17
Wer oder was will sich hier einloggen? SBS2003
Habe folgenden Eintrag in der Ereignisanzeige:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: test
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: meinedomäne <- (von mir überschrieben...)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2076
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
davon habe ich 12 Einträge allein an einem Tag. Teilweise steht dort auch "info" oder "webmaster" als benutzername. Handelt es sich dabei evtl. um einen gezielten Angriff von draussen (Internet) auf meinen Server? Dann würde aber doch die IP-Adresse angezeigt werden, oder was ist mit "Quellnetzwerkadresse" gemeint?
Gruß
Michi!
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: test
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: meinedomäne <- (von mir überschrieben...)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2076
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
davon habe ich 12 Einträge allein an einem Tag. Teilweise steht dort auch "info" oder "webmaster" als benutzername. Handelt es sich dabei evtl. um einen gezielten Angriff von draussen (Internet) auf meinen Server? Dann würde aber doch die IP-Adresse angezeigt werden, oder was ist mit "Quellnetzwerkadresse" gemeint?
Gruß
Michi!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 67259
Url: https://administrator.de/contentid/67259
Printed on: April 16, 2024 at 16:04 o'clock
17 Comments
Latest comment
Hallo!
1. Welche Ereigniskennung hat die Fehlermeldung?
2. Es könnte sich um einen Virus handeln... hast du zufällig einen Prozess der sich Advapi.exe nennt?
Es gibt einen bekannten Bug unter XP der diese Fehlermeldung verursacht.. allerdings weiß ich nicht, inwieweit auch der SBS2003 betroffen ist.
Gruß
1. Welche Ereigniskennung hat die Fehlermeldung?
2. Es könnte sich um einen Virus handeln... hast du zufällig einen Prozess der sich Advapi.exe nennt?
Es gibt einen bekannten Bug unter XP der diese Fehlermeldung verursacht.. allerdings weiß ich nicht, inwieweit auch der SBS2003 betroffen ist.
Gruß
Hallo!
1. Welche Ereigniskennung hat die
Fehlermeldung?
1. Welche Ereigniskennung hat die
Fehlermeldung?
529
2. Es könnte sich um einen Virus
handeln... hast du zufällig einen
Prozess der sich Advapi.exe nennt?
handeln... hast du zufällig einen
Prozess der sich Advapi.exe nennt?
negativ...
Hi,
habt ihr irgendwelche Webdienste auf dem SBS laufen, mit eventuell per Passwort geschützten
Bereichen. Sind diese Webdienste von aussen (Internet) zugänglich?
Gruß
cykes
habt ihr irgendwelche Webdienste auf dem SBS laufen, mit eventuell per Passwort geschützten
Bereichen. Sind diese Webdienste von aussen (Internet) zugänglich?
Gruß
cykes
habt ihr irgendwelche Webdienste auf dem SBS
laufen, mit eventuell per Passwort
geschützten
Bereichen. Sind diese Webdienste von aussen
(Internet) zugänglich?
laufen, mit eventuell per Passwort
geschützten
Bereichen. Sind diese Webdienste von aussen
(Internet) zugänglich?
meines wissens nach nicht...habe damals alle (mir bekannten) services wie pop3, webaccess usw deaktiviert. vielleicht kannst du mir nochmal die bekanntesten services nennen, welche auf jeden fall abgeschaltet sein sollten. wir nutzen keine externe zugriffe auf den server, bzw. benötigen diese nicht.
Also auf dem SBS könnten noch die Sharepointservices, Outlook Web Access usw. laufen.
Schau doch mal unter Verwaltung->Internet Informationsdienste Manager ...
Gruß
cykes
Schau doch mal unter Verwaltung->Internet Informationsdienste Manager ...
Gruß
cykes
Also auf dem SBS könnten noch die
Sharepointservices, Outlook Web Access usw.
laufen.
Schau doch mal unter Verwaltung->Internet
Informationsdienste Manager ...
Sharepointservices, Outlook Web Access usw.
laufen.
Schau doch mal unter Verwaltung->Internet
Informationsdienste Manager ...
stimmt...habe dort noch den WSUS-Server als auch die companyweb laufen. diese dienste sollten aber doch von aussen nicht erreichbar sein, da in den eigenschaften die ip's beschränkt sind auf das lokale netz...
Es könnte ja auch sein, dass von intern jeamnd versucht, sich dort einzuloggen, und einfach mal
Benutzernamen ausprobiert.
Eine zentrale Antivirenlösung habt ihr aber, oder?
Benutzernamen ausprobiert.
Eine zentrale Antivirenlösung habt ihr aber, oder?
Es könnte ja auch sein, dass von intern
jeamnd versucht, sich dort einzuloggen, und
einfach mal
Benutzernamen ausprobiert.
jeamnd versucht, sich dort einzuloggen, und
einfach mal
Benutzernamen ausprobiert.
das traue ich den usern nicht zu....die wissen gerade eben so, wie sie den pc starten
davon abgesehen handelt es sich nur um 6 clients. die uhrzeit passt auch nicht zu den arbeitszeiten der user...Eine zentrale Antivirenlösung habt ihr
aber, oder?
aber, oder?
jein...die clients sind alle abgesichert, beim server will eine standalone-lösung NUR für den server, keine sbs-suite für ich weiss nicht wieviel geld. steht einfach nicht im verhältnis zueinander. somit läuft dort antivir als workstation-version (ich weiss...nicht das optimale, aber besser als nichts)
Hallo,
diese Ereignisse waren bei mir auch in den Logfiles. Anmeldeversuche mit webmaster und admin sind fehlgeschlagen. Ich schließe interne Versuche ebenfalls aus.
Alle 20 Versuche ware letzten Freitag so kurz nach 15 Uhr:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: admin
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: servername
Aufruferbenutzername: servername$
Aufruferdomäne: meinedomäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1824
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Bei uns läuft OWA, hab auch noch nicht rausgefunden wo die Anmeldeversuche herkommen.
Antivirensoftware läuft, auch Exchange Groupshield.
Ich hänge mich hiermit mal an das Problem dran...
Gruß - Tobias
[edit]: Internetdienste laufen, volles Programm: Sharepoint, companyweb und wsus, owa ist von außen zugänglich
Ereignis-ID: 529
diese Ereignisse waren bei mir auch in den Logfiles. Anmeldeversuche mit webmaster und admin sind fehlgeschlagen. Ich schließe interne Versuche ebenfalls aus.
Alle 20 Versuche ware letzten Freitag so kurz nach 15 Uhr:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: admin
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: servername
Aufruferbenutzername: servername$
Aufruferdomäne: meinedomäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1824
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Bei uns läuft OWA, hab auch noch nicht rausgefunden wo die Anmeldeversuche herkommen.
Antivirensoftware läuft, auch Exchange Groupshield.
Ich hänge mich hiermit mal an das Problem dran...
Gruß - Tobias
[edit]: Internetdienste laufen, volles Programm: Sharepoint, companyweb und wsus, owa ist von außen zugänglich
Ereignis-ID: 529
> Es könnte ja auch sein, dass von
intern
> jeamnd versucht, sich dort einzuloggen,
und
> einfach mal
> Benutzernamen ausprobiert.
das traue ich den usern nicht zu....die
wissen gerade eben so, wie sie den pc starten
davon abgesehen handelt es sich nur um 6
clients. die uhrzeit passt auch nicht zu den
arbeitszeiten der user...
intern
> jeamnd versucht, sich dort einzuloggen,
und
> einfach mal
> Benutzernamen ausprobiert.
das traue ich den usern nicht zu....die
wissen gerade eben so, wie sie den pc starten
davon abgesehen handelt es sich nur um 6clients. die uhrzeit passt auch nicht zu den
arbeitszeiten der user...
Dann muss irgendwas von aussen zugänglich sein. Schau doch mal auf eurem Router,
ob da Ports weitergeleitet sind. Habt ihr eventuell ein WLan, dann dort mal den Key ändern,
und eventuell auf WPA(2) umstellen.
jein...die clients sind alle abgesichert,
beim server will eine standalone-lösung
NUR für den server, keine sbs-suite
für ich weiss nicht wieviel geld. steht
einfach nicht im verhältnis zueinander.
somit läuft dort antivir als
workstation-version (ich weiss...nicht das
optimale, aber besser als nichts)
beim server will eine standalone-lösung
NUR für den server, keine sbs-suite
für ich weiss nicht wieviel geld. steht
einfach nicht im verhältnis zueinander.
somit läuft dort antivir als
workstation-version (ich weiss...nicht das
optimale, aber besser als nichts)
Naja, insbesondere ist das keine gültige Lizenz für diesen Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal einfach überlesen
Gruß
cykes
Dann muss irgendwas von aussen
zugänglich sein. Schau doch mal auf
eurem Router,
ob da Ports weitergeleitet sind. Habt ihr
eventuell ein WLan, dann dort mal den Key
ändern,
und eventuell auf WPA(2) umstellen.
zugänglich sein. Schau doch mal auf
eurem Router,
ob da Ports weitergeleitet sind. Habt ihr
eventuell ein WLan, dann dort mal den Key
ändern,
und eventuell auf WPA(2) umstellen.
habe zwar wlan,allerdings ohne aussendende SSID, MAC-Filter aktiv. kein mensch stellt sich mit dem auto ins industriegebiet morgens um 6 uhr, um ins netz zu kommen....auszuschliessen ist natürlich nichts...gebe ich dir recht...was mich aber wirklich brennend interessieren würde ist, woher der angriff (falls es wirklich einer ist) kommt. wirklich von extern, oder doch von intern?
Naja, insbesondere ist das keine
gültige Lizenz für diesen
Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal
einfach überlesen
gültige Lizenz für diesen
Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal
einfach überlesen
kein thema...habe ja eine gültige lizenz....dann hast du als partner bestimmt noch einen tip für mich...wie bekomme ich NUR den server gesichert, ohne die Suite zu erwerben....
Da schaut man einfach mal in folgende Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082
Und dann postet Du/Ihr mir bitte in welchen/m Verzeichnis/sen sich advAPI befindet.
Die adv-Api ist nichts weiter als ein Windows Application Programming Interface.
saludos
gnarff
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082
Und dann postet Du/Ihr mir bitte in welchen/m Verzeichnis/sen sich advAPI befindet.
Die adv-Api ist nichts weiter als ein Windows Application Programming Interface.
saludos
gnarff
Da schaut man einfach mal in folgende
Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082
Und dann postet Du/Ihr mir bitte in
welchen/m Verzeichnis/sen sich advAPI
befindet.
Die adv-Api ist nichts weiter als ein
Windows Application Programming Interface.
Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082
Und dann postet Du/Ihr mir bitte in
welchen/m Verzeichnis/sen sich advAPI
befindet.
Die adv-Api ist nichts weiter als ein
Windows Application Programming Interface.
habe heute erneut einen eintrag in der ereignisanzeige, diesmal mit dem user "company". also muss jemand wahllos versuchen sich mit verschiedenen usernames an mein system anzumelden. bislang ohne erfolg...*holzklopf*
kann man diese anmeldeversuche nicht grundsätzlich unterbinden?
Ich wollte nicht ausschliessen, dass es sich um irgendwelche Malware handelt, nur
die andere Möglichkeit, dass es sich um einen realen (internen) User mit in Betracht ziehen.
die andere Möglichkeit, dass es sich um einen realen (internen) User mit in Betracht ziehen.
Hallo cykes,
die advapi32.dll ist in diversen Verzeichnissen enthalten:
%Bootdrive%\Windows\System32
%Bootdrive%\WINDOWS\ServicePackFiles\i386
weiterhin in:
diversen ServicePack-Installationsordner (XPSP2, 2KSP4, IE6) - meist als *.DL_
Ich weiß ja nicht ob das weiterhilft.
Eine EXE-Datei oder ein Service war nicht auffindbar, der Support-Artikel von M$ konnte mir auch nicht großartig weiterhelfen. Da ist die Rede von Updates usw. Bei uns sind alle Rechner (Win2KSP4), einschließlich des Servers (SBS2003R2 SP2), vollständig geupdatet.
Bisher traten diese Fehlanmeldungen nicht nocheinmal auf, ich denke ich werde das beobachten.
Gruß - Tobias
die advapi32.dll ist in diversen Verzeichnissen enthalten:
%Bootdrive%\Windows\System32
%Bootdrive%\WINDOWS\ServicePackFiles\i386
weiterhin in:
diversen ServicePack-Installationsordner (XPSP2, 2KSP4, IE6) - meist als *.DL_
Ich weiß ja nicht ob das weiterhilft.
Eine EXE-Datei oder ein Service war nicht auffindbar, der Support-Artikel von M$ konnte mir auch nicht großartig weiterhelfen. Da ist die Rede von Updates usw. Bei uns sind alle Rechner (Win2KSP4), einschließlich des Servers (SBS2003R2 SP2), vollständig geupdatet.
Bisher traten diese Fehlanmeldungen nicht nocheinmal auf, ich denke ich werde das beobachten.
Gruß - Tobias
Um festzustellen, von wo diese Logon-Versuche kommen, sollte man einmal die Logfiles der Firewall auswerten; in Uebereinstimmung mit den Datums- und Zeitstempeln aus dem Event-ID Log, nach
Kerberos auf Port 88 tcp/udp
Microsoft Directory Services traffic auf Port 445 tcp/udp
LDAP Port 398 udp
Welche Beobachtungen hast Du bei der Auswertung gemacht?
Wenn die Clients nicht Internetfaced sind, dann kann der Zugriff nur von Innen erfolgen.
Sind die Clients Internetfaced, d.h. mit dem Internet verbunden?
Koennen Anhaenge aus E-Mails geoffnet und lokal gespeichert werden?
Ausserdem wuerde ich dazu raten wireshark einzusetzen, um den Netzwerkverkehr genauer ueberwachen zu koennen...
saludos
gnarff
Kerberos auf Port 88 tcp/udp
Microsoft Directory Services traffic auf Port 445 tcp/udp
LDAP Port 398 udp
Welche Beobachtungen hast Du bei der Auswertung gemacht?
Wenn die Clients nicht Internetfaced sind, dann kann der Zugriff nur von Innen erfolgen.
Sind die Clients Internetfaced, d.h. mit dem Internet verbunden?
Koennen Anhaenge aus E-Mails geoffnet und lokal gespeichert werden?
Ausserdem wuerde ich dazu raten wireshark einzusetzen, um den Netzwerkverkehr genauer ueberwachen zu koennen...
saludos
gnarff
