6
Mysteriöse Anmeldeversuche von verschiedenen IPs aus der ganzen Welt (vorwiegend aus China)
Liebe "Helfergemeinde",
ich habe da ein kleines Problem mit unserem SBS2003 Server.
In meiner Ereignisanzeige unter Sicherheit habe ich über 20.000 Einträge mit der Fehlernummer 529 in den letzten 6 Tagen.
Das Ereignis sieht folgendermaßen aus:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 14.12.2011
Zeit: 09:11:46
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER-PU
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrador
Domäne: FXNB
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: FXNB
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 221.178.6.223
Quellport: 0
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Die Domäne im Fehlerbericht stimmt nicht mit unserer Domäne überein.
Ich habe da mal so durchgeklickt und die IP Adressen gecheckt. Da sind welche aus London, USA, Portugal und viele verschiedene aus China, und Korea. Auch die Benutzernamen sind manchmal unterschiedlich: Administrateur, Administrator, Admin ...
Ich muss dazusagen dass mir das erst heute aufgefallen ist. Aber womöglich geht das schon seit langer Zeit so. Wie es aussieht versuchen mehrere verschiedene Leute sich an unserem Server anzumelden. Das Adminpasswort ist zu lang um es zufällig herauszufinden. Aber sorgen mache ich mir trotzdem. Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...) Kann ich Anmeldeversuche von extern unterbinden? Ich muss dazusagen: Wir haben einen Internetanschuss mit fester IP. Da haben es "Hacker" auch leichter tagelang Passwörter auszuprobieren.
Für eure Hilfe bedanke ich mich bereits jetzt.
Liebe Grüße
Christian
Das Ereignis sieht folgendermaßen aus:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 14.12.2011
Zeit: 09:11:46
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER-PU
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrador
Domäne: FXNB
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: FXNB
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 221.178.6.223
Quellport: 0
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Die Domäne im Fehlerbericht stimmt nicht mit unserer Domäne überein.
Ich habe da mal so durchgeklickt und die IP Adressen gecheckt. Da sind welche aus London, USA, Portugal und viele verschiedene aus China, und Korea. Auch die Benutzernamen sind manchmal unterschiedlich: Administrateur, Administrator, Admin ...
Ich muss dazusagen dass mir das erst heute aufgefallen ist. Aber womöglich geht das schon seit langer Zeit so. Wie es aussieht versuchen mehrere verschiedene Leute sich an unserem Server anzumelden. Das Adminpasswort ist zu lang um es zufällig herauszufinden. Aber sorgen mache ich mir trotzdem. Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...) Kann ich Anmeldeversuche von extern unterbinden? Ich muss dazusagen: Wir haben einen Internetanschuss mit fester IP. Da haben es "Hacker" auch leichter tagelang Passwörter auszuprobieren.
Für eure Hilfe bedanke ich mich bereits jetzt.
Liebe Grüße
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177706
Url: https://administrator.de/contentid/177706
Printed on: April 25, 2024 at 20:04 o'clock
6 Comments
Latest comment
Hi.
Klar, sperre alle Ports, die nicht notwendig sind. Ich vermute einmal, dass Port 3389 offen ist. Poste doch einmal, welche Ports du offen hast.
LG Günther
Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...)
Klar, sperre alle Ports, die nicht notwendig sind. Ich vermute einmal, dass Port 3389 offen ist. Poste doch einmal, welche Ports du offen hast.
LG Günther
Hi!
Ähmmm wie kann sich an einem firmeninternen Server (DC) von aussen jemand anmelden? Ich denke ihr habt ein massives Problem mit eurem "Netzwerk" oder äähm nennen wir es mal Nichtsicherheitskonzept, wobei hier die Betonung auf Nicht und Konzept steht und hoffen wir mal, dass Du bisher viel Glück hattest. Trotzdem würde ich den Server sicherheitshalber schnellstens offline nehmen, auf Malware untersuchen und mir danach über ein neues "Sicherheitskonzept" Gedanken machen.
mrtux
Ähmmm wie kann sich an einem firmeninternen Server (DC) von aussen jemand anmelden? Ich denke ihr habt ein massives Problem mit eurem "Netzwerk" oder äähm nennen wir es mal Nichtsicherheitskonzept, wobei hier die Betonung auf Nicht und Konzept steht und hoffen wir mal, dass Du bisher viel Glück hattest. Trotzdem würde ich den Server sicherheitshalber schnellstens offline nehmen, auf Malware untersuchen und mir danach über ein neues "Sicherheitskonzept" Gedanken machen.
mrtux
Hängt euer SBS etwa mit dem "nackten Arsch", sprich einem (ungeschützten) Interface, direkt im Internet? Und wenn ja, warum?
Am besten einen Seitenschneider nehmen und das Kabel kappen, bis jemand geklärt hat, warum der SBS Verbindungen von "außen" annehmen darf/soll/muß.
Übrigens: ein popeliger Baumarktrouter für 20€ und weniger, der NAT macht schützt schon vor solchen Fehlern.
lks
PS: Ein kurzer Überblick, wie euer Netzwerk und euer Internetzugang gestaltet ist und welche Dienste nach außen angeboten werden (sollen), würde helfen, bessere Tipps zu geben.
Am besten einen Seitenschneider nehmen und das Kabel kappen, bis jemand geklärt hat, warum der SBS Verbindungen von "außen" annehmen darf/soll/muß.
Übrigens: ein popeliger Baumarktrouter für 20€ und weniger, der NAT macht schützt schon vor solchen Fehlern.
lks
PS: Ein kurzer Überblick, wie euer Netzwerk und euer Internetzugang gestaltet ist und welche Dienste nach außen angeboten werden (sollen), würde helfen, bessere Tipps zu geben.
Hallo,
bitte nicht schimpfen aber mit dem "nackten Arsch" hattest du nicht unrecht. Ich muss dazusagen, grundsätzlich bin ich nicht für die Wartung unseres Servers zuständig. Aber was ich da jetzt gerade bemerkt habe, hat mir gerade den Boden unter den Füßen weggezogen. Der Server stand im Router im Menü DMZ drinnen. Kein Wunder dass der Server vom Internet aus gut ereichbar war. So, das habe ich nun korrigiert. Wie gesagt, bitte nicht schimpfen. Ich bin nicht der Verantwortliche. Noch nicht
Ich werde mich mit dem noch Verantwortlichen in Verbindung setzen.
Vielen Dank für eure Mithilfe.
Liebe Grüße
Christian
bitte nicht schimpfen aber mit dem "nackten Arsch" hattest du nicht unrecht. Ich muss dazusagen, grundsätzlich bin ich nicht für die Wartung unseres Servers zuständig. Aber was ich da jetzt gerade bemerkt habe, hat mir gerade den Boden unter den Füßen weggezogen. Der Server stand im Router im Menü DMZ drinnen. Kein Wunder dass der Server vom Internet aus gut ereichbar war. So, das habe ich nun korrigiert. Wie gesagt, bitte nicht schimpfen. Ich bin nicht der Verantwortliche. Noch nicht
Ich werde mich mit dem noch Verantwortlichen in Verbindung setzen.
Vielen Dank für eure Mithilfe.
Liebe Grüße
Christian
Die Kristallkugel kam gerade frisch von der Raparatur zurück. Sie funktioniert also wieder .
Hallo,
wir haben dieses "Hintergrundrauschen" auf unserem internetserver. Naja, der muss ja im internet hängen.
Eine statische IP wird einfach irgendwann mal auffallen, weil die einfach IP Bereiche durchscannen.
Wir haben auch aus aller Welt ip´s, die Methode ist root oder admin mit diversen Passwörtern oder
Benutzernamen ( ist immer lustig, pedro, juanita etc. aus Südamerika, Jim, Joe usw. aus amiland )
mit leeren Passwörtern oder Standardpasswörtern. Die versuchen halt die paar Kombinationen und gehen an die nächste IP.
Wenn die Glück haben, admin und "sesam", dann hast du ein Problem.
Die Frage ist natürlich, ob so ein Server im internet hängen muss. So richtig gut finde ich das nur, wenn, wie oben gesagt, tatsächlich Gründe dafür sprechen.
Viele haben es einfach so und dann.........
Gruß Jo
wir haben dieses "Hintergrundrauschen" auf unserem internetserver. Naja, der muss ja im internet hängen.
Eine statische IP wird einfach irgendwann mal auffallen, weil die einfach IP Bereiche durchscannen.
Wir haben auch aus aller Welt ip´s, die Methode ist root oder admin mit diversen Passwörtern oder
Benutzernamen ( ist immer lustig, pedro, juanita etc. aus Südamerika, Jim, Joe usw. aus amiland )
mit leeren Passwörtern oder Standardpasswörtern. Die versuchen halt die paar Kombinationen und gehen an die nächste IP.
Wenn die Glück haben, admin und "sesam", dann hast du ein Problem.
Die Frage ist natürlich, ob so ein Server im internet hängen muss. So richtig gut finde ich das nur, wenn, wie oben gesagt, tatsächlich Gründe dafür sprechen.
Viele haben es einfach so und dann.........
Gruß Jo
