joeyschweiz
Goto Top

Unbekannter Benutzername oder falsches Kennwort - 14774 Anmeldeversuche?

Hallo Liebe Admins,

Ist sicher schon ein Jahr her, dass diese komischen Anmeldefehler aufgetreten waren, doch jetzt von heute auf morgen 14.774 Anmeldeversuche?

Vielleicht kann mich hier jemand auf die richtige Quelle / Lösung bringen.
Ich habe die Suche missbraucht doch eine Lösung habe ich nicht wirklich finden können.
Viele Threads in unterschiedlichen Foren haben den "gleichen" Fall - aber scheinbar keine echte Lösung.


Kritische Warnungen im Protokoll Sicherheit:

Quelle Ereigniskennung Letztes Vorkommen Vorkommnisse insgesamt
Security 529 07.09.2012 05:46 14'774 *
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: america
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER
Aufruferdomäne: XYZ
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2276
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -


Das merkwürdige, es gibt kein Quellnetzwerk /Port.
Die Zywall hat keine Einträge im Protokoll und auch Symantec EPP hat keine Aufzeichnungen.


Versucht hier ein Dienst eine Ameldung und wenn ja wieso mit Benutzername america, dieser wurde sicher nicht eingerichtet.
Wenn es eine Quelle gäbe würde ich ja auf Angriff tippen aber so?

Virenschutz ist aktuell, sowohl Server als auch die 3 Clients.
Clients sind 2 x WIN / Pro und 1 x WIN XP Pro SP3
Server SBS 2003 inkl. SP's usw..

Eine Sache noch: Auf dem Server gibt es ein DynDNS Tool da es keine Fixe IP gibt. Evtl. hier der Wurm drin?
Ich habe diese nicht eingerichtet und bin auch nicht wirklich mit vertraut.


Derzeit hänge ich da fest und könnte echt einen guten Rat brauchen wie man das Ganze angehen sollte.


Besten Grüsse
Maik

Content-Key: 190877

Url: https://administrator.de/contentid/190877

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: mtdnet
mtdnet 07.09.2012 um 13:12:10 Uhr
Goto Top
Servus,
schau mal...
http://support.microsoft.com/kb/305822/de

Wie viele dieser Einträge existieren?

Gruß
Mike
Mitglied: 108012
108012 07.09.2012 um 13:20:02 Uhr
Goto Top
Guten Tag,

was für eine Firewall oder für einen Router benutzt Du denn?

Hat der Router oder die Firewall log files die er speichert und wenn ja wohin, intern oder extern auf einen
Syslog Server oder Handler?

Du sagst das trat schon einmal auf, wann war das denn?
Was macht Deine Firma denn genau, Geschäftsfeld?
Nehmet Ihr gerade an Ausschreibungen teil?
Meldet Ihr gerade Patente an?
Mal mit dem Betriebsrat gesprochen das Du einen Rechner mit Wireshark oder TCPDUM anwirfst um mehr heraus zu finden?
Was sagt denn Deine Geschäftsleitung zu dem Fall oder der Chef?
Bist Du neu und das ist nur ein Test?
Wie sieht der Rest der Netzwerkstruktur aus? (Switche, IDS, Honeypots)
Habt ihre eine DMZ und vor allem was steht da drin?

Vielleicht scannt einer die DynDNS hosts ab und versucht nur die Antworten Deiner Firewall ab zugreifen damit er sieht wer Ihm antwortet.

Wie viel Zeit liegt denn zwischen den Anmeldeversuchen und um welche Zeit genau fand das ganze denn statt?

Gruß
Dobby
Mitglied: Flatcher
Flatcher 07.09.2012 um 13:21:59 Uhr
Goto Top
Schon mal die restlichen Logs gecheckt? Gibts auffällige "Access dropt"?
Mitglied: 108012
108012 07.09.2012 aktualisiert um 13:45:38 Uhr
Goto Top
Hallo nochmal,

was ist das denn bitte für ein DynDNS Tool, was da auf dem Server läuft?
Und vor allem was macht das Tool genau?

Oder unterstützt Deine Zywall so etwas wie VPN Pass-Through und deshalb kann Sie auch nichts mit protokollieren und
das "VPN Tool" auf Eurem Server ist so etwas wie ein VPN Server Tool?


Gruß
Dobby
Mitglied: joeyschweiz
joeyschweiz 07.09.2012 um 14:57:02 Uhr
Goto Top
Zitat von @108012:
Guten Tag,

was für eine Firewall oder für einen Router benutzt Du denn?

Hat der Router oder die Firewall log files die er speichert und wenn ja wohin, intern oder extern auf einen
Syslog Server oder Handler?

Du sagst das trat schon einmal auf, wann war das denn?
Was macht Deine Firma denn genau, Geschäftsfeld?
Nehmet Ihr gerade an Ausschreibungen teil?
Meldet Ihr gerade Patente an?
Mal mit dem Betriebsrat gesprochen das Du einen Rechner mit Wireshark oder TCPDUM anwirfst um mehr heraus zu finden?
Was sagt denn Deine Geschäftsleitung zu dem Fall oder der Chef?
Bist Du neu und das ist nur ein Test?
Wie sieht der Rest der Netzwerkstruktur aus? (Switche, IDS, Honeypots)
Habt ihre eine DMZ und vor allem was steht da drin?

Vielleicht scannt einer die DynDNS hosts ab und versucht nur die Antworten Deiner Firewall ab zugreifen damit er sieht wer Ihm
antwortet.

Wie viel Zeit liegt denn zwischen den Anmeldeversuchen und um welche Zeit genau fand das ganze denn statt?

Gruß
Dobby


Hallo Dobby,

Router ist ein Zyxel p-661H D1 - eher Router als Firewall. Protokolle sind aktiviert für System, Angriffe und werden per Mail versendet. Wie gesagt hier ist nichts im Bereich Angriffe.

Aufgetreten ist das vor ca. einem Jahr, über 2-4 Tage gab es immer wieder "Unbekannter Benutzername oder falsches Kennwort" diese waren aber mit Quellnetzwerk IP - somit habe ich diese im WAN/LAN auf abweisen gesetzt.
Danach war lange Zeit nichts.

Geschäftsfeld Treuhand
Patente nein
Ausschreibungen nein

BS gibt es nicht, ich habe 99% freie Hand was IT angeht.
Wireshark war bereits ein Gedanke, wollte hier vorher nach Meinungen schauen. (kenne es auch nicht gut)

Nein nicht neu - habe das "Netzwerk" übernommen und es wurde von einem früheren Kollegen eingerichtet (5 Jahre zurück ca. )

Keine DMZ

Ausbau:

Router - 12 Port Switch (passiv) an dem Sich 3 Clients, ein Netzwerkdrucker und der Server befinden)

Die Ereignisse kommen fast im Sekundentakt 1-3 Sekunden.


DynDNS Updater heist das DynDNS Tool - der Router kann kein DynDNS.
Vorhanden ist DynDNS nur für den Remotezugriff, Webmail etc. wird nicht genutzt.

Ich habe jetzt das DynDNS Tool deaktiviert. Mal schauen ob sich was ändert.


Danke erstmal.

Gruss
Maik
Mitglied: joeyschweiz
joeyschweiz 07.09.2012 aktualisiert um 15:04:18 Uhr
Goto Top
Danke mtdnet,

damit könnte ich das Logging ausschalten aber die Ursache nicht beheben.


Grüsse

Maik
Mitglied: joeyschweiz
joeyschweiz 07.09.2012 um 15:21:04 Uhr
Goto Top
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 07.09.2012
Zeit: 15:19:08
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SRV
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: apple
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SRV-DC-01
Aufruferbenutzername: SRV
Aufruferdomäne: xyz
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2276
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -


DynDNS scheint es mal nicht zu sein, denn das ist deaktiviert und jetzt versucht "apple" sich anzumelden.
Aber wieder ohne Quellnetzwerk????
Mitglied: 108012
108012 07.09.2012 um 15:34:49 Uhr
Goto Top
Hallo joeyschweiz,

also wenn das im Sekundentakt von ein bis drei Sekunden läuft ist das was automatisches und kein Mensch.
Kann sein das da ein Programm oder ein Bot läuft der sich zu verbinden versucht.

Naja mal im Ernst der Router leitet das einfach durch via VPN Pass-Through und dann ist da halt nur noch die Anmeldung am Server dann wäre Er/Sie drinnen!

Was liegt denn alles auch dem Server? Ich meine "wichtige" Sachen und willst Du jetzt so zuschauen
das Er/Sie irgend wann drinnen ist?

Ich sage es mal ganz ehrlich wie ich es sehe, die kleine Zyxel Firewall lässt den Verkehr durch und jemand versucht nun sein Glück mit Eurem Server.

Zyxel p-661H D1 = Gerät

[ftp://ftp.zyxel.fi/P-661H-D1/support_note/P-661H-D1_3.40.pdf Zyxel p-661H D1] = Bedienungsanleitung

Auf Seite 12 steht das Euer Router von Zyxel mit DynDNS umgehen kann!!
Und ab Seite 18 steht das er zwei VPN Tunnel managen kann.

Also es ist ja eh Freitag und da würde ich an Deiner Stelle die Gunst der Stunde nutzen und den DynDNS
schnell eintragen und dann hast Du wenigstens Ruhe, im Notfall Logfiles und Er/Sie ist nicht gleich am Server dran!!!!!

Gruß
Dobby
Mitglied: joeyschweiz
joeyschweiz 07.09.2012 um 15:55:58 Uhr
Goto Top
Server ist bereits vom Netz - sicher ist sicher face-smile
DNYDNS richte ich ein sobald ich das PW habe :/ ..unvollständige Doku face-sad


Klar liegen auf dem server Daten - auch wenn die Datenbanken ansich noch geschützt sind ist niemand willkommen.


Was mich weiterhin sutzig macht... es gibt kein Quellnetzwerk - wenn von aussen jemand versucht zuzugreifen hat er eine IP, so war es vor ca. 1 Jahr als ich die IP gesperrt habe (den ganzen Range)


Grüsse
Mitglied: 108012
108012 07.09.2012 um 16:28:10 Uhr
Goto Top
Hallo joeyschweiz,

jo gut gemacht was nicht da ist kann man nicht greifen.

Tja eine Datenbank das ist doch mal eine Ansage!

Vielleicht ein Konkurent oder jemand den Ihr "erfolgreich" verkauft habt oder einer der wissen will wie Ihr das Geschäft x, y oder z abwickeln wollt, ich meine Möglichkeiten gibt es da genug und meist sind es dann auch noch die, an die man nicht gedacht hat.

Also Anmeldenamen wie america und apple sind garantiert aus einem Wörterbuch, ist zwar nur geraten aber dicht dran.

Die IP von der aus jemand "angreift" kann nur die Firewall loggen, es sei denn es handelt sich um eine VPN Pass-Through Verbindung, dann nicht, denn dann leitet Sie den ganzen Verkehr nur durch.

Da in dem Handbuch zu der Zyxel steht, das Sie zwei VPN Tunnel unterstützt, würde ich einmal
DynDNS direkt in der Zyxek angeben und dann halt per Portweiterleitung auf den Server weiter leiten.

Dann hast Du noch die beiden VPN Tunnel völlig frei zur Verfügung.
Wer greift denn via VPN auf den Server zu und vor allen Dingen mit was?

Denn diese Sachen kann man dann bequem mit den VPN Tunneln abdecken.

Gruß
Dobby
Mitglied: joeyschweiz
joeyschweiz 07.09.2012 um 16:35:19 Uhr
Goto Top
Problem ist die dyn. IP, daher dieses DYN DNS krams.

VPN nutze ich zur Fernwartung (Server steht am anderen Standort)
Wo ich halt nie nach geschaut habe ist DNY DNS auf dem Router, das werde ich aber einrichten.


Die Namen sind schon speziell, klingt wirklich aus Wörterbuch.
Namen wie Admin und Co könnte ich ja verstehen oder auch irgendwelche "Namen" wie Fritz Walter oder so.
Ich denke nicht das es gezielt ein Angriff ist bei den Namen, sonst wäre das sicherlich einfacher Firmenname = Chef zu versuchen.


Bis Montag ist der Server jetzt erstmal down, hoffe das ich bis dahin das PW für DYN DNS habe.
Dann mal schauen was danach passiert und das Firewall Log ausspuckt.

Grüsse und danke für die Hilfe.

Gleich mal ins Wochenende

Maik face-smile
Mitglied: 108012
108012 07.09.2012 um 16:43:01 Uhr
Goto Top
Hallo Maik,

tja passt doch wie die Faust aufs auge, oder etwa nicht?

DynDNS eingeben am Zyxel, ein VPN Tunnel von Eurem zum anderen Standort (Site-to-Site VPN)
und Du hast dann noch die Möglichkeit die andere VPN Möglich keit zur Fernwartung von zu Hause oder Deinem jetzigen Standort.

Gruß und schönes WE

Dobby
Mitglied: keine-ahnung
keine-ahnung 07.09.2012 um 16:51:02 Uhr
Goto Top
Moin,

hier zyxelt's aber ganz schön face-wink

Klingt nach bruteforce via RDP - ist der Port auf der firewall offen? - oder OWA, wenn Ihr den nutzt.

Ich würde, bevor ich jetzt Intimitäten über Euer Geschäftsfeld, laufende Patentverfahren und den Fusspilzbefall Deines Grossvaters offenbare, ersteinmal auf der firewall Port 3389 prüfen, wenn offen - dichtmachen. Wenn nicht weitergeleitet gewesen, allen ein schönes Wochenende ohne OWA wünschen und Port 80/443 von aussen zumachen. Dann den Server wieder ins Netz hängen, und gucken, ob die Fremdanmeldungen ausbleiben ...

?Wie holt Ihr Eure emails ab - über den Exchange oder über pop-connector

DYNDNS-Synchronisierung gehört vor die Firewall, also guck, ob Du das über den Router angedröselt bekommst. Da Du ja OWA dicht machst, ist es kein Beinbruch, wenn das erst in ein, zwei Tagen passiert. Blöd wird es halt, wenn Ihr die mails direkt über den Exchange reinholt, dann muss es für die Zeit halt mal die Briefpost tun face-wink


LG, Thomas
Mitglied: Pjordorf
Pjordorf 10.09.2012 um 14:55:30 Uhr
Goto Top
Hallo,

Zitat von @joeyschweiz:
Viele Threads in unterschiedlichen Foren haben den "gleichen" Fall - aber scheinbar keine echte Lösung.
Eine Lösung als solches wird es auch nicht geben. Dazu müsstest du den Dienst der hier die Anmeldung annimmt abstellen (IIS?)

Benutzername: america
Alle möglichen Namen können hier auftauchen (Wörterbücher etc.). Nichts ungewöhnliches.

Anmeldetyp: 3
Netzwerk (und jetzt überleg mal was alles zum Netzwerk gehört). Anmeldetyp hier mal nachschlagen http://www.msxfaq.de/tools/trackloginevents.htm

Aufruferprozesskennung: 2276
Hier ist dein Ansatz. Diese PID kannst du z.B. im Taskmanager oder in Tasklist /SVC oder Tasklist /M nachschlagen. Sofern dieser Prozess noch läuft oder der Server noch nicht neu gestartet wurde, solltest du ihn finden. Ich vermute das er hier wie bei fast allen anderen dann auf den IIS deutet. (W3WP.exe)

Das merkwürdige, es gibt kein Quellnetzwerk /Port.
Gibt es schon. Netzwerk ist dein Quellnetzwerk.

Die Zywall hat keine Einträge im Protokoll und auch Symantec EPP hat keine Aufzeichnungen.
Zumindest sollte aber, sofern du es mitloggst, eine Anfrage an einen Port deines Servers (IP) erkennbar sein. Da sind dann die Quell IP und Port zu finden. Als Ziel dein IIS mit Port 80 / 443.

Versucht hier ein Dienst eine Ameldung und wenn ja wieso mit Benutzername america, dieser wurde sicher nicht eingerichtet.
Weil es von ausserhalb kommt.

Wenn es eine Quelle gäbe würde ich ja auf Angriff tippen aber so?
Die gibt es natürlich. Irgendein Rechner im WWW. Ob wegen einer Fehleingabe oder bewusst als Einbruchsversuch bleibt deiner Phantasie übrigface-smile

Virenschutz ist aktuell,
Was hilft das bei bewussten Portweiterleitungen?

Eine Sache noch: Auf dem Server gibt es ein DynDNS Tool da es keine Fixe IP gibt. Evtl. hier der Wurm drin?
Nein, hat damit nichts zu tun.

Du kannst obiges auch ganz einfach testen und dir somit den genauen Ablauf darstellen. Mimm einen von eurem Netz aus gesehenen externen Rechner und verbinde dich per http://dein.server.name/remote/ oder http://dein.server.name/owa/ oder https://dein.server.name/remote/ oder https://dein.server.name/owa/ (sofern remote oder OWA vorhanden) und verwende einen nicht existenten Benutzernamen. Du solltest deinen Event Eintrag ID 529 so genau nachstellen können. Und auch die PID solltest du dann zu einem laufenden Prozess auf deinem Server nachverfolgen können und falls dein Router es hergibt, auch die Quellverbindung.

Gruß,
Peter
Mitglied: joeyschweiz
joeyschweiz 11.09.2012 um 08:07:53 Uhr
Goto Top
Guten Morgen,

wieder einiges dazugelernt.

Bis Montag Abend war der Server nicht im Netz/ bzw aus. Nach Start gleich die Meldung der Firewall.

Das Firewall Log hat mir aber nun mal folgendes gebracht:

No. Time Source IP Destination IP Note
1|09/10/2012 20:57:49 |85.195.82.185:5061 |xxxxxxxxxxx:5078 |ATTACK
ports scan UDP

End of Alert


Erstmal IP Range 85.195.82.0 - 85.195.82.254 gesperrt.
Dann, DNYDNS ist nun auf der Zyxel konfiguriert und das Tool zum updaten der IP auf dem Server deaktiviert.

Die Firewall habe ich neugestartet was scheinbar wunder gewirkt hat. Seit dem Neustart habe ich weder auf der Firewall noch auf dem Server Hinweise in den Logs.

Bin jetzt nicht 100% sicher was letztendlich "DICHT" gemacht hat aber so ist es erstmal etwas beruhigend.
Ich werde den Server sicher die nächsten Tage genauer beobachten, man weis ja nicht was kommt.

Bis dahin erstmal danke allen die hier geholfen haben face-smile

Grüsse
Maik
Mitglied: 108012
108012 11.09.2012 um 08:27:09 Uhr
Goto Top
Hallo joeyschweiz,

wäre ja schön wenn Du dich noch einmal dazu auslässt in ein paar Tagen und wenn alles in Ordnung ist, dann bitte Beitrag gelöst nicht vergessen.

Gruß
Dobby
Mitglied: joeyschweiz
joeyschweiz 11.09.2012 um 08:30:06 Uhr
Goto Top
Wird gemacht face-smile


erstmal schauen wie es sich jetzt entwickelt.


Grüsse und gute Woche

Maik
Mitglied: Pjordorf
Pjordorf 11.09.2012 um 11:08:47 Uhr
Goto Top
Hallo,

Zitat von @joeyschweiz:
ports scan UDP
Hat aber mit deinem Eventlogs auf deinem Server(n) nichts zu tun. Das sind (mittlerweile) ganz normale Portscans.

Erstmal IP Range 85.195.82.0 - 85.195.82.254 gesperrt.
Und sicher das kein Kunde oder Lieferant oder Interessent oder externer Mitarbeiter/Zugang von euch da drin ist? Nicht jeder verwendet Feste IPs. Das solltest du mit deinem DynDNS am besten wissenface-smile Werkzeuge wie http://www.robtex.com helfen dir da weiter. Das gesperrte Netz gehört zu Velia.net. Sich das das Sperren von deutschen IPs dir wirklich hilft?

Die Firewall habe ich neugestartet was scheinbar wunder gewirkt hat
Naja nicht ganzface-smile Du hast danach wieder eine neue IP bekommen. Wen wundert es da dann noch das plötzlich der UDP Portscan (auf die alte nun nicht mehr dir zugeteilte IP) aufhörtface-smile Aber wie schon erwähnt, das hat mit den fehlerhaften) Anmeldeversuchen an deinen Server(n) nichts zu tun.

dem Server Hinweise in den Logs.
Naja, du hast dein Server (und wohl auch dein Router) ja ein paar Tage ausgehabt. Es sagt ja keiner das du permanent Anmeldeversuche hast oder haben musst. Mal passiert es weil du jetzt die IP von jemanden hast der vorher dort einen Dienst am laufen hatte und es noch nicht allen bekannt ist (DNS etc.), mal passiert es weil jemand die falschen IPs anspricht und dann weil deine IP jetzt gerade wieder dran istface-smile Es ist also ein ständiges kommen und gehen. mal mehr, mal weniger, mal gar nichtsface-smile

Bin jetzt nicht 100% sicher was letztendlich "DICHT" gemacht hat
Gar nichtsface-smile bis auf das du 254 IPs an deinem Router ablehnst (Sperrst). Die Wahrscheinlichkeit das die Anmeldeversuche von diesen IPs ausgangen ist fast 0.

Gruß,
Peter
Mitglied: joeyschweiz
joeyschweiz 15.11.2012 um 11:18:11 Uhr
Goto Top
Letztendlich weis ich nicht was geholfen hat - allerdings habe ich keine "Angriffe" mehr auf dem Server protokolliert und das nun seit einiger Zeit.

Zwischendurch hatte ich 2-3 Meldungen von der Firewall:

No. Time Source IP Destination IP Note
1|11/06/2012 09:42:00 |84.95.241.20:59267 |46.14.101.101:5060 |ATTACK
ports scan TCP

End of Alert

Wenn ich das richtig deute - wird das allerdings geblockt da am Server nichts protokolliert wird.


Danke allen für die Aufklärung face-smile

Grüsse Maik