Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SBS2003 mit IIS, Eindringversuch von außen?

Mitglied: ctietje

ctietje (Level 1) - Jetzt verbinden

15.06.2011 um 08:33 Uhr, 5821 Aufrufe, 5 Kommentare

Seit einiger Zeit, früher gar nicht, werden im Serverleistungsbericht an manchen Tagen mehrere tausend Login-Versuche protokolliert, vor allem, wenn es bei uns Nacht oder früher Morgen ist. Ich habe mehrere Anfragen mit diesem Thema gefunden, aber keine Lösung.

Folgende Meldung erscheint im Serverleistungsbericht (1-2 pro Sekunde im Ereignisprotokoll, 2 1/2 Stunden lang von 6:00 bis 8:30 Uhr), 3.655mal:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 8
Anmeldevorgang: IIS
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1872
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

an einem anderen Tag abends 113mal:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 9552
Übertragene Dienste: -
Quellnetzwerkadresse: 222.92.69.108
Quellport: 4415

Manchmal sind auch Quellports und IP-Adressen aufgeführt, wie im unteren Beispiel, die aber nicht ereichbar sind oder auch ein Login erfordern. Sind das Angriffe aus dem Internet? Es ist ja nur ein Frage der Dauer des Probierens, bis jemand eindringen kann. Wie kann man das sicher machen? Oder ist das ein interner (IIS-) Prozess, der ein falsches/abgelaufenes Passwort benutzt?

Christian Tietje, Dipl.-Ing. (FH) Gießen 1983
Mitglied: brammer
15.06.2011 um 08:46 Uhr
Hallo,

hast du die Quelladresse in deinem Zweiten Beispiel mal überprüft?
Die weisst auf eine Chinesische Firma im Chemie Sektor hin.

Entweder ein versuchter Login eines Kunden/Lieferant oder ein versuchter Angriff, eventuell über ein BotRechner.

brammer
Bitte warten ..
Mitglied: Hubert.N
15.06.2011 um 09:07 Uhr
Moin

Was du dich mal fragen solltest ist:

- welche Dienste bietet dein SBS-Server extern an ? Im letzteren Fall bedeutet eine Anmeldetyp 10 erst einmal, dass eine RDP-Verbindung aufgebaut werden sollte. vgl dazu Technet: Anmeldeereignisse überwachen. Frag dich also, welche Dienste du wirklich aus dem Internet heraus benötigst und welche nicht. Je weniger Dienste du anbietest, umso weniger Angriffsfläche bietet der Server.

- Wenn du feststellst, dass jemand versucht die Anmeldung des Administrators zu knacken, dann solltest du natürlich 1. auf ein richtig gutes Kennwort achten, welches nicht mit einer Brutforce-Attacke zu knacken ist. und 2. lässt sich der Administrator in einer Domäne umbenennen. Wenn es keinen Administrator mehr gibt, dann laufen Angriffe unter Verwendung dieses Benutzernamens schon mal im Ansatz ins Leere...

Wnn du schon Dienste im Internet zur Verfügung stellst, dann solltest du gerade dann grundsätzlich für alle Benutzerkonten sichere Kennwörter verlangen.

Gruß

Hubert
Bitte warten ..
Mitglied: ctietje
15.06.2011 um 09:21 Uhr
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108
2. Die Dienste werden tatsächlich benötigt: RDP über Internet/IIS, Outlook über Internet; könnte aber auch über VPN geschehen, wenn RDP oder Exchange über IIS zu unsicher sind.
3. Administrator umbenennen war auch mein erster Gedanke. Das ist wohl ein sozusagen eingebauter und somit sehr wahrscheinlich vorhandener User auf fast jedem Server.
4. Sichere Passwörter haben wir aus Zahlen, Buchstaben und Sonderzeichen mit mindestens 10 Zeichen Länge. Die Frage ist nur, ob man auch die nicht irgendwann knacken kann. Dann wäre eine solche Möglichkeit, sich von außen über Web einloggen zu können schon schlecht geplant und sollte abgeschaltet werden. Wenn das nötig ist, dann machen wir das.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2011 um 10:44 Uhr
Zitat von ctietje:
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108

mstsc /v:222.92.69.108 fördert zutage, daß es ein chinesischer Windows Enterprise-Server ist. Vermutlich gehackt. Sorge schleunigst dafür, daß nur Dienste nach außen sichtbar sind, die auch wirklich notwendig sind. Außerdem gehören Systeme, die Dienste nach außen anbieten in eine NZ/DMZ, die vom LAN abgeschottet ist.

Schränke ggf. den Zugriff auf die Dienste in Deiner Firewall auf "deutsche" IP-netze ein.
Bitte warten ..
Mitglied: ctietje
28.06.2011 um 21:37 Uhr
habe Port 3389 geschlossen und greife nur noch über vpn zu
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

Website vom IIS nach außen erreichbar machen

gelöst Frage von dkgk91Netzwerkgrundlagen2 Kommentare

Hallo, ich bin gerade in einer Umschulung zum Fachinformatiker Systemintegration. Wir sollten ein Netzplan erstellen mit einer DMZ. Infos ...

Windows 8

Breitband alles blockieren außer Outlook

gelöst Frage von MarkSauterWindows 812 Kommentare

Hallo allen im Ausland möchte aus Kostengründen, dass nichts an meinem Notebook Online gehen kann außer Outlook und ein ...

Windows Server

Windows Webserver von außen erreichen

gelöst Frage von tomi93Windows Server8 Kommentare

Guten Morgen, wir haben bei uns im Unternehmen einen Windows Server 2008 R2, den nutzen wir als Testumgebung für ...

Exchange Server

SMTP-Sendeconnector nach außen absichern, aber wie?

gelöst Frage von beidermachtvongreyscullExchange Server5 Kommentare

Guten Morgen, vielleicht hat jemand von Euch eine Idee für folgendes Problem: Mein EX2010 mit neuesten Updates funktioniert soweit ...

Neue Wissensbeiträge
Router & Routing

Olle Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 4 StundenRouter & Routing1 Kommentar

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 17 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 23 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 1 TagMicrosoft Office5 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...