Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS 2003 Nicht nachvollziehbare Fehler im Sicherheitsprotokoll Security Event-ID 529

Mitglied: chaincom

chaincom (Level 1) - Jetzt verbinden

14.08.2012 um 12:05 Uhr, 3394 Aufrufe, 7 Kommentare

Liebe Administratoren,

auf einem Kundeserver beobachte ich bereits seit ca. einem Monat den folgenden Fehler im Sicherheitsprotokoll (wird täglich per Serverleistungsbericht zugesendet).

Quelle: Security
Ereignis-ID: 529
Letztes Vorkommen: 13.08.2012 17:55
Vorkommnisse insgesamt: 24.151*

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: `‚
J + ‚
>0‚
Domäne: <meineDomain>.local
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: <meinServer>
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 3616
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -


In älteren Serverleistungsberichten tauchte dieser Fehler pro Tag ca. 5-10 mal auf.

Was mich hier irritiert ist das extrem häufige Vorkommen: 24.151.

Der Benutzername ist mir absolut fremd.

Unter den angegebenen Aufrufermeldekennung und Aufruferprozesskennung finde ich leider keine Hinweise.

Da ein Abgleich mit dem ISA-Server-Log ebenfalls keine Hinweise auf einen Zugriff von Extern schließen lässt, kann es ja nur ein Dienst/Programm auf dem SBS oder einer der internen XP-Clients sein.
Da die Quellnetzwerkadresse und der Quellport aber nicht angegeben sind, komme ich an dieser Stelle auch nicht weiter.

Auffalden ist zudem, dass das jeweils letzte Vormommen immer in den Betriebszeiten der Firma liegt.
Allerdings kann ich kein Muster der zwischen dem letzten Vorkommens des Fehlers und der Abmeldung eines PC im Netzwerk erkennen.

Der Server ist folgendermaßen konfiguriert:
- MAXDATA Platinum Server
- 1 x XEON E5405
- 4 GB RAM
- SBS 2003 SP2 Premium mit 35 Usern
- ISA 2004
- Trend Micro WFBS Advanced 7.0 SP1
- Backup Exec 12

Im Netzwerk befinden sich 33 XP SP3-PCs, sowie ein Server 2008 als Terminalserver und ein Server 2008 als SQL-Server (SQL-Server 2008).

Ich stehe leider total auf dem Schlauch, zudem im letzten halben Jahr - mal abgesehen von den Windows Updates - keine Änderungen an der Serverkonfiguration vorgenommen wurden.

Hat vielleicht jemand noch einen Ansatz, wie ich hier weiter auf die Suche/Fehlerbehebung gehen kann?

Vielen Dank im Vorraus.

Chris
Mitglied: keine-ahnung
14.08.2012 um 12:16 Uhr
Zitat von chaincom:
Hat vielleicht jemand noch einen Ansatz, wie ich hier weiter auf die Suche/Fehlerbehebung gehen kann?

Hi,

und ja: Suchfunktion im Forum benutzen. Dann findest Du u.a. das hier. Einfach mal abarbeiten, vielleicht hilft's ...

LG, Thomas
Bitte warten ..
Mitglied: Chonta
14.08.2012, aktualisiert um 13:27 Uhr
Hallo,


da versucht vermutlich jemand ne Brutforceatakce über SMTP zu fahren.
Aus dem internen Netz würde IP und Rechnername aufgelöst werden.
Wenn Du ne Firewall hast, dann schau in den Logs nach, ob Du die IP von ders kommt blocken kannst.

Ich hoffe Du hast eine Sperrung der Benutzerkonten bei zu oft falscher Passworteingabe aktiv, für den Fall, das der Angriefer mit echten Benutzernamen kommt oder zufällig trifft.
Sind die SQL-Server aus dem Internet erreichbar, bzw. eine Webseite über die Daten von dort ausgelesen werden?

Gruß

Chonta
Bitte warten ..
Mitglied: keine-ahnung
14.08.2012 um 13:43 Uhr
Bruteforce mit immer denselben Benutzereinstellungen? Wenn das immer so nett läuft, könnte man sich die firewall sparen ...

LG, Thomas
Bitte warten ..
Mitglied: Chonta
14.08.2012 um 13:58 Uhr
Hallo,

die 24K versuche sind 100% nicht immer der selbe Benutzername und auf jedenfall immer mit anderen Passwort. Aber wer will jetzt jeden einzelnen Eintrag durchgehen?
Auf jedenfall hat da einer die IP über den MX Eintrag rausbekommenund und versucht nun auf den Ports die der Server als Mailserver zur Verfügung stellt zugriff zu bekommen.

Es werden Benutzernamen wie test, Administrator, admin, webmaster, test, root und Allerweltsnamen auftauchen.
Jehnachdem ob es in echt Benutzerkonten mit Mailadresse gibt die abgefragt werden und anhängig der Passwortlänge, kann es Probleme geben.
Aber höchstwarscheinlich passiert da nix.
Dennoch über die Firewall die IP ausfindig machen und blocken, und ggf über einen Logserver nachdenken, wenn der Router nicht soviel loggen kann und an einen Linuxserver Syslog senden kann.

Gruß

Chonta
Bitte warten ..
Mitglied: chaincom
14.08.2012, aktualisiert um 14:26 Uhr
Hallo Chonta,

danke für Deine Ansätze.

Ich habe vom ISA alle eingehenden Verbindungen über zwei Tage protokollieren lassen und mit dem Sicherheitsprotokoll abgeglichen.
Es finden sich hier von zwei IP-Adressen (212.227.15.146 und 212.227.15.130) einige von der ISA verweigerte Verbindungen.
Der Quellport ist immer 25, die Zielports zwischen 1356 und 65405. Allerdings passen die letzten Protokolleinträge für die jeweiligen Tage nicht zusammen mit dem Zeitstempel des letzten Vorkommens im Sicherheitsprotokoll.

Was mich an dieser Stelle aber wundert ist die Tatsache, dass vor dem SBS noch eine Fritz!Box 7170 vorgeschaltet ist, auf der nur ein Portforwarding für die Ports 80, 443 und 1723 eingerichtet ist. Wie kann es denn sein, dass diese - zwar von der ISA geblockten - Zugriffe überhaupt hier ankommen?

Die Sperrung der Nutzerkonten ist selbstverständlich aktiv, doch der Benutzername aus dem Protokoll (`‚J + ‚>0‚) existiert in der Domäne nicht. Hier finde ich nur ansonsten nur Benutzernamen mit Ihren passenden Arbeitsstationen, die auch tatsächlich existieren.

Werde im nächsten Schritt mal schauen, ob und wie ich die Fritz!Box Firewall dazu bringen kann, mir etwas mehr Daten zu liefern.

Viele Grüße
Christopher

EDIT:
Zum Thema MX-Eintrag: den gibt es nicht.
Der Router verfügt zwar über eine statische IP, die E-Mails werden mit PopCon von 1und1 abgeholt (Sammelpostfach) und via Exchange SMTP-Connector auch über 1und1 versendet.

EDIT_2:
Die beiden oben genannten IP-Adressen sind von 1und1 - auth.smtp.kundenserver.de. Also Entwarnung an dieser Stelle.
Bitte warten ..
Mitglied: Chonta
14.08.2012 um 16:30 Uhr
Hallo,

es gibt immer einen Zeitversatz von einigen Sekunden zwischen dem ISA Log und dem Logeintrag auf dem Server bzw. zwischen Firewall Logeintrag und Serverlogeintrag.
Mal so gefragt, wird OWA verwendet? und gibt es dafür auch einen öffentlichen DNS-Namen?
Schonmal versucht dich über port 25 mit eurer Festen IP zu verbinden?

Es könnte auch was mit SQL zu tun haben, verzeichnen die SQL-Server irgendetwas komisches?
Denn wenn die 24k Versuche immer nur `‚J + ‚>0‚ ...


Gruß

Chonta
Bitte warten ..
Mitglied: chaincom
14.08.2012 um 17:19 Uhr
Hallo,

ich werde heute Abend nochmal das ISA-Log anstoßen und das neue Protokoll dem aktuellen Sicherheitslog gegenüberstellen.

Ja, OWA wird leider verwendet. Der Kunde ist darauf angewiesen, da er nicht von überall eine VPN-Verbindung zum Terminalserver aufbauen kann. Auf einen öffentlichen DNS-Namen haben wir aber verzichtet. der Login erfolgt direkt über die IP-Adresse/Exchange.

Ein telnet auf die IP-Adresse des Kunden mit Port 25 liefert einen Verbindungsfehler. Im ISA-Log wird dieser Zugriff auch gar nicht protokolliert. Da scheint die Fritz!Box wohl vorher schon zuzumachen.

Die SQL-Server-Logs werde ich mir erst Ende der Woche zusammen mit dem eigenen SQL-Admin anschauen können.

Die Suche geht also weiter...

Viele Grüße
Christopher
Bitte warten ..
Ähnliche Inhalte
Grafikkarten & Monitore

Ereignisprotokoll: Fehler: Event ID 13: nvlddmkm

Frage von MeterpeterGrafikkarten & Monitore8 Kommentare

Guten Morgen, ich habe ein neuen Rechner zusammengebaut und habe ab und an mal Abstürze wo das System einfriert. ...

Windows Server

Event ID DFSR 5014 (Fehler: 9036)

gelöst Frage von TomTom994Windows Server6 Kommentare

Guten Tag liebe Community, leider habe ich in diversen Foren (+Google) noch keine Lösung gefunden. Wir haben zwei W2K8R2 ...

Windows Server

Event ID 78

Frage von rocco61Windows Server1 Kommentar

Guten Morgen zusammen, habe auf dem Server 2012 R2 eine sidebyside Fehlermeldung, event id 78. Bei eventid.net werde ich ...

Windows Server

Event ID 10016

gelöst Frage von Data61Windows Server2 Kommentare

Hallo zusammen, habe seit einigen Tagen die Event ID 10016 im Protokoll auf dem 2012 r2 Server. Microsoft schreibt ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 23 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk13 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...