Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Event-ID 529 in Security Log

Frage Microsoft Windows Server

Mitglied: laster

laster (Level 2) - Jetzt verbinden

14.09.2009 um 12:56 Uhr, 9729 Aufrufe, 2 Kommentare

Wer versucht sich da anzumelden?

Hallo Leute,

habe auf einem DC (Win2k3, SP2) im Security-Eventlog Meldungen unter der Kategorie An-/Abmeldung folgende Meldungen gefunden, bei denen mir die Quellnetzwerkadresse Sorgen macht:


Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 02.09.2009
Zeit: 21:31:22
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SV01
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: XX
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SV01
Aufruferbenutzername: SV01$
Aufruferdomäne: ET
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 5952
Übertragene Dienste: -
Quellnetzwerkadresse: 217.128.240.132
Quellport: 2031


Die Meldungen gibt es manchmal alle 20 Sekunden, immer die gleiche QuellIP (LPuteaux-151-43-1-132.w217-128.abo.wanadoo.fr). Es gab davor noch eine andere QuellIP: 121.223.224.105 (cpe-121-223-224-105.static.vic.bigpond.net.au

Könnte das ein Trojaner sein?? Der Server hängt hinter eine (ordentlichen) Firewall, wird aber auch als Dateiablageserver genutzt. Drauf läuft ESET-NOD32, wie auch auf allen Clientrechnern.

Kennt jemand diese Situation?

vG Lars
Mitglied: Driver401
14.09.2009 um 14:36 Uhr
Anmeldetyp 10: Terminaldienste oder Remotedesktop

Alle 20 Sekunden? Da versucht einer/etwas in Dein System zu kommen....

Wenn Du eine "ordentliche" Firewall hast, würd ich als erstes mal die IP sperren und den Account "Administrator " sperren, falls überhaupt vorhanden.
Ansonsten.... weiterhin überprüfen, absichern, evtl. abuse an den Provider...

http://www.microsoft.com/germany/technet/datenbank/articles/900374.mspx ...

Gruß
Bitte warten ..
Mitglied: laster
14.09.2009 um 15:42 Uhr
Hallo Driver401,

der Hinweis auf Anmeldetyp 10 == RDP war's!
In der Firewall war genau der Port von WAN nach LAN offen (es gab vor kurzem die Notwendigkeit dazu). Es wurde dann aber vergessen...
Hinweis auf Umbenennen des Administrators ist auch gut.

Ich denke mal, das war's.
Bis zum nächsten Problemchen...

vG. Lars
Bitte warten ..
Ähnliche Inhalte
Windows Server
Event ID: 1003 - Windows Server 2012 R2 (1)

Frage von peterpa zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Event.log datei runterladen von cisco system (2)

Frage von Herbrich19 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Event logs on system - In 24 hours more than 200,000 log events are generated (7)

Frage von Daywalker75 zum Thema Windows Server ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Windows Update
MS: Update-Server-Adressen OHNE Wildcards (16)

Frage von mrserious73 zum Thema Windows Update ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (10)

Frage von Matsushita zum Thema Microsoft Office ...

Router & Routing
gelöst Netzwerk am einfachsten trennen (8)

Frage von geheimagent zum Thema Router & Routing ...