1
Andauernde Zugriffsversuche über IIS
Ca. drei bis fünf fehlgeschlagene Anmelde Versuche pro Minute
Hallo,
ich bemerke seit einiger Zeit folgendes in meinem Sicherheit Logfile auf meinem Exchange Server.
Ca. drei bis fünf mal pro Minute erscheinen die Fehlermeldungen:
Zuerst das hier: Ereigniss: 680
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: "immer das gleiche Konto"
Arbeitsstation: "mein Exchange Server"
Fehlercode: 0xC0000064
Und dann das: Ereigniss: 539
Fehlgeschlagene Anmeldung:
Grund: Konto gesperrt
Benutzername: "immer das gleiche Konto"
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: "mein Exchange Server"
Aufruferbenutzername: "mein Exchange Server"$
Aufruferdomäne: "meine Domäne"
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1660
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Die Aufruferprozesskennung 1660 ist "inetinfo.exe". Was wohl der IIS ist.
- Das Konto WAR ein Postfach für Systemmeldungen von Druckern, etc.
- Mittlerweile benutze ich ein anderes und schalte das alte nicht mehr frei.
- OWA habe ich versuchsweise abgeschaltet, hilft aber nix.
Wie kann ich herausfinden von wo diese Anmeldung herkommt? Leider wird ja keine Quelle (IP oder Port) angegeben?
Vielen Dank ...
ich bemerke seit einiger Zeit folgendes in meinem Sicherheit Logfile auf meinem Exchange Server.
Ca. drei bis fünf mal pro Minute erscheinen die Fehlermeldungen:
Zuerst das hier: Ereigniss: 680
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: "immer das gleiche Konto"
Arbeitsstation: "mein Exchange Server"
Fehlercode: 0xC0000064
Und dann das: Ereigniss: 539
Fehlgeschlagene Anmeldung:
Grund: Konto gesperrt
Benutzername: "immer das gleiche Konto"
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: "mein Exchange Server"
Aufruferbenutzername: "mein Exchange Server"$
Aufruferdomäne: "meine Domäne"
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1660
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Die Aufruferprozesskennung 1660 ist "inetinfo.exe". Was wohl der IIS ist.
- Das Konto WAR ein Postfach für Systemmeldungen von Druckern, etc.
- Mittlerweile benutze ich ein anderes und schalte das alte nicht mehr frei.
- OWA habe ich versuchsweise abgeschaltet, hilft aber nix.
Wie kann ich herausfinden von wo diese Anmeldung herkommt? Leider wird ja keine Quelle (IP oder Port) angegeben?
Vielen Dank ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127921
Url: https://administrator.de/contentid/127921
Printed on: April 16, 2024 at 20:04 o'clock
1 Comment
tcpdump
wireshark
firewalllogs
snort
wireshark
firewalllogs
snort
