7
Hackerangriff?
Hallo habe einen SBS2003 Std. Server aufgesetzt, der über einen Dyndns Eintrag von aussen wegen Intranetseite und Outlook Synchronisierung mit Mobile Phone erreichbar ist. Nun habe ich in dem letzten Serverleistungsbericht folgende Meldung erhalten:
Kritische Warnungen im Protokoll Sicherheit
Quelle Ereigniskennung Letztes Vorkommen Vorkommnisse insgesamt
Security 529 21.02.2009 19:32 2.089 *
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: administrator
Domäne:
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SBS2003
Aufruferbenutzername: SBS2003$
Aufruferdomäne: A***
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7984
Übertragene Dienste: -
Quellnetzwerkadresse: 87.123.54.67
Quellport: 2367
Weiß jemand Rat?
Kritische Warnungen im Protokoll Sicherheit
Quelle Ereigniskennung Letztes Vorkommen Vorkommnisse insgesamt
Security 529 21.02.2009 19:32 2.089 *
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: administrator
Domäne:
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SBS2003
Aufruferbenutzername: SBS2003$
Aufruferdomäne: A***
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7984
Übertragene Dienste: -
Quellnetzwerkadresse: 87.123.54.67
Quellport: 2367
Weiß jemand Rat?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 109707
Url: https://administrator.de/contentid/109707
Printed on: April 25, 2024 at 12:04 o'clock
7 Comments
Latest comment
Hallo,
da hat sich einer versucht als Admin anzumelden und ein falsches Passwort eingegeben (vertippt?). Interessant wäre zu klären, wo die IP 87. .... hingehört .
Ein ping auf die Adresse ergibt eine dynamische IP bei versanet.
da hat sich einer versucht als Admin anzumelden und ein falsches Passwort eingegeben (vertippt?). Interessant wäre zu klären, wo die IP 87. .... hingehört .
Ein ping auf die Adresse ergibt eine dynamische IP bei versanet.
die Ip ist schnell lokalisiert
87.123.54.67 IP address location & more:
IP address [?]: 87.123.54.67 Copy [Whois] [Reverse IP]
IP address country: ip address flag Germany
IP address state: Nordrhein-Westfalen
IP address city: Gelsenkirchen
IP address latitude: 51.5167
IP address longitude: 7.0500
ISP of this IP [?]: Versatel West GmbH
Organization: Versatel Deutschland
Host of this IP: [?]: i577B3643.versanet.de [Whois] [Trace]
Local time in Germany: 2009-02-22 19:12
die frage ist aber,ob ein Proxy genutzt wurde,weil wenn ja würde das dann ein Fingerzeig ins nichts sein.
Und nunja das Server angegriffen werden ist ja nun nix neues und auch hier gilt,ein System ist Grundsätzlich nur so sicher wie es von dem davor sitzenden eingerichtet wurde ;)
An deiner stelle würde ich das Adminkonto in den Lokalen Sicherheitsrichtlinien umbenennen und ein Keysensitives Passwort nehmen.
Zudem solltest du dein System stählern.
87.123.54.67 IP address location & more:
IP address [?]: 87.123.54.67 Copy [Whois] [Reverse IP]
IP address country: ip address flag Germany
IP address state: Nordrhein-Westfalen
IP address city: Gelsenkirchen
IP address latitude: 51.5167
IP address longitude: 7.0500
ISP of this IP [?]: Versatel West GmbH
Organization: Versatel Deutschland
Host of this IP: [?]: i577B3643.versanet.de [Whois] [Trace]
Local time in Germany: 2009-02-22 19:12
die frage ist aber,ob ein Proxy genutzt wurde,weil wenn ja würde das dann ein Fingerzeig ins nichts sein.
Und nunja das Server angegriffen werden ist ja nun nix neues und auch hier gilt,ein System ist Grundsätzlich nur so sicher wie es von dem davor sitzenden eingerichtet wurde ;)
An deiner stelle würde ich das Adminkonto in den Lokalen Sicherheitsrichtlinien umbenennen und ein Keysensitives Passwort nehmen.
Zudem solltest du dein System stählern.
Hallo,
Ich gehe mal dovon aus das du den Webzugriff auf Administrator-Account deaktiviert hast, oder? Wenn nicht, solltest du das auf jedenfall nachholen...
Gruß
Daniel
Ich gehe mal dovon aus das du den Webzugriff auf Administrator-Account deaktiviert hast, oder? Wenn nicht, solltest du das auf jedenfall nachholen...
Gruß
Daniel
Anmeldetyp 10 sagt uns Terminaldienste sichern und den Vorgang weiter beobachten; mehr kannst du erst mal nicht machen.
saludos
gnarff
saludos
gnarff
Wie häufig kam denn diese Fehlermeldung vor?
Ich denke, bei einem einmaligem Auftreten sollte man das noch ein paar
Tage im Auge behalten.
Wenn es jetzt sehr häufig auftritt (z.B. 10x pro Sekunde) handelt es sich
dabei definitiv um einen Hackerangriff.
In diesem Falle sollte man sich einen zweiten Administratoraccount anlegen
(am besten mit einem Namen den man nicht mit Adminrechten in Verbindung
bringen kann) und voreingestellten "Administrator"-Account deaktivieren.
Diesen Vorgang halte ich so oder so für sinnvoll, insofern keine Anwendung
eben diesen Account benötigt, da die meisten Brute-Force Angriffe sich
auf den voreingestellten Administrator-Account beziehen.
EDIT:
@?HightopOne: Dürfte man erfahren welchen whois-Dienst du nutzt?
EDIT2:
Wenn die "Angriffe" andauern würde ich einen Abuse-Meldung an Versatel machen.
Ein Formular hierfür findet man auf:
http://abuse.versatel.de/index.php?lang=de
Wichtig dabei ist, das du möglichst viele Beweise (Eventlog in deinem Falle) vorlegst.
Ich denke, bei einem einmaligem Auftreten sollte man das noch ein paar
Tage im Auge behalten.
Wenn es jetzt sehr häufig auftritt (z.B. 10x pro Sekunde) handelt es sich
dabei definitiv um einen Hackerangriff.
In diesem Falle sollte man sich einen zweiten Administratoraccount anlegen
(am besten mit einem Namen den man nicht mit Adminrechten in Verbindung
bringen kann) und voreingestellten "Administrator"-Account deaktivieren.
Diesen Vorgang halte ich so oder so für sinnvoll, insofern keine Anwendung
eben diesen Account benötigt, da die meisten Brute-Force Angriffe sich
auf den voreingestellten Administrator-Account beziehen.
EDIT:
@?HightopOne: Dürfte man erfahren welchen whois-Dienst du nutzt?
EDIT2:
Wenn die "Angriffe" andauern würde ich einen Abuse-Meldung an Versatel machen.
Ein Formular hierfür findet man auf:
http://abuse.versatel.de/index.php?lang=de
Wichtig dabei ist, das du möglichst viele Beweise (Eventlog in deinem Falle) vorlegst.
@ohforf
ich nutz unterschiedliche, meistens aber diesen
http://www.ip-adress.com/IP_adresse/
http://www.ip-adress.com/ip_tracer/
den gibet auch noch
http://www.whois.sc/ oder diesen http://www.internic.net/whois.html
aber meine lieblinge sind die ersten beiden links.
ich nutz unterschiedliche, meistens aber diesen
http://www.ip-adress.com/IP_adresse/
http://www.ip-adress.com/ip_tracer/
den gibet auch noch
http://www.whois.sc/ oder diesen http://www.internic.net/whois.html
aber meine lieblinge sind die ersten beiden links.
vielen dank für die Hilfen 
