Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Event-ID 529 in Security Log

Frage Microsoft Windows Server

Mitglied: laster

laster (Level 2) - Jetzt verbinden

14.09.2009 um 12:56 Uhr, 9700 Aufrufe, 2 Kommentare

Wer versucht sich da anzumelden?

Hallo Leute,

habe auf einem DC (Win2k3, SP2) im Security-Eventlog Meldungen unter der Kategorie An-/Abmeldung folgende Meldungen gefunden, bei denen mir die Quellnetzwerkadresse Sorgen macht:


Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 02.09.2009
Zeit: 21:31:22
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SV01
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: XX
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SV01
Aufruferbenutzername: SV01$
Aufruferdomäne: ET
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 5952
Übertragene Dienste: -
Quellnetzwerkadresse: 217.128.240.132
Quellport: 2031


Die Meldungen gibt es manchmal alle 20 Sekunden, immer die gleiche QuellIP (LPuteaux-151-43-1-132.w217-128.abo.wanadoo.fr). Es gab davor noch eine andere QuellIP: 121.223.224.105 (cpe-121-223-224-105.static.vic.bigpond.net.au

Könnte das ein Trojaner sein?? Der Server hängt hinter eine (ordentlichen) Firewall, wird aber auch als Dateiablageserver genutzt. Drauf läuft ESET-NOD32, wie auch auf allen Clientrechnern.

Kennt jemand diese Situation?

vG Lars
Mitglied: Driver401
14.09.2009 um 14:36 Uhr
Anmeldetyp 10: Terminaldienste oder Remotedesktop

Alle 20 Sekunden? Da versucht einer/etwas in Dein System zu kommen....

Wenn Du eine "ordentliche" Firewall hast, würd ich als erstes mal die IP sperren und den Account "Administrator " sperren, falls überhaupt vorhanden.
Ansonsten.... weiterhin überprüfen, absichern, evtl. abuse an den Provider...

http://www.microsoft.com/germany/technet/datenbank/articles/900374.mspx ...

Gruß
Bitte warten ..
Mitglied: laster
14.09.2009 um 15:42 Uhr
Hallo Driver401,

der Hinweis auf Anmeldetyp 10 == RDP war's!
In der Firewall war genau der Port von WAN nach LAN offen (es gab vor kurzem die Notwendigkeit dazu). Es wurde dann aber vergessen...
Hinweis auf Umbenennen des Administrators ist auch gut.

Ich denke mal, das war's.
Bis zum nächsten Problemchen...

vG. Lars
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Pagefile error volmgr event id 49 (8)

Frage von winlin zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2013 Event ID 4999 MSExchange Common (5)

Frage von 124611 zum Thema Exchange Server ...

Windows Server
gelöst Event ID 10016 (2)

Frage von Data61 zum Thema Windows Server ...

Windows Server
gelöst Event ID DFSR 5014 (Fehler: 9036) (6)

Frage von TomTom994 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...