Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mysteriöse Anmeldeversuche von verschiedenen IPs aus der ganzen Welt (vorwiegend aus China)

Mitglied: Whirly

Whirly (Level 1) - Jetzt verbinden

14.12.2011, aktualisiert 18:50 Uhr, 5490 Aufrufe, 6 Kommentare

Liebe "Helfergemeinde",

ich habe da ein kleines Problem mit unserem SBS2003 Server.

In meiner Ereignisanzeige unter Sicherheit habe ich über 20.000 Einträge mit der Fehlernummer 529 in den letzten 6 Tagen.
Das Ereignis sieht folgendermaßen aus:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 14.12.2011
Zeit: 09:11:46
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER-PU
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrador
Domäne: FXNB
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: FXNB
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 221.178.6.223
Quellport: 0


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Die Domäne im Fehlerbericht stimmt nicht mit unserer Domäne überein.
Ich habe da mal so durchgeklickt und die IP Adressen gecheckt. Da sind welche aus London, USA, Portugal und viele verschiedene aus China, und Korea. Auch die Benutzernamen sind manchmal unterschiedlich: Administrateur, Administrator, Admin ...
Ich muss dazusagen dass mir das erst heute aufgefallen ist. Aber womöglich geht das schon seit langer Zeit so. Wie es aussieht versuchen mehrere verschiedene Leute sich an unserem Server anzumelden. Das Adminpasswort ist zu lang um es zufällig herauszufinden. Aber sorgen mache ich mir trotzdem. Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...) Kann ich Anmeldeversuche von extern unterbinden? Ich muss dazusagen: Wir haben einen Internetanschuss mit fester IP. Da haben es "Hacker" auch leichter tagelang Passwörter auszuprobieren.

Für eure Hilfe bedanke ich mich bereits jetzt.

Liebe Grüße
Christian
Mitglied: GuentherH
14.12.2011 um 18:12 Uhr
Hi.

Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...)

Klar, sperre alle Ports, die nicht notwendig sind. Ich vermute einmal, dass Port 3389 offen ist. Poste doch einmal, welche Ports du offen hast.

LG Günther
Bitte warten ..
Mitglied: mrtux
14.12.2011 um 18:14 Uhr
Hi!

Ähmmm wie kann sich an einem firmeninternen Server (DC) von aussen jemand anmelden? Ich denke ihr habt ein massives Problem mit eurem "Netzwerk" oder äähm nennen wir es mal Nichtsicherheitskonzept, wobei hier die Betonung auf Nicht und Konzept steht und hoffen wir mal, dass Du bisher viel Glück hattest. Trotzdem würde ich den Server sicherheitshalber schnellstens offline nehmen, auf Malware untersuchen und mir danach über ein neues "Sicherheitskonzept" Gedanken machen.

mrtux
Bitte warten ..
Mitglied: Lochkartenstanzer
14.12.2011 um 18:43 Uhr
Hängt euer SBS etwa mit dem "nackten Arsch", sprich einem (ungeschützten) Interface, direkt im Internet? Und wenn ja, warum?

Am besten einen Seitenschneider nehmen und das Kabel kappen, bis jemand geklärt hat, warum der SBS Verbindungen von "außen" annehmen darf/soll/muß.

Übrigens: ein popeliger Baumarktrouter für 20€ und weniger, der NAT macht schützt schon vor solchen Fehlern.

lks

PS: Ein kurzer Überblick, wie euer Netzwerk und euer Internetzugang gestaltet ist und welche Dienste nach außen angeboten werden (sollen), würde helfen, bessere Tipps zu geben.
Bitte warten ..
Mitglied: Whirly
14.12.2011 um 19:08 Uhr
Hallo,

bitte nicht schimpfen aber mit dem "nackten Arsch" hattest du nicht unrecht. Ich muss dazusagen, grundsätzlich bin ich nicht für die Wartung unseres Servers zuständig. Aber was ich da jetzt gerade bemerkt habe, hat mir gerade den Boden unter den Füßen weggezogen. Der Server stand im Router im Menü DMZ drinnen. Kein Wunder dass der Server vom Internet aus gut ereichbar war. So, das habe ich nun korrigiert. Wie gesagt, bitte nicht schimpfen. Ich bin nicht der Verantwortliche. Noch nicht
Ich werde mich mit dem noch Verantwortlichen in Verbindung setzen.

Vielen Dank für eure Mithilfe.

Liebe Grüße
Christian
Bitte warten ..
Mitglied: Lochkartenstanzer
14.12.2011 um 19:34 Uhr
Die Kristallkugel kam gerade frisch von der Raparatur zurück. Sie funktioniert also wieder .
Bitte warten ..
Mitglied: schattenhacker
18.12.2011 um 16:27 Uhr
Hallo,

wir haben dieses "Hintergrundrauschen" auf unserem internetserver. Naja, der muss ja im internet hängen.
Eine statische IP wird einfach irgendwann mal auffallen, weil die einfach IP Bereiche durchscannen.
Wir haben auch aus aller Welt ip´s, die Methode ist root oder admin mit diversen Passwörtern oder
Benutzernamen ( ist immer lustig, pedro, juanita etc. aus Südamerika, Jim, Joe usw. aus amiland )
mit leeren Passwörtern oder Standardpasswörtern. Die versuchen halt die paar Kombinationen und gehen an die nächste IP.
Wenn die Glück haben, admin und "sesam", dann hast du ein Problem.
Die Frage ist natürlich, ob so ein Server im internet hängen muss. So richtig gut finde ich das nur, wenn, wie oben gesagt, tatsächlich Gründe dafür sprechen.
Viele haben es einfach so und dann.........

Gruß Jo
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
China und VPN
gelöst Frage von lasterLAN, WAN, Wireless15 Kommentare

Hallo, einer unserer Kunden hat eine kleine Niederlassung in China mit ca. 5 PC. Die PCs haben einen SSL-VPN-Client ...

Linux Netzwerk
OPSI Mysteriöser mountresult: 53
gelöst Frage von VladislavLinux Netzwerk3 Kommentare

Guten Tag Administartoren, es geht um folgendes Mysterium: Als erstes habe ich eine virtuelle Maschine(Ohne Betriebssystem) als Opsi-client Registriert. ...

Windows Server
Fehlerhafte Anmeldeversuche Server
Frage von itse92Windows Server2 Kommentare

Hallo, in der Ereignisanzeige auf meinem Server (Server2008R2) gab es die letzten Tage, über den Tag verteilt immer so ...

Hosting & Housing

Internetverbindung zwischen Deutschland und China

Frage von VancouveronaHosting & Housing11 Kommentare

Hallo, sitze gerade in Shanghai und lasse meinen Aufenthalt hier noch Mal Revue passieren. Eines meiner Probleme ist die ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 StundeHumor (lol)

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 14 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 14 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 18 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...