Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheitsprotokoll - Wer ist da?

Mitglied: OhnePower

OhnePower (Level 1) - Jetzt verbinden

22.04.2008, aktualisiert 26.04.2008, 4173 Aufrufe, 4 Kommentare

Hallo...

ich habe heute haufenweise Einträge im Sicherheitsprotokoll gesehen.
Ein Angriff durch die FW dürfte nicht ganz so einfach sein!

Kann mir jemand sagen was diese Nachricht konkret heißt?


a018640e4f084d64da2392f15f0a8d0a-1 - Klicke auf das Bild, um es zu vergrößern


14d424443a063cb9f6bbff0ae99bb8a4-2 - Klicke auf das Bild, um es zu vergrößern


Bin noch nicht so ganz vertraut mit der MS_Sprache.
Über welchen Weg gabs hier nen "Angriff"?


Vielen Dank!
Mitglied: -Ohforf
23.04.2008 um 08:30 Uhr
die nachricht heisst im klartext:

ein user, der sich als "newuser" ausgibt hat von einem PC namens
"SERVER" versucht sich an deinem Rechner einzuloggen.

ob angriff oder nicht, dass liegt in deinem ermessen.

EDIT:
ping ihn mal an und guck mal welche IP adresse rauskommt.

RICHTIGSTELLUNG:

ich hatte den text vor meinem ersten kaffe verfasst. böser fehler.

also hier noch einmal richtig:

Jemand versucht sich über netzwerk (Anmeldetyp 3) sich auf den PC namens
"SERVER" mit dem accountnamen "newuser" anzumelden.

hth
Bitte warten ..
Mitglied: OhnePower
23.04.2008 um 18:42 Uhr
Moin...

erstmal vielen Dank!
Ok, das war auch mein Gedanke. Der Anmeldename variiert so knapp 200 x mit genau 5 Sekunden Pause zwischen den Anmeldeversuchen. Also sicher irgendein Tool.

Neu ist allerdings der Anmeldevorgang, was bedeutet "Advapi"?

Bei einem anderen Server wird immer die Quellnetzadresse angezeigt, da kann ich schnell sehen welcher Rechner im Intranet ein "Problem" hat. Warum ist das Feld hier frei?

Über welchen Dienst läuft der Anmeldeversuch? Kennt sich da jemand aus?
Von außen durch die FW ist nur der SMTP frei.

Danke...
Bitte warten ..
Mitglied: -Ohforf
24.04.2008 um 12:54 Uhr
ist deine FW evt. untergraben?

informationen über "advapi":
http://www.motobit.com/HELP/SCPTUTL/cl51.htm

und hier noch mal microsoft zum thema (sehr lesenswert):
http://support.microsoft.com/kb/174073/de

bis du dein problem gelöst hast,
würde ich allen "kritischen" usern (dh. administratoren)
alle 24h einen passwortwechsel aufzwingen.
Bitte warten ..
Mitglied: OhnePower
26.04.2008 um 12:56 Uhr
Moin...

vielen Dank für den Hinweis auf die beiden Artikel!

Leider habe ich noch nicht so ganz verstanden was

"advapi"
API-Aufruf an LogonUser

bedeutet. Was kann ich mir darunter vorstellen? Das scheint ja kein direkter Anmeldeversuch am Server zu sein, oder?

Die FW ist dicht... entweder hat jemand im Intranet ein Tool gestartet - was ich mir allerdings nicht vorstellen kann, oder als letzte Möglichkeit wäre ein Problem bei den externen (Homeoffice) Arbeitsplätzen, die sich per VPN einwählen können, möglich.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Ständige An- und Abmeldungen im Windows Server 2008 R2 Sicherheitsprotokoll

Frage von CardmaxxWindows Server3 Kommentare

Ich habe ein Problem in einer Domäne. Ausgangssituation: Server 2008R2 ist DC mit DNS und DHCP Server 2012R2 ist ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 2 TagenBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 4 TagenHumor (lol)10 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 4 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 5 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail32 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server21 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...

Windows Server
Server verliert Dateien und Ordner
gelöst Frage von routeserverWindows Server18 Kommentare

Hallo Freunde, ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob ...

Windows Tools
User Self Service und Client Management
Frage von OrkansonWindows Tools14 Kommentare

Hallo zusammen, ich hab ein paar verschiedene Fragen: 1. Was benutzt ihr um Software im Unternehmen zu verteilen? 2. ...