Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffe von Aussen

Frage Microsoft Windows Server

Mitglied: tordi

tordi (Level 1) - Jetzt verbinden

11.11.2007, aktualisiert 21:52 Uhr, 3937 Aufrufe, 3 Kommentare

Hallo seit ca. 3 Tagen versucht jemand mit den wildesten Benutzernamen auf unseren Server zu gelangen.
Im Protokol steht aber keine IP Adresse oder Quellport.
Wie bekomme ich raus woher bzw. über welchen Port das ganze versucht wird.
Willi ist unser Exchange Server, wieso ist das der Name der Arbeiststation?
Oder versucht das einer über das Webinterface ( Remotewebarbeitsplatz ).

Logfile Sicherheit Auszug:
01.
Ereignistyp:	Fehlerüberw. 
02.
Ereignisquelle:	Security 
03.
Ereigniskategorie:	An-/Abmeldung  
04.
Ereigniskennung:	529 
05.
Datum:		10.11.2007 
06.
Zeit:		16:38:37 
07.
Benutzer:		NT-AUTORITÄT\SYSTEM 
08.
Computer:	WILLI 
09.
Beschreibung: 
10.
Fehlgeschlagene Anmeldung: 
11.
 	Grund:		Unbekannter Benutzername oder falsches Kennwort 
12.
 	Benutzername:	bailey 
13.
 	Domäne:		 
14.
 	Anmeldetyp:	3 
15.
 	Anmeldevorgang:	Advapi   
16.
 	Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 
17.
 	Name der Arbeitsstation:	WILLI 
18.
 	Aufruferbenutzername:	WILLI$ 
19.
 	Aufruferdomäne:	SERVERB1 
20.
 	Aufruferanmeldekennung:	(0x0,0x3E7) 
21.
 	Aufruferprozesskennung:	1424 
22.
 	Übertragene Dienste:	- 
23.
 	Quellnetzwerkadresse:	- 
24.
 	Quellport:	-
Need help. Danke !
Mitglied: gnarff
11.11.2007 um 16:33 Uhr
Hallo tordi!

Der "Angriff" kommt nicht von außen, sondern von innen.
Ansonsten mal das Dokument Bei aktivierter Willkommensseite werden Fehlerereignisse protokolliert um klarer zu sehen, der englische Originaltext ist besser...

saludos
gnarff
Bitte warten ..
Mitglied: tordi
11.11.2007 um 18:47 Uhr
Von innen.... zu den Zeiten ist in der Firma keiner, daher meine Idee ob es über die Webseite (Remotearbeitsplatz etc.) kommen kann.
Es werden hunderte von verschiedenen Usernamen verwendet.
Ich kenne sowas von so kleinen netten Passwort Tools.
Bei der Menge wird Nachts, so denke ich mal, keiner in der Firma sitzen und drauf los hacken.
Bitte warten ..
Mitglied: gnarff
11.11.2007 um 21:52 Uhr
Es werden hunderte von verschiedenen
Usernamen verwendet.
Aha, ja - das hättest Du mal in Deinem Eroeffnungsposting erwähnen sollen!
Jetzt musst Du die Timestamps aus dem Fehlerereignis-Log mit denen aus Log der Firewall vergleichen um zu weiteren Ergebnissen zu gelangen.
Je nach dem wie Deine Ergebnisse dann ausfallen, könntest Du weiter die ausgetauschten Pakete auswerten.

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 7
Fenster bei Neustart immer rechts aussen (7)

Frage von uridium69 zum Thema Windows 7 ...

Erkennung und -Abwehr
Digital Attack Map - Übersicht der weltweiten DDoS-Angriffe in Echtzeit (1)

Link von Frank zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...