Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IIS 6.0 Securitylogs. Wie kann ich diese Logs deuten ? Sind es Angriffsversuche ?

Mitglied: 17169

17169 (Level 1)

30.09.2006, aktualisiert 01.10.2006, 6530 Aufrufe, 3 Kommentare

Hallo zusammen,

die Fehlerüberwachunglogs unseres Webservers bringen in letzter Zeit viele Meldung. Können Sie mir sagen, was sich hinter diesen Meldungen verbirgt !? Ich befürchte, dass man versucht unseren Webserver anzugreifen. Hinter der in der Meldung genannten IP-Adresse verbirgt sich laut ripe.net nämlich ein Konkurenzunternehmen.

Meldung1:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername:
Domäne: P15190942
Anmeldetyp: 8
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1764
Übertragene Dienste: -
Quellnetzwerkadresse:

Quellport: 1393


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
Meldung2:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: scr
Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Fehlercode: 0xC0000064


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Das verwunderliche ist nämlich auch, dass vor dem (externen) Webserver eine FW steht die nur unsere öffentliche IP-Adresse hier zum konfigurieren (3389 rdp, 22 ssh) zulässt. Port 80 und 443 ist natürlich für "any" freigegeben. Warum kann sich diese IP trotzdem versuchen anzumelden ?

Gruß,
Nico
Mitglied: DaSam
30.09.2006 um 14:19 Uhr
Hi,

schau doch mal in den Serverlogs des IIS nach, welche IP-Adresse den Request für welche URI geschickt hat.

Eventuell wollte er einen Bereich auf dem IIS ansprechen, der Passwortgeschützt ist.

cu,
Alex
Bitte warten ..
Mitglied: 17169
01.10.2006 um 12:00 Uhr
Danke erstmal für den Tipp. Ich habe leider nur folgende Zeilen gefunden die mir etwas komisch vorkommen. Sie kommen ebenfalls von besagter Konkurenz-IP:

[code]
2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /_vti_bin/owssvr.dll UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 200 0 3


2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /MSOffice/cltreq.asp UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 404 0 2
[/code]

Auf einer von Google gefunden Seite wurde berichtet, dass es sich dabei um einen alten Wurm handelt der versucht herauszufinden ob es sich um einen IIS handelt. Kann das jmd bestätigen ?

http://forum.de.selfhtml.org/archiv/2005/5/t108290/
Bitte warten ..
Mitglied: DaSam
01.10.2006 um 18:42 Uhr
Hi,

das mit dem Wurm kann ich nicht kommentieren - allerdings handelt es sich bei der owssvr.dll und eine bekannte Schwachstelle des Sharepoint Servers, die unbedingt gepatcht gehört. Habt ihr die neuesten Updates drauf?

Schau doch mal nach, ob die Quell-IP immer auf den gleichen Host/Netzbereich zeigt?
Bitte warten ..
Ähnliche Inhalte
Windows Server
IIS 6.0 und Domänenanmeldung
Frage von slanskyWindows Server

Hallo Leute, ich habe eine Frage, aber erst die Umgebung: Domäne mit 3 DCs Windows Server 2008 R2 und ...

Windows Server
IIS error tracking log
Frage von petereWindows Server

Hallo, seit geraumer Zeit, ich glaube 1 Jahr, hat Microsoft netterweise den XML-Schemen-Server für die IIS 7 Logfiles abgeschalten, ...

Microsoft
IIS Logs löschen
Frage von H41mSh1C0RMicrosoft3 Kommentare

Guten Morgen in die Runde, mir laufen bei einem Webserver die Logs voll. 140MB pro Tag klingt erstmal vielleicht ...

Exchange Server

IIS 6.0 SMTP-Server als Relay für Exchange

Frage von Turbo-MasterExchange Server2 Kommentare

Hallo Leute, wir verwenden den SMTP-Server des IIS 6.0 als Relay für unseren Exchange-Server und haben folgendes Problem: Wenn ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 2 TagenInternet9 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 5 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 5 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 6 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server Architektur mit RAID 5 - wozu interne Platten?
Frage von Pierre78Festplatten, SSD, Raid10 Kommentare

Hallo, ich beschäftige mich gerade mit RAID Systemen. Ich habe mir einen gebrauchten Dell PowerEdge R515 gekauft. Dieser hat ...

DSL, VDSL
886VA und VDSL 50
Frage von agent00nixDSL, VDSL9 Kommentare

Ich bekomme nicht die vertraglich vereinbarten 50 Mbit/s US sondern nur 15 Mbit/s Was mache ich falsch ? Hier ...

Samba
Netzlaufwerk über VPN hat Probleme
Frage von geocastSamba8 Kommentare

Hallo Zusammen Ich habe hier ein QNAP TS-269 Pro (aktuellste Firmware) NAS in einem entfernten Standort, der über VPN ...

Outlook & Mail
Outlook 2013 gesendete Mail verschwunden (falsche Empfängeradresse)
Frage von eastclintwoodOutlook & Mail6 Kommentare

Hallo, ich nutze Outlook 2013 neu. Ich hab eine falsche Empfängeradresse beim Versenden (Outlook->googlemail) angegeben und somit diese Nachricht ...