Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Angriff auf meinen SBS 2k3 Server! Aber wie nur?

Mitglied: bernd75

bernd75 (Level 1) - Jetzt verbinden

20.12.2010 um 12:30 Uhr, 5191 Aufrufe, 16 Kommentare

Hallo Zusammen,

meine Ereignisanzeige ist überflutet mit tausenden von folgenden Fehlermeldungen die sich vorgestern in einem Zeitraum von 9 Stunden alle 4 Sekunden wiederholt haben, der einzige unterschied zwischen den vielen Ereignissen ist der Benutzername der wechselt durch über alle möglichen Benutzernamen (administrator, adminisdrador, test, mail, alex, manager, guest, new, info, backup, 111, 222, 123, etc....)

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: alice
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: [MEIN SERVERNAME]
Aufruferbenutzername: [MEIN SERVERNAME]$
Aufruferdomäne: [MEIN DOMÄNENNAME]
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1568
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp

Nun inzwischen ist es ja schon zu spät, die letzten 2 Tage war es wieder ruhig. Ich hätte trotzdem ein paar Fragen.

1. Warum sehe ich keine Quellnetzwerkadresse und Port?
2. Was für ein Art von Anmeldung könnte das gewesen sein?
Ich habe folgende 'nur' Services vom Internet aus erreichbar:
Port 80 (kleine Homepage unter IIS teilweise auch mit Zugriffskontrolle)
Port 443 (Exchange Active Sync für PDA Synchronisation)
Port 25 (Ist ja Hauptsächlich ein Mailserver mit Exchange )

Ich würde halt gerne wissen auf welchen Weg das ganze passiert ist, aber empfinde das Eregnisprotkoll hier etwas sehr dürftig an Informationen, wenn ich eine Anmeldung z.B. an OWA oder auf einer Webseite bewusst mit falschem Benutzername durchführe, dann taucht wenigstens die IP im Ereignis auf

Ich hoffe ihr könnt mir helfen.

Vielen Dank
Bernd
Mitglied: 45877
20.12.2010 um 13:34 Uhr
hallo,

check mal dein Netzwerk nach Conficker..
Bitte warten ..
Mitglied: kristov
20.12.2010 um 13:50 Uhr
Hallo,

Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003

kristov
Bitte warten ..
Mitglied: bernd75
20.12.2010 um 13:57 Uhr
Der ist es nicht, der Server hatte schon immer SP2 und im Netzwerk ist auch Virenscan up to date und auch trifft keines der Sympthome (wie bei Wikipedia beschriebn) zu. Ausserdem war es ja ein einmaliger Angriff über 9 Stunden verteilt, davor nie und danach nicht mehr. Ich denke das muss von aussen gekommen sein nur wie?
Bitte warten ..
Mitglied: bernd75
20.12.2010 um 14:12 Uhr
Zitat von kristov:
Hallo,

Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003

kristov

Hallo,

also Schadsoftware kann ich eigentlich ausschließen, zumal es bisher einamlig war. Die Artikel sind interessant, hatte wohl das gleiche Problem, nur enden beide Artikel mit dem Verweis in die Firewall-Logs zu sehen. Das kann ich nciht, da dort bei mir nichts geloggt wird

Kann man denn sich irgendwie benachrichtitgen lassen für den Fall dass das wieder auftritt? Dann würde ich im Bedarfsfall Wireshark dazwischen hängen.

Bernd
Bitte warten ..
Mitglied: bernd75
20.12.2010 um 14:52 Uhr
Kann man denn sich irgendwie benachrichtitgen lassen für den Fall dass das wieder auftritt? Dann würde ich im
Bedarfsfall Wireshark dazwischen hängen.


Nachtrag: Hab ne einfache Lösung dafür gefunden, sogar mit Bordmitteln (eventtriggers.exe) und BLAT.
Bitte warten ..
Mitglied: St-Andreas
20.12.2010 um 15:24 Uhr
Hallo,


na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.


Gruß,
Andreas
Bitte warten ..
Mitglied: bernd75
20.12.2010 um 19:44 Uhr
Zitat von St-Andreas:


na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.


Hi, wie bereits geschrieben: ...nur enden beide Artikel mit dem Verweis in die Firewall-Logs zu sehen. Das kann ich nciht, da dort bei mir nichts geloggt wird...

Nicht jeder der nen Server hat leistet sich gleich ne Firewall mit Logfunktion
Bitte warten ..
Mitglied: St-Andreas
21.12.2010 um 16:28 Uhr
Hi,


ich geh mal davon aus das Du den Server benutzt um damit Geld zu verdienen, das heisst also das Du das Ding geschäftlich einsetzt. Dann sollte man sich auch ne vernünftige Firewall leisten. Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
Bitte warten ..
Mitglied: bernd75
22.12.2010 um 00:55 Uhr
Um ehrlich zu sein verdiene ich mit dem der bei mir zu Hause steht kein Geld,
sondern mir war nur ein 'billiger' WHS zu blöd und da dachte ich mir kauf Dir gleich nen SBS da haste echtes Exchange etc.
Bereut habe ich es bisher nie

Dementsprechend kannst Du Dir vorstellen, dass ich einen 'normalen' DSL Router daheim habe.

Aber egal denn:
1. auch wenn ich eine kleine Firma wäre, sähe ich eine große Firewall (mit Logfunktion) als übertrieben an, das passt nicht in das Konzept eines SBS Kunden...
2. es handelt sich hier auch nicht um ein Problem das mit einer Firewall nicht aufgetreten wäre. (das hätte mir genau soviel gebracht wie Kameras in der Ubahn: verhindert hätte es nix, aber ich könnte jetzt das Videoband noch mal ansehen)
Bitte warten ..
Mitglied: St-Andreas
22.12.2010 um 09:13 Uhr
OhKeh, oder OhWeh....

Also das man zu Hause nen SBS betreibt hätte ich jetzt erst mal nicht vermutet. Mir wäre das zu teuer, aber egal.

1) Eine Firewall die keine Logs schreibt ist keine Firewall sondern eine Spielerei. Logs sind keine Features von "grossen" Firewalls. (Auswertbare) Logs sind wesentlicher Bestandteil jeder Sicherheitseinrichtung zu denen auch Firewalls gehören. Und jede Firewalld die ihren Namen verdient kann das.
2) Nun, wenn Du Firewall auf einfache Portregeln beschränkst magst Du damit tatsächlich recht haben.

Egal, jetzt ist Winter, Urlaub und bald Weihnachten.

Frohes Fest und viel Glück noch!

Gruß,
Andreas
Bitte warten ..
Mitglied: Theratos
27.12.2010 um 13:36 Uhr
Wie Andreas,

oben schon angedeutet hat wäre dir das mit einer ordentlichen Firewall die richtig programmiert ist nicht passiert.

Da hier Regeln existieren die externen Verkehr erst gar nicht zu deinem Server zulassen.

Daher solltest du überlegen ob eine Ausgabe von ca. 300€ für z.B. eine kleine Watchguard angemessen ist oder nicht.

Keine Firma egal wie klein kann sich so eine Einstellung wie du sie hegst leisten, ansonsten freut sich die Konkurenz wie einfach es doch ist an deine Betriebsdaten zu kommen.

Mfg Chris
Bitte warten ..
Mitglied: schmitzi
28.12.2010 um 21:17 Uhr
Zitat von St-Andreas:
Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?


Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox

P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?

Gruss
RS
Bitte warten ..
Mitglied: bernd75
28.12.2010 um 22:55 Uhr
Zitat von schmitzi:
Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox

P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?

Gruss
RS


Mein Provider war AOL und jetzt Alice, ich habe WLAN im Betrieb ohne Verschlüsselung und die SSID lautet "try2hack my SBS2k3".

Mal im Ernst, Dein Vergleich hinkt, ich fliege hier bei weitem keinen Airbus! Und mit Deinen Fragen fühle ich mich etwas auf den Arm genommen, selbst wenn meine Aussagen bzgl Provider und WLAN richtig wären, wie würdest Du dann das Log erklären bzw. es reproduzieren?

BTW: Ist ja jetzt schon seit 10 Tagen nicht mehr aufgetaucht... toi, toi, toi.
Bitte warten ..
Mitglied: rs-schmid
01.01.2011 um 19:56 Uhr
Zitat von bernd75:
BTW: Ist ja jetzt schon seit 10 Tagen nicht mehr aufgetaucht... toi, toi, toi.

vermutlich sind die "Gäste" noch da.
hast du mit wireshark mal die pakete aufgezeichnet, die auf deinem kabel unterwegs sind
und den traffic analysiert ?

ändere alle Kennwörter, die dürften bekannt sein...
je nachdem welche prozesse gekapert wurden, sind antivirus & co. wirkungslos

Gruss Roland
Bitte warten ..
Mitglied: bernd75
04.01.2011 um 17:00 Uhr
Ihr Trolle hier seid echt alle eine Lustiger Zeitvertreib gewesen, danke falls irgendjemand wirklich helfen wollte...
Bitte warten ..
Mitglied: St-Andreas
04.01.2011 um 20:16 Uhr
Bitte. Und keine Ursache.
Bitte warten ..
Ähnliche Inhalte
Sicherheit
Angriff auf meinen internen Webserver?
gelöst Frage von tguhl99Sicherheit8 Kommentare

Hallo, ich habe ein Problem mit meinen Netz. Auf einem internen Server läuft mein Intranet mit xampp. Es gibt ...

Erkennung und -Abwehr
Ankündigung eines DDoS Angriffs
gelöst Frage von runasserviceErkennung und -Abwehr23 Kommentare

Hallo, kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen? Vielen Dank

Sicherheitsgrundlagen

Rest-Sicherheitsrisiko durch Blockierten Angriff beim Surfen? - Phishing oder Virus - Angriff

Frage von LoopingLuiSicherheitsgrundlagen5 Kommentare

Hallo Leute, beim Surfen wurde ich nach einer Google Suche, wo ich die Website des Herstellers LiteOnIt aufrufen wollte, ...

Hosting & Housing

Wie auf Brute Force Angriff auf ein Wordpress reagieren

Frage von StefanKittelHosting & Housing6 Kommentare

Hallo, mal was ganz anderes. Ein Kunde betreibt ein Wordpress-CMS auf einem Server (Lamp). Auf diesen läuft seit ca. ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 8 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung26 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Windows 10
Unter Windows 10 Home 64Bit (1709) kommt Fehler beim Aufruf von verschiedenen Systemprogrammen wie z.B. Gerätemanager
Frage von bitshopWindows 1017 Kommentare

Hallo, beim meinem Onkel haben wir seit längerem das Problem, dass z.B. beim Aufruf des Gerätemanagers eine Fehlermeldung kommt ...