Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffe von Aussen

Frage Microsoft Windows Server

Mitglied: tordi

tordi (Level 1) - Jetzt verbinden

11.11.2007, aktualisiert 21:52 Uhr, 3944 Aufrufe, 3 Kommentare

Hallo seit ca. 3 Tagen versucht jemand mit den wildesten Benutzernamen auf unseren Server zu gelangen.
Im Protokol steht aber keine IP Adresse oder Quellport.
Wie bekomme ich raus woher bzw. über welchen Port das ganze versucht wird.
Willi ist unser Exchange Server, wieso ist das der Name der Arbeiststation?
Oder versucht das einer über das Webinterface ( Remotewebarbeitsplatz ).

Logfile Sicherheit Auszug:
01.
Ereignistyp:	Fehlerüberw. 
02.
Ereignisquelle:	Security 
03.
Ereigniskategorie:	An-/Abmeldung  
04.
Ereigniskennung:	529 
05.
Datum:		10.11.2007 
06.
Zeit:		16:38:37 
07.
Benutzer:		NT-AUTORITÄT\SYSTEM 
08.
Computer:	WILLI 
09.
Beschreibung: 
10.
Fehlgeschlagene Anmeldung: 
11.
 	Grund:		Unbekannter Benutzername oder falsches Kennwort 
12.
 	Benutzername:	bailey 
13.
 	Domäne:		 
14.
 	Anmeldetyp:	3 
15.
 	Anmeldevorgang:	Advapi   
16.
 	Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 
17.
 	Name der Arbeitsstation:	WILLI 
18.
 	Aufruferbenutzername:	WILLI$ 
19.
 	Aufruferdomäne:	SERVERB1 
20.
 	Aufruferanmeldekennung:	(0x0,0x3E7) 
21.
 	Aufruferprozesskennung:	1424 
22.
 	Übertragene Dienste:	- 
23.
 	Quellnetzwerkadresse:	- 
24.
 	Quellport:	-
Need help. Danke !
Mitglied: gnarff
11.11.2007 um 16:33 Uhr
Hallo tordi!

Der "Angriff" kommt nicht von außen, sondern von innen.
Ansonsten mal das Dokument Bei aktivierter Willkommensseite werden Fehlerereignisse protokolliert um klarer zu sehen, der englische Originaltext ist besser...

saludos
gnarff
Bitte warten ..
Mitglied: tordi
11.11.2007 um 18:47 Uhr
Von innen.... zu den Zeiten ist in der Firma keiner, daher meine Idee ob es über die Webseite (Remotearbeitsplatz etc.) kommen kann.
Es werden hunderte von verschiedenen Usernamen verwendet.
Ich kenne sowas von so kleinen netten Passwort Tools.
Bei der Menge wird Nachts, so denke ich mal, keiner in der Firma sitzen und drauf los hacken.
Bitte warten ..
Mitglied: gnarff
11.11.2007 um 21:52 Uhr
Es werden hunderte von verschiedenen
Usernamen verwendet.
Aha, ja - das hättest Du mal in Deinem Eroeffnungsposting erwähnen sollen!
Jetzt musst Du die Timestamps aus dem Fehlerereignis-Log mit denen aus Log der Firewall vergleichen um zu weiteren Ergebnissen zu gelangen.
Je nach dem wie Deine Ergebnisse dann ausfallen, könntest Du weiter die ausgetauschten Pakete auswerten.

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Router & Routing

192.168er Adresse im öffentlichen Netz

(2)

Erfahrungsbericht von visco-c zum Thema Router & Routing ...

Ähnliche Inhalte
Voice over IP
Angriffe auf VoIP-Gateways von beroNet Patch sorgt für Sicherheit (1)

Link von LordGurke zum Thema Voice over IP ...

Mac OS X
Malware startet DoS-Angriffe gegen Macs

Link von transocean zum Thema Mac OS X ...

Heiß diskutierte Inhalte
Zusammenarbeit
Als Administrator im Großraumbüro (29)

Frage von Dopamin85 zum Thema Zusammenarbeit ...

Exchange Server
Test-ActiveSyncConnectivity Error nach neuem Zertifikat (22)

Frage von Driphex zum Thema Exchange Server ...

Hyper-V
HYPER V und USB (16)

Frage von Hendrik2586 zum Thema Hyper-V ...

SAN, NAS, DAS
Backupserver für KMU (14)

Frage von Leo-le zum Thema SAN, NAS, DAS ...