0
Fehlgeschlagene Anmeldungen im Event-Log, Firewall-Log zeigt Zugriff auf Port 110
Hallo Leute,
zunächst einmal ein kräftiges HALLO, an alle Leser dieses Forums.
Ich finde dieses Forum wirklich gut und informativ, habe hier auch schon viel gelernt.
Ich komme aus dem Bereich Softwareentwicklung und habe mir vor einem Monat eine VM gemietet.
Da die Administration eines Servers für mich ziemliches Neuland ist, habe ich natürlich viel
hier im Forum gestöbert und gelesen. Bei dem Betriebssystem handelt es sich um einen
MS Server 2003 Standard mit SP2. Die VM ist für einen Internet-Auftritt vorgesehen.
Vieles was ich bisher hier gelesen habe, über Einbruchsversuche usw., bestätigt sich auch bei mir,
daher habe ich alle Logs aktiviert und sehe mir diese natürlich auch aufmerksam an.
Gestern sind mir mehrere Eintäge im Event-Log aufgefallen.
Zunächst dachte ich, es versucht sich jemand über den RemoteDesktop zu verbinden. Ein Blick
in das Log der Firewall zeigte dann aber einen Zugriff auf den Port 110 (POP3).
Der Spuk dauerte etwa 2 Minuten, allerdings mit mehreren Threads ausgeführt, so sieht es
zumindest im Log aus.
Benutzte Namen waren u.a.: root, www, web, server, account, backup, oracle8, oracle, user, admin,
test, webmaster, data, lizdy usw...
Möchte da jemand die Post dieser Konten lesen oder hat dieser Angriff noch andere Hintergründe ?
Bei der bösen IP handelt es sich um eine EDV-Firma aus Österreich, ich vermute schon fast, dass
dort niemand eine Ahnung von den Vorgängen hat.
Was meint ihr dazu ?
Über einen Erfahrungsaustausch würde ich mich sehr freuen...
Bis dann, Grüße aus dem hohen Norden !
Patrick
Folgend noch ein Ausschnitt aus dem Event- und Firewall-Log.
[XXXXXX] - steht für meine Domäne.
Auszug Event Log
27.06.2008,14:31:29,Security,Fehlerüberw.,An-/Abmeldung ,529,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: root
Domäne: [XXXXXX]
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: [XXXXXX]
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1384
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
27.06.2008,14:31:29,Security,Fehlerüberw.,Kontoanmeldung ,680,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: root
Arbeitsstation: [XXXXXX]
Fehlercode: 0xC0000064
Auszug Firewall-Log
2008-06-27 14:31:29 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12750 110 - - - - - - - - -
2008-06-27 14:31:29 CLOSE TCP [Meine IP] [Böse IP] 110 12750 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12822 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12822 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12889 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12889 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12939 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12939 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12991 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12991 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 13010 110 - - - - - - - - -
[...]
zunächst einmal ein kräftiges HALLO, an alle Leser dieses Forums.
Ich finde dieses Forum wirklich gut und informativ, habe hier auch schon viel gelernt.
Ich komme aus dem Bereich Softwareentwicklung und habe mir vor einem Monat eine VM gemietet.
Da die Administration eines Servers für mich ziemliches Neuland ist, habe ich natürlich viel
hier im Forum gestöbert und gelesen. Bei dem Betriebssystem handelt es sich um einen
MS Server 2003 Standard mit SP2. Die VM ist für einen Internet-Auftritt vorgesehen.
Vieles was ich bisher hier gelesen habe, über Einbruchsversuche usw., bestätigt sich auch bei mir,
daher habe ich alle Logs aktiviert und sehe mir diese natürlich auch aufmerksam an.
Gestern sind mir mehrere Eintäge im Event-Log aufgefallen.
Zunächst dachte ich, es versucht sich jemand über den RemoteDesktop zu verbinden. Ein Blick
in das Log der Firewall zeigte dann aber einen Zugriff auf den Port 110 (POP3).
Der Spuk dauerte etwa 2 Minuten, allerdings mit mehreren Threads ausgeführt, so sieht es
zumindest im Log aus.
Benutzte Namen waren u.a.: root, www, web, server, account, backup, oracle8, oracle, user, admin,
test, webmaster, data, lizdy usw...
Möchte da jemand die Post dieser Konten lesen oder hat dieser Angriff noch andere Hintergründe ?
Bei der bösen IP handelt es sich um eine EDV-Firma aus Österreich, ich vermute schon fast, dass
dort niemand eine Ahnung von den Vorgängen hat.
Was meint ihr dazu ?
Über einen Erfahrungsaustausch würde ich mich sehr freuen...
Bis dann, Grüße aus dem hohen Norden !
Patrick
Folgend noch ein Ausschnitt aus dem Event- und Firewall-Log.
[XXXXXX] - steht für meine Domäne.
Auszug Event Log
27.06.2008,14:31:29,Security,Fehlerüberw.,An-/Abmeldung ,529,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: root
Domäne: [XXXXXX]
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: [XXXXXX]
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1384
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
27.06.2008,14:31:29,Security,Fehlerüberw.,Kontoanmeldung ,680,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: root
Arbeitsstation: [XXXXXX]
Fehlercode: 0xC0000064
Auszug Firewall-Log
2008-06-27 14:31:29 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12750 110 - - - - - - - - -
2008-06-27 14:31:29 CLOSE TCP [Meine IP] [Böse IP] 110 12750 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12822 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12822 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12889 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12889 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12939 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12939 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12991 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12991 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 13010 110 - - - - - - - - -
[...]
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 90842
Url: https://administrator.de/contentid/90842
Printed on: April 26, 2024 at 22:04 o'clock