Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffe von Aussen

Frage Microsoft Windows Server

Mitglied: tordi

tordi (Level 1) - Jetzt verbinden

11.11.2007, aktualisiert 21:52 Uhr, 3952 Aufrufe, 3 Kommentare

Hallo seit ca. 3 Tagen versucht jemand mit den wildesten Benutzernamen auf unseren Server zu gelangen.
Im Protokol steht aber keine IP Adresse oder Quellport.
Wie bekomme ich raus woher bzw. über welchen Port das ganze versucht wird.
Willi ist unser Exchange Server, wieso ist das der Name der Arbeiststation?
Oder versucht das einer über das Webinterface ( Remotewebarbeitsplatz ).

Logfile Sicherheit Auszug:
01.
Ereignistyp:	Fehlerüberw. 
02.
Ereignisquelle:	Security 
03.
Ereigniskategorie:	An-/Abmeldung  
04.
Ereigniskennung:	529 
05.
Datum:		10.11.2007 
06.
Zeit:		16:38:37 
07.
Benutzer:		NT-AUTORITÄT\SYSTEM 
08.
Computer:	WILLI 
09.
Beschreibung: 
10.
Fehlgeschlagene Anmeldung: 
11.
 	Grund:		Unbekannter Benutzername oder falsches Kennwort 
12.
 	Benutzername:	bailey 
13.
 	Domäne:		 
14.
 	Anmeldetyp:	3 
15.
 	Anmeldevorgang:	Advapi   
16.
 	Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 
17.
 	Name der Arbeitsstation:	WILLI 
18.
 	Aufruferbenutzername:	WILLI$ 
19.
 	Aufruferdomäne:	SERVERB1 
20.
 	Aufruferanmeldekennung:	(0x0,0x3E7) 
21.
 	Aufruferprozesskennung:	1424 
22.
 	Übertragene Dienste:	- 
23.
 	Quellnetzwerkadresse:	- 
24.
 	Quellport:	-
Need help. Danke !
Mitglied: gnarff
11.11.2007 um 16:33 Uhr
Hallo tordi!

Der "Angriff" kommt nicht von außen, sondern von innen.
Ansonsten mal das Dokument Bei aktivierter Willkommensseite werden Fehlerereignisse protokolliert um klarer zu sehen, der englische Originaltext ist besser...

saludos
gnarff
Bitte warten ..
Mitglied: tordi
11.11.2007 um 18:47 Uhr
Von innen.... zu den Zeiten ist in der Firma keiner, daher meine Idee ob es über die Webseite (Remotearbeitsplatz etc.) kommen kann.
Es werden hunderte von verschiedenen Usernamen verwendet.
Ich kenne sowas von so kleinen netten Passwort Tools.
Bei der Menge wird Nachts, so denke ich mal, keiner in der Firma sitzen und drauf los hacken.
Bitte warten ..
Mitglied: gnarff
11.11.2007 um 21:52 Uhr
Es werden hunderte von verschiedenen
Usernamen verwendet.
Aha, ja - das hättest Du mal in Deinem Eroeffnungsposting erwähnen sollen!
Jetzt musst Du die Timestamps aus dem Fehlerereignis-Log mit denen aus Log der Firewall vergleichen um zu weiteren Ergebnissen zu gelangen.
Je nach dem wie Deine Ergebnisse dann ausfallen, könntest Du weiter die ausgetauschten Pakete auswerten.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von Frank zum Thema Viren und Trojaner ...

Voice over IP
Angriffe auf VoIP-Gateways von beroNet Patch sorgt für Sicherheit (1)

Link von LordGurke zum Thema Voice over IP ...

Mac OS X
Malware startet DoS-Angriffe gegen Macs

Link von transocean zum Thema Mac OS X ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(6)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Heiß diskutierte Inhalte
Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Batch & Shell
gelöst Batch um Benutzer aus Sitzung abzumelden (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...

LAN, WAN, Wireless
IP Sec Client legt Netzwerkkarte lahm (12)

Frage von mario87 zum Thema LAN, WAN, Wireless ...