Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 3205 fehlgeschlagene Anmeldungen in kurzer Zeit - unbekannter Nutzername

Mitglied: ctietje

ctietje (Level 1) - Jetzt verbinden

18.11.2011 um 17:41 Uhr, 4436 Aufrufe, 8 Kommentare

Wir bekommen von Zeit zu Zeit, etwa einmal im Monat, etliche tausend fehlschlagende Anmeldungen, obwohl weder Remotedesktop noch TSWeb geöffnet sind. Freigegeben sind nur Port 21, 25, 80, 443 und 1723.

Meldungen im Ereignisprotokoll wie hier:

Ereigniskennung 529

3205 Mal
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: z. B. megan - variiert, auch dave, usuario, anna, director, reception oder qwerty
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: UNSERE DOMÄNE
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7364
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Am 17.11. von 21:59:44 bis 22:01:46, also in 2 Minuten mit etwa 26 Anmeldungen pro Sekunde

Kann mir jemand helfen, wie man uns findet, über welches Tor die hereinkommen und wie man das sperren kann?
Mitglied: informatiker1989
18.11.2011 um 17:56 Uhr
Also ich würde sagen da versucht anscheinend jemand sich mit einem Wörterbuchangriff reinzuhacken.Würde als erstes mal Passwörter sicherer machen.Mindestens 10 Zeichen,Groß,klein,Zahlen,Sonderzeichen.Aber keine Wörter sondern lange wirre Kombinationen die keinen Sinn ergeben.


Wörterbuchangriff

Beim Wörterbuchangriff wird versucht, mit Hilfe elektronischer Wörterbücher Passwörter zu erraten. Da sich bei der Wahl von Passwörter auf Grund des menschlichen Faktors an der sprachlichen Umgebung orientiert wird, führten solche Angriffe in der Vergangenheit wesentlich schneller zum Erfolg als das Brute-Force-Cracking.

Als Gegenmaßnahme wurden Passwort-Policys (Passwortregeln) technisch durchgesetzt, die zusätzlich Ziffern und/oder Sonderzeichen sowie ggf. Großbuchstaben bei der Passwortwahl erfordern. Damit hat ein normaler Wörterbuchangriff keinen Erfolg mehr.
Bitte warten ..
Mitglied: ctietje
18.11.2011 um 18:03 Uhr
Wir haben eine solche Regel: Passwörter mindestens 8 Zeichen, Groß- und Kleinschreibung, Sonderzeichen müssen enthalten sein. Nur Erneuerung alle 42 Tage machen wir nicht.

Aber über welches Tor kommen dieser Angriff zum Server durch? VPN?
Bitte warten ..
Mitglied: keksdieb
18.11.2011 um 20:03 Uhr
Moin,

prüf mal deine Firewall auf offene Ports und mach alle zu, die nicht benötigt werden.
Des weiteren würde ich den schuldigen nicht immer im WWW suchen...

Unter Umständen hat sich ein Client PC bei euch im Netzwerk unbemerkt zu einem Zombierechner in einem Botnetz machen lassen und gewährt somit Fremden Rechner Zugriff auf euer Netzwerk.
Das kann durch eine Sicherheitslücke im Betriebssystem oder ein Schadprogramm kommen, dass der User versehentlich oder absichtlich runtergelassen hat.

Pauschal (und absolut ins blaue) Firewall zu machen und in den Logs der Firewall schauen, wer alles raus und wer alles rein möchte.

Gruß Keksdieb
Bitte warten ..
Mitglied: AndiEoh
19.11.2011 um 13:24 Uhr
Auf "SERVER" das Protokoll prüfen, auch das Anwendungsprotokoll welcher Service die Anmeldung entgegen nimmt. Kann auch z.B. IIS oder der FTP Dienst sein wenn Windows Authentifizierung erlaubt ist. Falls SERVER intern ist besteht die Möglichkeit das auf einer Station (Laptop etc.) ein Trojaner versucht Dateishares zu infizieren. Dafür spricht z.B. das nur sporadische Auftreten mit hoher Anmeldefrequenz und eher aus dem englischsprachigen geläufigen Benutzernamen.
Bitte warten ..
Mitglied: ctietje
20.11.2011 um 18:59 Uhr
alles geprüft, keine weiteren Einträge, außer denen, die ich oben im ersten Post aufgeführt habe.

Weder ein User war eingeloggt, noch ein Notebook, noch ist genau zu dieser Zeit in einem anderen Protokoll etwas geloggt worden.

Weiterhin ist ein F-Secure-Virenscanner auf dem Server, in Exchange und auf allen WS und Notebook aktiv.
Bitte warten ..
Mitglied: AndiEoh
21.11.2011 um 15:57 Uhr
Auch bei IIS, FTP, SMTP und ähnlichen die Logfiles geprüft? Zur Zeit ist z.B. wieder eine Welle mit Brute-Force auf SMTP Logins unterwegs, das würde genau passen...

Gruß

Andreas
Bitte warten ..
Mitglied: ground2er0
22.11.2011 um 16:59 Uhr
Was für eine Serverversion hast den?
Sicherheitsupdates Aktuell?
Wenn du dir sicher bist das es nicht von Intern kommt setz dich am Wochenende oder in der Nacht mal hin und mach einen Port nach dem anderen ZU und schau ob immernoch Angriffe reinkommen..
Bitte warten ..
Mitglied: ctietje
24.03.2012 um 08:20 Uhr
habe dann FTP- und Outlook-Web-Access-Ports zusätzlich geschlossen, jetzt gab es schon lange keine Angriffe mehr
Bitte warten ..
Ähnliche Inhalte
Windows Server

Terminalserver Anmeldung fehlgeschlagen - Computerkonto

Frage von chb1982Windows Server3 Kommentare

Hallo zusammen, in einer Umgebung mit zwei Terminalservern klappt die Anmeldung auf einem der Server nicht mehr. Im Eventlog ...

Windows Userverwaltung

Die Anmeldung des Dienstes "Benutzerprofildienst" ist fehlgeschlagen

gelöst Frage von DrPsychWindows Userverwaltung4 Kommentare

Hallo zusammen, Ich hab ein kleines Problem ich komm gleich mal zur Sache. Wenn ich ein neues Profil anlege ...

Ubuntu

Anmeldung am opsi config editor fehlgeschlagen

gelöst Frage von opsifragerUbuntu13 Kommentare

Hallo, ich habe OPSI mithilfe von opsidemo.vmx auf der VirtuelBox installiert. Das Betriebssystem ist Ubuntu. Nachdem ich alles eingestellt ...

Windows 7

Die Anmeldung des Dienstes Gruppenrichtlinienclient ist fehlgeschlagen. Zugriff verweigert

Frage von staybbWindows 77 Kommentare

Hallo zusammen, ich habe folgendes Szenario: Ein Windows Benutzer der auf einem ActiveDirectory Server angelegt ist erhält seit ein ...

Neue Wissensbeiträge
Windows 10

Blackscreen nach dem Update von 1809 auf 1809 wenn der Rechner aus dem Standby gestartet wird

Tipp von FSX2010 vor 1 TagWindows 108 Kommentare

Habt ihr den Samsung Treiber "Samsung_NVM_Express_Driver_3.0" installiert sollte dieser für 1809 deinstalliert werden da dieser nicht kompatibel ist. Der ...

Utilities
Teamviewer 14 Verbindungsprobleme mit Proxy
Tipp von PeterleB vor 2 TagenUtilities

Nach dem Umstieg von Version 13 auf 14 wollte sich TV nicht mehr mit dem Netz verbinden, ignorierte offenbar ...

Administrator.de Feedback
Unsere Datenbank wurde umgestellt
Information von Frank vor 2 TagenAdministrator.de Feedback5 Kommentare

Hallo User, ich habe in der Nacht unsere Datenbank umgestellt. D.h. neue Version (MySQL 8) und andere Örtlichkeit. Sollte ...

Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 5 TagenSonstige Systeme8 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Heiß diskutierte Inhalte
Router & Routing
Dediziertes ISP -Routing
gelöst Frage von niLuxxRouter & Routing13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei ...

Monitoring
WMI Problem bei PRTG
Frage von justInsaneMonitoring12 Kommentare

Hallo zusammen, ich bin zur Zeit dabei, das PRTG Monitoring Tool auszutesten. Ich habe das ganze nun grob konfiguriert ...

Webbrowser
Proxy-Zugangsdaten in Firefox hinterlegen
Frage von SebastianGSWebbrowser12 Kommentare

Hallo zusammen, kennt jemand von Euch aktuell eine Möglichkeit die Proxy-Zugangsdaten im Firefox (Vers. 63.0.3 - 64-Bit) zu hinterlegen, ...

Samba
Linux Server und Windows Linux Client
gelöst Frage von 137898Samba12 Kommentare

Hallo, ich bräuchte dringend bei der Aufgabe etwas Hilfe. Die Firma XYZ besteht auf zwei Abteilungen Logistik und Technik ...