Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IIS 6.0 Securitylogs. Wie kann ich diese Logs deuten ? Sind es Angriffsversuche ?

Mitglied: 17169

17169 (Level 1)

30.09.2006, aktualisiert 01.10.2006, 6546 Aufrufe, 3 Kommentare

Hallo zusammen,

die Fehlerüberwachunglogs unseres Webservers bringen in letzter Zeit viele Meldung. Können Sie mir sagen, was sich hinter diesen Meldungen verbirgt !? Ich befürchte, dass man versucht unseren Webserver anzugreifen. Hinter der in der Meldung genannten IP-Adresse verbirgt sich laut ripe.net nämlich ein Konkurenzunternehmen.

Meldung1:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername:
Domäne: P15190942
Anmeldetyp: 8
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1764
Übertragene Dienste: -
Quellnetzwerkadresse:

Quellport: 1393


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
Meldung2:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: scr
Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Fehlercode: 0xC0000064


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Das verwunderliche ist nämlich auch, dass vor dem (externen) Webserver eine FW steht die nur unsere öffentliche IP-Adresse hier zum konfigurieren (3389 rdp, 22 ssh) zulässt. Port 80 und 443 ist natürlich für "any" freigegeben. Warum kann sich diese IP trotzdem versuchen anzumelden ?

Gruß,
Nico
Mitglied: DaSam
30.09.2006 um 14:19 Uhr
Hi,

schau doch mal in den Serverlogs des IIS nach, welche IP-Adresse den Request für welche URI geschickt hat.

Eventuell wollte er einen Bereich auf dem IIS ansprechen, der Passwortgeschützt ist.

cu,
Alex
Bitte warten ..
Mitglied: 17169
01.10.2006 um 12:00 Uhr
Danke erstmal für den Tipp. Ich habe leider nur folgende Zeilen gefunden die mir etwas komisch vorkommen. Sie kommen ebenfalls von besagter Konkurenz-IP:

[code]
2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /_vti_bin/owssvr.dll UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 200 0 3


2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /MSOffice/cltreq.asp UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 404 0 2
[/code]

Auf einer von Google gefunden Seite wurde berichtet, dass es sich dabei um einen alten Wurm handelt der versucht herauszufinden ob es sich um einen IIS handelt. Kann das jmd bestätigen ?

http://forum.de.selfhtml.org/archiv/2005/5/t108290/
Bitte warten ..
Mitglied: DaSam
01.10.2006 um 18:42 Uhr
Hi,

das mit dem Wurm kann ich nicht kommentieren - allerdings handelt es sich bei der owssvr.dll und eine bekannte Schwachstelle des Sharepoint Servers, die unbedingt gepatcht gehört. Habt ihr die neuesten Updates drauf?

Schau doch mal nach, ob die Quell-IP immer auf den gleichen Host/Netzbereich zeigt?
Bitte warten ..
Ähnliche Inhalte
Windows Server
IIS 6.0 und Domänenanmeldung
Frage von slanskyWindows Server

Hallo Leute, ich habe eine Frage, aber erst die Umgebung: Domäne mit 3 DCs Windows Server 2008 R2 und ...

Windows Server
IIS error tracking log
Frage von petereWindows Server

Hallo, seit geraumer Zeit, ich glaube 1 Jahr, hat Microsoft netterweise den XML-Schemen-Server für die IIS 7 Logfiles abgeschalten, ...

Microsoft
IIS Logs löschen
Frage von H41mSh1C0RMicrosoft3 Kommentare

Guten Morgen in die Runde, mir laufen bei einem Webserver die Logs voll. 140MB pro Tag klingt erstmal vielleicht ...

Exchange Server

IIS 6.0 SMTP-Server als Relay für Exchange

Frage von Turbo-MasterExchange Server2 Kommentare

Hallo Leute, wir verwenden den SMTP-Server des IIS 6.0 als Relay für unseren Exchange-Server und haben folgendes Problem: Wenn ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 11 StundenDatenschutz

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz22 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...