57263
Sep 25, 2012
2936
1
0
142 fehlgeschlagene Anmeldungen mit unbekanntem Benutzernamen
Wir haben hin und wieder fehlgeschlagene Anmeldungen mit unbekanntem Benutzernamen, also kein User aus unserer Firma. Es sind wechselnde Name, die paar Mal probiert werden, dann neuer Name.
Hallo liebe Experten,
ich habe die folgende Frage vor längerer Zeit schon einmal gestellt. Damals habe ich dann die Ports 80 HTTP-Server und 3389 MS Remotedesktop geschlossen. Dann war lange Zeit Ruhe. Jetzt zeigt sich das Thema ab und zu wieder einmal:
Etwa einmal im Monat versucht sich jemand bei uns einzuloggen:
- Name der Arbeitsstation: ist der unser Servername
- Anruferbenutzername: ist Servername$ (mit Dollarzeichen dahinter)
- Aufruferdomäne ist die eigene
Im Ereignisprotokoll Sicherheit, Benutzer: System
Wir haben folgende Ports geöffnet:
- 25
- 443
- 1723
- GRE für VPN
für E-Mail, Outlook über HTTPS und VPN auf SBS2003 mit Exchange, Clients mit Outlook 2007, drei Desktops für CAD und Office, 2 Notebooks dto. für unterwegs.
Ist das ein (automatisch, über ein Programm) von innen aktiverter Login-Versuch wie ein Trojaner? Oder versucht jemand von außen über vpn hineinzukommen? Was könnte es sonst noch sein und wie kann man sicher sein, dass daraus kein Schaden entsteht? Sichere Passwörter haben wir. Ein interner Username ist noch nie angewendet worden, immer User wie "tim, mysql, susan, wendy, photo, prueba, paul, larisa, robert, maria, alan, george" u.v.a.m. englischsprachige Namen. Oft kommen diese Angriffe nachts. Der obige fand gestern Mittag um 12:00 Uhr im 8-Sekunden-Takt statt. Wir haben F-Secure-Software auf dem Server und auf den Clients sowie Server mit zwei Netzwerkkarten/getrennten Netzen innen ab Server zu Clients 172. ... und außen 168. ... vom Server zum Router. WLAN ist nicht aktiv.
Was tun? Muss ich mir Sorgen machen?
Christian Tietje
ich habe die folgende Frage vor längerer Zeit schon einmal gestellt. Damals habe ich dann die Ports 80 HTTP-Server und 3389 MS Remotedesktop geschlossen. Dann war lange Zeit Ruhe. Jetzt zeigt sich das Thema ab und zu wieder einmal:
Etwa einmal im Monat versucht sich jemand bei uns einzuloggen:
- Anruferbenutzername: ist Servername$ (mit Dollarzeichen dahinter)
- Aufruferdomäne ist die eigene
Im Ereignisprotokoll Sicherheit, Benutzer: System
Wir haben folgende Ports geöffnet:
- 25
- 443
- 1723
- GRE für VPN
für E-Mail, Outlook über HTTPS und VPN auf SBS2003 mit Exchange, Clients mit Outlook 2007, drei Desktops für CAD und Office, 2 Notebooks dto. für unterwegs.
Ist das ein (automatisch, über ein Programm) von innen aktiverter Login-Versuch wie ein Trojaner? Oder versucht jemand von außen über vpn hineinzukommen? Was könnte es sonst noch sein und wie kann man sicher sein, dass daraus kein Schaden entsteht? Sichere Passwörter haben wir. Ein interner Username ist noch nie angewendet worden, immer User wie "tim, mysql, susan, wendy, photo, prueba, paul, larisa, robert, maria, alan, george" u.v.a.m. englischsprachige Namen. Oft kommen diese Angriffe nachts. Der obige fand gestern Mittag um 12:00 Uhr im 8-Sekunden-Takt statt. Wir haben F-Secure-Software auf dem Server und auf den Clients sowie Server mit zwei Netzwerkkarten/getrennten Netzen innen ab Server zu Clients 172. ... und außen 168. ... vom Server zum Router. WLAN ist nicht aktiv.
Was tun? Muss ich mir Sorgen machen?
Christian Tietje
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191782
Url: https://administrator.de/contentid/191782
Printed on: April 19, 2024 at 14:04 o'clock
1 Comment
Hi Christian,
Ein Vorteil des Internet und der öffentlichen Adressen ist die weltweite Ereichbarkeit. Damit muss man leben. Und einen Domänennamen mit IP heraus zu finden ist auch nicht so schwierig. So kann man beides kombinieren und das zu einem brute-force-Angriff nutzen. Das ist passiert.
Zwei Dinge wären höchstens zu klären:
Ist das Passwort sicher genug und wie reagiert der Server wenn das überhand nimmt?
Gruß
Netman
Ein Vorteil des Internet und der öffentlichen Adressen ist die weltweite Ereichbarkeit. Damit muss man leben. Und einen Domänennamen mit IP heraus zu finden ist auch nicht so schwierig. So kann man beides kombinieren und das zu einem brute-force-Angriff nutzen. Das ist passiert.
Zwei Dinge wären höchstens zu klären:
Ist das Passwort sicher genug und wie reagiert der Server wenn das überhand nimmt?
Gruß
Netman
