3
ANONYMOUS-ANMELDUNG MS Server 2003 (SBS 2003) von unbekannten Arbeitsstationen - Gefahr?
Mehrere erfolgreiche Netzwerkanmeldungen (ca 10 mal pro Stunde) von unbekannten IP und Arbeitstationen
Hallo Forumbenutzer,
ich bin ganz neu hier, ich hoffe, meine Frage richtig zu formulieren.
Es geht um einen Windows SBS 2003 Server mit aufgesetztem Exchange mit 3 Arbeitsstationen, Sicherheitssoftware: trendmicro Worry-Free Business Security 6.0 . In der letzten Zeit beobachte in der Ereignisanzeige -> Sicherheit am Tag mehrmalige Netzwerkanmeldungen zB
Erfolgreiche Netzwerkanmeldung:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0x2338CE67)
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Arbeitsstationsname: NONE-6A6F4EA6C7
Anmelde-GUID: -
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 123.204.28.203
Quellport: 0
Weder die IP noch der Arbeitsstationsname sind mir bekannt. Heisst das, dass sich jemand auf den Server den Zutritt verschafft? Wie kann man dagegen vorgehen? Kann man eine Richtlinie erstellen, dass Anmeldungen nur aus den Netz 192.168.1.1-255 möglich sind? Bisher habe ich noch keine Veränderungen beobachten können, bis auf ein neues Domänen-Benutzer Konto Administrator$ , das ich deaktiviert habe.
Ich wäre euch für die Beiträge zur Lösung meines Problems sehr dankbar
Gruß
Chris
ich bin ganz neu hier, ich hoffe, meine Frage richtig zu formulieren.
Es geht um einen Windows SBS 2003 Server mit aufgesetztem Exchange mit 3 Arbeitsstationen, Sicherheitssoftware: trendmicro Worry-Free Business Security 6.0 . In der letzten Zeit beobachte in der Ereignisanzeige -> Sicherheit am Tag mehrmalige Netzwerkanmeldungen zB
Erfolgreiche Netzwerkanmeldung:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0x2338CE67)
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Arbeitsstationsname: NONE-6A6F4EA6C7
Anmelde-GUID: -
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 123.204.28.203
Quellport: 0
Weder die IP noch der Arbeitsstationsname sind mir bekannt. Heisst das, dass sich jemand auf den Server den Zutritt verschafft? Wie kann man dagegen vorgehen? Kann man eine Richtlinie erstellen, dass Anmeldungen nur aus den Netz 192.168.1.1-255 möglich sind? Bisher habe ich noch keine Veränderungen beobachten können, bis auf ein neues Domänen-Benutzer Konto Administrator$ , das ich deaktiviert habe.
Ich wäre euch für die Beiträge zur Lösung meines Problems sehr dankbar
Gruß
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146754
Url: https://administrator.de/contentid/146754
Printed on: April 25, 2024 at 23:04 o'clock
3 Comments
Latest comment
Hallo Chris
Wenn Du zum Beispiel mit nslookup die oben erwähnte IP Adresse auslöst, erhälst du folgende Angaben:
Name: 123-204-28-203.dynamic.seed.net.tw
Address: 123.204.28.203
Oder öffne den folgenden Link in deinem Webbrowser http://www.dnsstuff.com/tools/ipall/?tool_id=67&token=&toolhand ...
Damit dir geholfen werden kann benötigen wir weitere Angaben (habt ihr eine Firewall, wie ist der Server an das Netz angebunden etc.)
Gruss
Markus
Wenn Du zum Beispiel mit nslookup die oben erwähnte IP Adresse auslöst, erhälst du folgende Angaben:
Name: 123-204-28-203.dynamic.seed.net.tw
Address: 123.204.28.203
Oder öffne den folgenden Link in deinem Webbrowser http://www.dnsstuff.com/tools/ipall/?tool_id=67&token=&toolhand ...
Damit dir geholfen werden kann benötigen wir weitere Angaben (habt ihr eine Firewall, wie ist der Server an das Netz angebunden etc.)
Gruss
Markus
Hallo Markus
vielen Dank für die schnelle Antwort.
Ich habe die Spur mithilfe nslookup-Dienste bereits verfolgt, es sind auf jeden Fall keine berechtigten User, Herkunftsland meistens China, Russland, USA. Also hat es mich auch nicht weitergebracht. Für mich stellt sich die Frage, heisst es, dass sich jemand einfach auf den Server einloggen/einwählen kann. Welche Rechte hat er ? Was kann er alles einrichten?
Weitere Infos: es ist ein Netzwerk - Server (Domäne und Exchange 2003) mit 3 Arbeitsstationen (Win XP Pro), alle über ein Switch verbunden, an das Netzwerk ist ein Router DrayTek Vigor2200E-plus angeschlossen, der als Gateway zum Internet fungiert sowie VPN Verbindung ans Netzwerk ermöglicht. Es ist keine besondere Firewall verfügbar, bis auf die SBS 2003 (wahrscheinlich nicht erwähnenswert) und die Firewall von dem Router DrayTec, die aber nur auf den Werkeinstellungen belassen wurde.
Wenn ich noch was wichtiges vergessen habe, lass es mich wissen
Gruß Chris
vielen Dank für die schnelle Antwort.
Ich habe die Spur mithilfe nslookup-Dienste bereits verfolgt, es sind auf jeden Fall keine berechtigten User, Herkunftsland meistens China, Russland, USA. Also hat es mich auch nicht weitergebracht. Für mich stellt sich die Frage, heisst es, dass sich jemand einfach auf den Server einloggen/einwählen kann. Welche Rechte hat er ? Was kann er alles einrichten?
Weitere Infos: es ist ein Netzwerk - Server (Domäne und Exchange 2003) mit 3 Arbeitsstationen (Win XP Pro), alle über ein Switch verbunden, an das Netzwerk ist ein Router DrayTek Vigor2200E-plus angeschlossen, der als Gateway zum Internet fungiert sowie VPN Verbindung ans Netzwerk ermöglicht. Es ist keine besondere Firewall verfügbar, bis auf die SBS 2003 (wahrscheinlich nicht erwähnenswert) und die Firewall von dem Router DrayTec, die aber nur auf den Werkeinstellungen belassen wurde.
Wenn ich noch was wichtiges vergessen habe, lass es mich wissen
Gruß Chris
Hallo Chris
Ich kenne mich SBS nicht aus, aber der Account Administrator$ ist absolut untypisch für Microsoft Produkte.
Aber an deiner Stelle würde ich einen Portscan vom Internet durchführen. Damit siehst du relativ schnell welche Ports auf deinem Router geöffnet sind und eventuell Handlungsbedarf besteht. Laut Beschreibung eurer Infrastruktur sollten Port 25 (SMTP) und der
entsprechende VPN Port auf Anfragen vom Internet Antwort geben. Aus Sicherheitsgründen empfehle ich dir alle Systeme mit einem aktuellen Virenscanner zu überpüfen.
Was die Absicherung deiner Umgebung betrifft, so müsste mit ein rudimentärer Schutz mit den Defaulteinstellungen gewährleistet sein (falls niemand die Konfiguration verändert hat.)
Ich hoffe das hilf dir wenigstens ein bischen weiter.
Gruss
Markus
Ich kenne mich SBS nicht aus, aber der Account Administrator$ ist absolut untypisch für Microsoft Produkte.
Aber an deiner Stelle würde ich einen Portscan vom Internet durchführen. Damit siehst du relativ schnell welche Ports auf deinem Router geöffnet sind und eventuell Handlungsbedarf besteht. Laut Beschreibung eurer Infrastruktur sollten Port 25 (SMTP) und der
entsprechende VPN Port auf Anfragen vom Internet Antwort geben. Aus Sicherheitsgründen empfehle ich dir alle Systeme mit einem aktuellen Virenscanner zu überpüfen.
Was die Absicherung deiner Umgebung betrifft, so müsste mit ein rudimentärer Schutz mit den Defaulteinstellungen gewährleistet sein (falls niemand die Konfiguration verändert hat.)
Ich hoffe das hilf dir wenigstens ein bischen weiter.
Gruss
Markus
