTH LOGIN,
2011-08-07T18:24:26.539Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,14,192.168.2.2:25,70.88.83.61:12438,>,334 <authentication response>,
2011-08-07T18:24:26.741Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,15,192.168.2.2:25,70.88.83.61:12438,>,334 <authentication response>,
2011-08-07T18:24:26.944Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,16,192.168.2.2:25,70.88.83.61:12438,*,,Inbound AUTH LOGIN failed because of LogonDenied
2011-08-07T18:24:31.952Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,17,192.168.2.2:25,70.88.83.61:12438,>,535 5.7.3 Authentication unsuccessful,
2011-08-07T18:24:33.137Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,18,192.168.2.2:25,70.88.83.61:12438,<,RSET,
2011-08-07T18:24:38.145Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,19,192.168.2.2:25,70.88.83.61:12438,>,250 2.0.0 Resetting,
Nun mache ich mir wegen den Passwörtern keine Sorgen, da diese bewußt sehr sorgfältig erstellt wurden. Trotzdem ist mir das nicht ganz geheuer.
Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.
Hat denn hier sonst noch wer diese Art von Angriffen erlebt? Nach der Suche bei Google habe ich zwar auch den ein oder Anderen mit Bruteforce Angriffen auf SBS Servern gefunden, allerdings nicht über den Exchange-Connector.
Gruß,
Neo2k
ich habe hier einen SBS 2008, der schon seit vorgestern andauernd mit Bruteforce Attacken zu kämpfen hat. Mittlerweile sind es über 3000 Angriffe.
System:
- SBS 2008 SP2, Exchange 2007 mit SP3 RU4
- Internet via ADSL mit statischer IP.
- MX beim Provider, (mail.domäne.tld).
- Mail Versand/Empfang via SMTP.
- Router - Draytek Vigor 2820n -> Portforwarding: 443, 25, 1723, GRE (sonst nix).
Im Eventlog werden dann jede Menge 4625er Protokolliert:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NETZWERKDIENST
Kontoname: SERVERNAME$
Kontodomäne: DOMAENE
Anmelde-ID: 0x3e4
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: root <- wechselt sporadisch.
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064
Prozessinformationen:
Aufrufprozess-ID: 0xbb4
Aufrufprozessname: C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe
Netzwerkinformationen:
Arbeitsstationsname: SERVERNAME
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Unter Anwendungen wird dann noch die EventID: 1035 mit folgendem Inhalt protokolliert:
Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector Windows SBS Internet Receive SERVERNAME. Der Authentifizierungsmechanismus ist Login. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [70.88.83.61].
Die IP-Adresse des Angreifers kommt aus den USA. Der Hostname wird als "70-88-83-61-BusName-knoxville.tn-hfc.comcastbusiness.net" aufgelöst.
Im SMTP-Receive Logfile werden dann folgende Daten, (welche sich ständig wiederholen), ausgegeben. Die Einzigen Einträge, die sich ändern sind die hinter "EHLO" und die Portnummer hinter der 70er IP-Adresse:
#Software: Microsoft Exchange Server
#Version: 8.0.0.0
#Log-type: SMTP Receive Protocol Log
#Date: 2011-08-07T18:24:26.086Z
#Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,0,192.168.2.2:25,70.88.83.61:12438,+,,
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,1,192.168.2.2:25,70.88.83.61:12438,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,2,192.168.2.2:25,70.88.83.61:12438,>,"220 mail.domaene.tld Microsoft ESMTP MAIL Service ready at Sun, 7 Aug 2011 20:24:25 +0200",
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,3,192.168.2.2:25,70.88.83.61:12438,<,EHLO yfxnoo.com, <- ändert sich jedes mal!
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,4,192.168.2.2:25,70.88.83.61:12438,>,250-mail.domaene.tld Hello [70.88.83.61],
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,5,192.168.2.2:25,70.88.83.61:12438,>,250-SIZE 52428800,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,6,192.168.2.2:25,70.88.83.61:12438,>,250-PIPELINING,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,7,192.168.2.2:25,70.88.83.61:12438,>,250-DSN,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,8,192.168.2.2:25,70.88.83.61:12438,>,250-ENHANCEDSTATUSCODES,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,9,192.168.2.2:25,70.88.83.61:12438,>,250-AUTH LOGIN,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,10,192.168.2.2:25,70.88.83.61:12438,>,250-8BITMIME,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,11,192.168.2.2:25,70.88.83.61:12438,>,250-BINARYMIME,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,12,192.168.2.2:25,70.88.83.61:12438,>,250 CHUNKING,
2011-08-07T18:24:26.539Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,13,192.168.2.2:25,70.88.83.61:12438,<,AUTH LOGIN,
2011-08-07T18:24:26.539Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,14,192.168.2.2:25,70.88.83.61:12438,>,334 <authentication response>,
2011-08-07T18:24:26.741Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,15,192.168.2.2:25,70.88.83.61:12438,>,334 <authentication response>,
2011-08-07T18:24:26.944Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,16,192.168.2.2:25,70.88.83.61:12438,*,,Inbound AUTH LOGIN failed because of LogonDenied
2011-08-07T18:24:31.952Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,17,192.168.2.2:25,70.88.83.61:12438,>,535 5.7.3 Authentication unsuccessful,
2011-08-07T18:24:33.137Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,18,192.168.2.2:25,70.88.83.61:12438,<,RSET,
2011-08-07T18:24:38.145Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,19,192.168.2.2:25,70.88.83.61:12438,>,250 2.0.0 Resetting,
Nun mache ich mir wegen den Passwörtern keine Sorgen, da diese bewußt sehr sorgfältig erstellt wurden. Trotzdem ist mir das nicht ganz geheuer.
Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.
Hat denn hier sonst noch wer diese Art von Angriffen erlebt? Nach der Suche bei Google habe ich zwar auch den ein oder Anderen mit Bruteforce Angriffen auf SBS Servern gefunden, allerdings nicht über den Exchange-Connector.
Gruß,
Neo2k
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171066
Url: https://administrator.de/contentid/171066
Printed on: April 26, 2024 at 05:04 o'clock
12 Comments
Latest comment
HI.
Wenn es immer die gleiche IP Adresse ist, warum erstellst du nicht eine Firewall Regel?
LG Günther
Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.
Wenn es immer die gleiche IP Adresse ist, warum erstellst du nicht eine Firewall Regel?
LG Günther
Zitat von @GuentherH:
HI.
> Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.
Wenn es immer die gleiche IP Adresse ist, warum erstellst du nicht eine Firewall Regel?
Gute Frage... am besten gleich im Vigor, meiner Meinung nach...HI.
> Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.
Wenn es immer die gleiche IP Adresse ist, warum erstellst du nicht eine Firewall Regel?
Gruß Daniel
Hallo,
oder einen SMTP Proxy, z.B. von einem Anti-Spam-Anbieter davorstellen und SMTP Verbindungen nur von dessen IPs akzeptieren.
Stefan
oder einen SMTP Proxy, z.B. von einem Anti-Spam-Anbieter davorstellen und SMTP Verbindungen nur von dessen IPs akzeptieren.
Stefan
Hallo Ihr Zwei,
jo, das könnte ich natürlich machen. Aber mich würde natürlich interessieren, wo die Ursache liegt. Ich hab nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben.
Gruß,
Neo2k
jo, das könnte ich natürlich machen. Aber mich würde natürlich interessieren, wo die Ursache liegt. Ich hab nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben.
Gruß,
Neo2k
nichts hält Dich davon ab 
Ich mache die normalerweise zu und öffne Sie nur nach Bedarf, geht natürlich bei SMTP nicht.
Gruß Daniel
Aber mich würde natürlich interessieren, wo die Ursache liegt. Ich hab
nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben.
Script Kiddies, Spammer... ich habe das ständig auf FTP Ports auf Webservern.nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben.
Ich mache die normalerweise zu und öffne Sie nur nach Bedarf, geht natürlich bei SMTP nicht.
Gruß Daniel
Und Spamversender,
ich habe das regelmäßig mit IP-Adressen vom afrikanischem Kontinent.
Stefan
ich habe das regelmäßig mit IP-Adressen vom afrikanischem Kontinent.
Stefan
Ja, ich hab das Gefühl, dass das immer schlimmer wird.
Hab mich gerade mal kurz umgeschaut. Kennt ihr ASSP? Der ist kostenlos und scheint sehr gut zu sein.
http://www.antispam.de/forum/showthread.php?13894-ASSP-Anti-Spam-SMTP-P ...
Hab mich gerade mal kurz umgeschaut. Kennt ihr ASSP? Der ist kostenlos und scheint sehr gut zu sein.
http://www.antispam.de/forum/showthread.php?13894-ASSP-Anti-Spam-SMTP-P ...
Hi.
Na, die Ursache hast du doch im LogFile
Was willst du für Einträge finden. Dein Fall hat nichts mit dem Produkt zu tun. Öffne einmal testweise den Port 3389 für 1-2 Stunden und du wirst sehen wie schnell sich deine LogFiles füllen
Wenn du dich gegen derartige Attacken "automatisch" absichern willst, dann wurden dir ja schon Empfehlungen gegeben. z.B. ist auch XWALL von http://www.dataenter.at eine derartiges Produkt das diese Art von Attacken abfangen kann (Stichwort Teergrube oder tarpiting).
LG Günther
Aber mich würde natürlich interessieren, wo die Ursache liegt
Na, die Ursache hast du doch im LogFile
Ich hab nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben
Was willst du für Einträge finden. Dein Fall hat nichts mit dem Produkt zu tun. Öffne einmal testweise den Port 3389 für 1-2 Stunden und du wirst sehen wie schnell sich deine LogFiles füllen
Wenn du dich gegen derartige Attacken "automatisch" absichern willst, dann wurden dir ja schon Empfehlungen gegeben. z.B. ist auch XWALL von http://www.dataenter.at eine derartiges Produkt das diese Art von Attacken abfangen kann (Stichwort Teergrube oder tarpiting).
LG Günther
Jo, Günther, Direktanbindung mit RDP kann man ja schon länger vergessen.
Ok, dann werde ich da mal tätig werden müßen. Nutzt ja nix.
Vielen Dank an Euch für die Tipps.
Ok, dann werde ich da mal tätig werden müßen. Nutzt ja nix.
Vielen Dank an Euch für die Tipps.
Du solltest ausserdem den Abuse Deinem provider Melden per Email an abuse@provider.tld in meinem fall wurde immer wieder veruscht ein pptp tunnel zu hacken ... Das hörte genau 1 tag nach meldung beim provider auf.
Moin,
und wenn du noch etwas Zeit hast, dann würde ich den Herren doch mal eine nette E-Mail schreiben bezüglich Ihrer Angriffe...
Einfach WHOIS-Abfrage und go: http://www.dnsstuff.com/
Wenn ich deine Angreifer-IP 70.88.83.61 abfrage, bekomme ich den Namen einer US-Firma raus (hat auch eine Internetseite, einfach mal google bemühen).
Vielleicht wissen die Herren nicht mal davon und gehören einem Bot-Netzwerk an...Wer weiß...
Gruß
und wenn du noch etwas Zeit hast, dann würde ich den Herren doch mal eine nette E-Mail schreiben bezüglich Ihrer Angriffe...
Einfach WHOIS-Abfrage und go: http://www.dnsstuff.com/
Wenn ich deine Angreifer-IP 70.88.83.61 abfrage, bekomme ich den Namen einer US-Firma raus (hat auch eine Internetseite, einfach mal google bemühen).
Vielleicht wissen die Herren nicht mal davon und gehören einem Bot-Netzwerk an...Wer weiß...
Gruß
Zitat von @Neo2k:
Ja, ich hab das Gefühl, dass das immer schlimmer wird.
Hab mich gerade mal kurz umgeschaut. Kennt ihr ASSP? Der ist kostenlos und scheint sehr gut zu sein.
http://www.antispam.de/forum/showthread.php?13894-ASSP-Anti-Spam-SMTP-P ...
Ja, ich hab das Gefühl, dass das immer schlimmer wird.
Hab mich gerade mal kurz umgeschaut. Kennt ihr ASSP? Der ist kostenlos und scheint sehr gut zu sein.
http://www.antispam.de/forum/showthread.php?13894-ASSP-Anti-Spam-SMTP-P ...
Wir setzen ASSP bei uns ein und sind sehr zufrieden. Insbesondere die Verfahren DNS Blacklist und Greylisting sind sehr effektiv. Allerdings muss man sich mit der Konfiguration von ASSP schon auseinandersetzen. Es erfordert viel wissen von Mail und Spam. Mann kann aber klein anfangen und Spam nicht einfach ablehnen, sondern in den Junk-Mail Ordner verschieben.
