Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffe von Aussen

Mitglied: tordi

tordi (Level 1) - Jetzt verbinden

11.11.2007, aktualisiert 21:52 Uhr, 4002 Aufrufe, 3 Kommentare

Hallo seit ca. 3 Tagen versucht jemand mit den wildesten Benutzernamen auf unseren Server zu gelangen.
Im Protokol steht aber keine IP Adresse oder Quellport.
Wie bekomme ich raus woher bzw. über welchen Port das ganze versucht wird.
Willi ist unser Exchange Server, wieso ist das der Name der Arbeiststation?
Oder versucht das einer über das Webinterface ( Remotewebarbeitsplatz ).

Logfile Sicherheit Auszug:
01.
Ereignistyp:	Fehlerüberw. 
02.
Ereignisquelle:	Security 
03.
Ereigniskategorie:	An-/Abmeldung  
04.
Ereigniskennung:	529 
05.
Datum:		10.11.2007 
06.
Zeit:		16:38:37 
07.
Benutzer:		NT-AUTORITÄT\SYSTEM 
08.
Computer:	WILLI 
09.
Beschreibung: 
10.
Fehlgeschlagene Anmeldung: 
11.
 	Grund:		Unbekannter Benutzername oder falsches Kennwort 
12.
 	Benutzername:	bailey 
13.
 	Domäne:		 
14.
 	Anmeldetyp:	3 
15.
 	Anmeldevorgang:	Advapi   
16.
 	Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 
17.
 	Name der Arbeitsstation:	WILLI 
18.
 	Aufruferbenutzername:	WILLI$ 
19.
 	Aufruferdomäne:	SERVERB1 
20.
 	Aufruferanmeldekennung:	(0x0,0x3E7) 
21.
 	Aufruferprozesskennung:	1424 
22.
 	Übertragene Dienste:	- 
23.
 	Quellnetzwerkadresse:	- 
24.
 	Quellport:	-
Need help. Danke !
Mitglied: gnarff
11.11.2007 um 16:33 Uhr
Hallo tordi!

Der "Angriff" kommt nicht von außen, sondern von innen.
Ansonsten mal das Dokument Bei aktivierter Willkommensseite werden Fehlerereignisse protokolliert um klarer zu sehen, der englische Originaltext ist besser...

saludos
gnarff
Bitte warten ..
Mitglied: tordi
11.11.2007 um 18:47 Uhr
Von innen.... zu den Zeiten ist in der Firma keiner, daher meine Idee ob es über die Webseite (Remotearbeitsplatz etc.) kommen kann.
Es werden hunderte von verschiedenen Usernamen verwendet.
Ich kenne sowas von so kleinen netten Passwort Tools.
Bei der Menge wird Nachts, so denke ich mal, keiner in der Firma sitzen und drauf los hacken.
Bitte warten ..
Mitglied: gnarff
11.11.2007 um 21:52 Uhr
Es werden hunderte von verschiedenen
Usernamen verwendet.
Aha, ja - das hättest Du mal in Deinem Eroeffnungsposting erwähnen sollen!
Jetzt musst Du die Timestamps aus dem Fehlerereignis-Log mit denen aus Log der Firewall vergleichen um zu weiteren Ergebnissen zu gelangen.
Je nach dem wie Deine Ergebnisse dann ausfallen, könntest Du weiter die ausgetauschten Pakete auswerten.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Sicherheit
Angriff auf meinen internen Webserver?
gelöst Frage von tguhl99Sicherheit8 Kommentare

Hallo, ich habe ein Problem mit meinen Netz. Auf einem internen Server läuft mein Intranet mit xampp. Es gibt ...

Erkennung und -Abwehr
Ankündigung eines DDoS Angriffs
gelöst Frage von runasserviceErkennung und -Abwehr23 Kommentare

Hallo, kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen? Vielen Dank

Sicherheitsgrundlagen

Rest-Sicherheitsrisiko durch Blockierten Angriff beim Surfen? - Phishing oder Virus - Angriff

Frage von LoopingLuiSicherheitsgrundlagen5 Kommentare

Hallo Leute, beim Surfen wurde ich nach einer Google Suche, wo ich die Website des Herstellers LiteOnIt aufrufen wollte, ...

Hosting & Housing

Wie auf Brute Force Angriff auf ein Wordpress reagieren

Frage von StefanKittelHosting & Housing6 Kommentare

Hallo, mal was ganz anderes. Ein Kunde betreibt ein Wordpress-CMS auf einem Server (Lamp). Auf diesen läuft seit ca. ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 22 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 4 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 4 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail20 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...

Firewall
Wesyb Offline
Frage von DkuehlbornFirewall13 Kommentare

Hallo Kollegen, ein Kunde hat von Wesyb die Sicherheitslösung im Einsatz. Seit August scheint deren Internetseite nicht mehr verfügbar ...