Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Angriff auf meinen SBS 2k3 Server! Aber wie nur?

Frage Microsoft Windows Server

Mitglied: bernd75

bernd75 (Level 1) - Jetzt verbinden

20.12.2010 um 12:30 Uhr, 5138 Aufrufe, 16 Kommentare

Hallo Zusammen,

meine Ereignisanzeige ist überflutet mit tausenden von folgenden Fehlermeldungen die sich vorgestern in einem Zeitraum von 9 Stunden alle 4 Sekunden wiederholt haben, der einzige unterschied zwischen den vielen Ereignissen ist der Benutzername der wechselt durch über alle möglichen Benutzernamen (administrator, adminisdrador, test, mail, alex, manager, guest, new, info, backup, 111, 222, 123, etc....)

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: alice
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: [MEIN SERVERNAME]
Aufruferbenutzername: [MEIN SERVERNAME]$
Aufruferdomäne: [MEIN DOMÄNENNAME]
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1568
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp

Nun inzwischen ist es ja schon zu spät, die letzten 2 Tage war es wieder ruhig. Ich hätte trotzdem ein paar Fragen.

1. Warum sehe ich keine Quellnetzwerkadresse und Port?
2. Was für ein Art von Anmeldung könnte das gewesen sein?
Ich habe folgende 'nur' Services vom Internet aus erreichbar:
Port 80 (kleine Homepage unter IIS teilweise auch mit Zugriffskontrolle)
Port 443 (Exchange Active Sync für PDA Synchronisation)
Port 25 (Ist ja Hauptsächlich ein Mailserver mit Exchange )

Ich würde halt gerne wissen auf welchen Weg das ganze passiert ist, aber empfinde das Eregnisprotkoll hier etwas sehr dürftig an Informationen, wenn ich eine Anmeldung z.B. an OWA oder auf einer Webseite bewusst mit falschem Benutzername durchführe, dann taucht wenigstens die IP im Ereignis auf

Ich hoffe ihr könnt mir helfen.

Vielen Dank
Bernd
Mitglied: 45877
20.12.2010 um 13:34 Uhr
hallo,

check mal dein Netzwerk nach Conficker..
Bitte warten ..
Mitglied: kristov
20.12.2010 um 13:50 Uhr
Hallo,

Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003

kristov
Bitte warten ..
Mitglied: bernd75
20.12.2010 um 13:57 Uhr
Der ist es nicht, der Server hatte schon immer SP2 und im Netzwerk ist auch Virenscan up to date und auch trifft keines der Sympthome (wie bei Wikipedia beschriebn) zu. Ausserdem war es ja ein einmaliger Angriff über 9 Stunden verteilt, davor nie und danach nicht mehr. Ich denke das muss von aussen gekommen sein nur wie?
Bitte warten ..
Mitglied: bernd75
20.12.2010 um 14:12 Uhr
Zitat von kristov:
Hallo,

Schadsoftware würd ich auch nicht ausschließen. Es gibt noch zwei Beiträge zu diesem Thema:
Angriffe von Aussen
Wer oder was will sich hier einloggen? SBS2003

kristov

Hallo,

also Schadsoftware kann ich eigentlich ausschließen, zumal es bisher einamlig war. Die Artikel sind interessant, hatte wohl das gleiche Problem, nur enden beide Artikel mit dem Verweis in die Firewall-Logs zu sehen. Das kann ich nciht, da dort bei mir nichts geloggt wird

Kann man denn sich irgendwie benachrichtitgen lassen für den Fall dass das wieder auftritt? Dann würde ich im Bedarfsfall Wireshark dazwischen hängen.

Bernd
Bitte warten ..
Mitglied: bernd75
20.12.2010 um 14:52 Uhr
Kann man denn sich irgendwie benachrichtitgen lassen für den Fall dass das wieder auftritt? Dann würde ich im
Bedarfsfall Wireshark dazwischen hängen.


Nachtrag: Hab ne einfache Lösung dafür gefunden, sogar mit Bordmitteln (eventtriggers.exe) und BLAT.
Bitte warten ..
Mitglied: St-Andreas
20.12.2010 um 15:24 Uhr
Hallo,


na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.


Gruß,
Andreas
Bitte warten ..
Mitglied: bernd75
20.12.2010 um 19:44 Uhr
Zitat von St-Andreas:


na dann schalt doch einfach mal die Logs Deiner FW an. Sollte ja nicht so schwer sein.


Hi, wie bereits geschrieben: ...nur enden beide Artikel mit dem Verweis in die Firewall-Logs zu sehen. Das kann ich nciht, da dort bei mir nichts geloggt wird...

Nicht jeder der nen Server hat leistet sich gleich ne Firewall mit Logfunktion
Bitte warten ..
Mitglied: St-Andreas
21.12.2010 um 16:28 Uhr
Hi,


ich geh mal davon aus das Du den Server benutzt um damit Geld zu verdienen, das heisst also das Du das Ding geschäftlich einsetzt. Dann sollte man sich auch ne vernünftige Firewall leisten. Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?
Bitte warten ..
Mitglied: bernd75
22.12.2010 um 00:55 Uhr
Um ehrlich zu sein verdiene ich mit dem der bei mir zu Hause steht kein Geld,
sondern mir war nur ein 'billiger' WHS zu blöd und da dachte ich mir kauf Dir gleich nen SBS da haste echtes Exchange etc.
Bereut habe ich es bisher nie

Dementsprechend kannst Du Dir vorstellen, dass ich einen 'normalen' DSL Router daheim habe.

Aber egal denn:
1. auch wenn ich eine kleine Firma wäre, sähe ich eine große Firewall (mit Logfunktion) als übertrieben an, das passt nicht in das Konzept eines SBS Kunden...
2. es handelt sich hier auch nicht um ein Problem das mit einer Firewall nicht aufgetreten wäre. (das hätte mir genau soviel gebracht wie Kameras in der Ubahn: verhindert hätte es nix, aber ich könnte jetzt das Videoband noch mal ansehen)
Bitte warten ..
Mitglied: St-Andreas
22.12.2010 um 09:13 Uhr
OhKeh, oder OhWeh....

Also das man zu Hause nen SBS betreibt hätte ich jetzt erst mal nicht vermutet. Mir wäre das zu teuer, aber egal.

1) Eine Firewall die keine Logs schreibt ist keine Firewall sondern eine Spielerei. Logs sind keine Features von "grossen" Firewalls. (Auswertbare) Logs sind wesentlicher Bestandteil jeder Sicherheitseinrichtung zu denen auch Firewalls gehören. Und jede Firewalld die ihren Namen verdient kann das.
2) Nun, wenn Du Firewall auf einfache Portregeln beschränkst magst Du damit tatsächlich recht haben.

Egal, jetzt ist Winter, Urlaub und bald Weihnachten.

Frohes Fest und viel Glück noch!

Gruß,
Andreas
Bitte warten ..
Mitglied: Theratos
27.12.2010 um 13:36 Uhr
Wie Andreas,

oben schon angedeutet hat wäre dir das mit einer ordentlichen Firewall die richtig programmiert ist nicht passiert.

Da hier Regeln existieren die externen Verkehr erst gar nicht zu deinem Server zulassen.

Daher solltest du überlegen ob eine Ausgabe von ca. 300€ für z.B. eine kleine Watchguard angemessen ist oder nicht.

Keine Firma egal wie klein kann sich so eine Einstellung wie du sie hegst leisten, ansonsten freut sich die Konkurenz wie einfach es doch ist an deine Betriebsdaten zu kommen.

Mit freundlichen Grüßen Chris
Bitte warten ..
Mitglied: schmitzi
28.12.2010 um 21:17 Uhr
Zitat von St-Andreas:
Oder fährst Du auch nen Mercedes, nimmst den dann aber ohne Bremsen weil das Geld nicht reicht?


Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox

P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?

Gruss
RS
Bitte warten ..
Mitglied: bernd75
28.12.2010 um 22:55 Uhr
Zitat von schmitzi:
Hi, besser wäre der Vergleich mit einem ein Flugzeug ohne Flugschreiber/Blackbox

P.S. Heisst Dein Provider zufällig auch "Alice" ?
2.PS: Hast Du ein WLAN in Betrieb ?

Gruss
RS


Mein Provider war AOL und jetzt Alice, ich habe WLAN im Betrieb ohne Verschlüsselung und die SSID lautet "try2hack my SBS2k3".

Mal im Ernst, Dein Vergleich hinkt, ich fliege hier bei weitem keinen Airbus! Und mit Deinen Fragen fühle ich mich etwas auf den Arm genommen, selbst wenn meine Aussagen bzgl Provider und WLAN richtig wären, wie würdest Du dann das Log erklären bzw. es reproduzieren?

BTW: Ist ja jetzt schon seit 10 Tagen nicht mehr aufgetaucht... toi, toi, toi.
Bitte warten ..
Mitglied: rs-schmid
01.01.2011 um 19:56 Uhr
Zitat von bernd75:
BTW: Ist ja jetzt schon seit 10 Tagen nicht mehr aufgetaucht... toi, toi, toi.

vermutlich sind die "Gäste" noch da.
hast du mit wireshark mal die pakete aufgezeichnet, die auf deinem kabel unterwegs sind
und den traffic analysiert ?

ändere alle Kennwörter, die dürften bekannt sein...
je nachdem welche prozesse gekapert wurden, sind antivirus & co. wirkungslos

Gruss Roland
Bitte warten ..
Mitglied: bernd75
04.01.2011 um 17:00 Uhr
Ihr Trolle hier seid echt alle eine Lustiger Zeitvertreib gewesen, danke falls irgendjemand wirklich helfen wollte...
Bitte warten ..
Mitglied: St-Andreas
04.01.2011 um 20:16 Uhr
Bitte. Und keine Ursache.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Server
SBS 2011 - Fehler bei Server-Sicherung (20)

Frage von Irolan zum Thema Windows Server ...

Windows Server
Server Upgrade SBS 2008 auf Server 2016 (19)

Frage von heisenberg4 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...