Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Event-ID 529 in Security Log

Frage Microsoft Windows Server

Mitglied: laster

laster (Level 2) - Jetzt verbinden

14.09.2009 um 12:56 Uhr, 9722 Aufrufe, 2 Kommentare

Wer versucht sich da anzumelden?

Hallo Leute,

habe auf einem DC (Win2k3, SP2) im Security-Eventlog Meldungen unter der Kategorie An-/Abmeldung folgende Meldungen gefunden, bei denen mir die Quellnetzwerkadresse Sorgen macht:


Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 02.09.2009
Zeit: 21:31:22
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SV01
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: XX
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SV01
Aufruferbenutzername: SV01$
Aufruferdomäne: ET
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 5952
Übertragene Dienste: -
Quellnetzwerkadresse: 217.128.240.132
Quellport: 2031


Die Meldungen gibt es manchmal alle 20 Sekunden, immer die gleiche QuellIP (LPuteaux-151-43-1-132.w217-128.abo.wanadoo.fr). Es gab davor noch eine andere QuellIP: 121.223.224.105 (cpe-121-223-224-105.static.vic.bigpond.net.au

Könnte das ein Trojaner sein?? Der Server hängt hinter eine (ordentlichen) Firewall, wird aber auch als Dateiablageserver genutzt. Drauf läuft ESET-NOD32, wie auch auf allen Clientrechnern.

Kennt jemand diese Situation?

vG Lars
Mitglied: Driver401
14.09.2009 um 14:36 Uhr
Anmeldetyp 10: Terminaldienste oder Remotedesktop

Alle 20 Sekunden? Da versucht einer/etwas in Dein System zu kommen....

Wenn Du eine "ordentliche" Firewall hast, würd ich als erstes mal die IP sperren und den Account "Administrator " sperren, falls überhaupt vorhanden.
Ansonsten.... weiterhin überprüfen, absichern, evtl. abuse an den Provider...

http://www.microsoft.com/germany/technet/datenbank/articles/900374.mspx ...

Gruß
Bitte warten ..
Mitglied: laster
14.09.2009 um 15:42 Uhr
Hallo Driver401,

der Hinweis auf Anmeldetyp 10 == RDP war's!
In der Firewall war genau der Port von WAN nach LAN offen (es gab vor kurzem die Notwendigkeit dazu). Es wurde dann aber vergessen...
Hinweis auf Umbenennen des Administrators ist auch gut.

Ich denke mal, das war's.
Bis zum nächsten Problemchen...

vG. Lars
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Event logs on system - In 24 hours more than 200,000 log events are generated (7)

Frage von Daywalker75 zum Thema Windows Server ...

Visual Studio
gelöst C-Sharp WPF MVVM ListView mit TextBox SelectionChanged Event (2)

Frage von mayho33 zum Thema Visual Studio ...

Datenbanken
gelöst SQL - nur Daten mit niedrigster ID ausgeben (1)

Frage von winscheil zum Thema Datenbanken ...

Windows Server
gelöst Ereignisanzeige ID 55 NTFS Fehler welche Platte (4)

Frage von Fruehling2017 zum Thema Windows Server ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(6)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
gelöst Benutzer lässt sich nur an einem Clientcomputer anmelden (17)

Frage von Ammann zum Thema Windows Server ...

Vmware
gelöst Wie würdet Ihr eine ESXi Cluster Farm managen? (11)

Frage von AlFalcone zum Thema Vmware ...

Batch & Shell
gelöst Gruppenzugehörigkeit von AD Usern ermitteln - die Perfektion fehlt (11)

Frage von Stefan007 zum Thema Batch & Shell ...