7
Exchange 2007 - Viele Warnmeldungen (LogonDenied)
Hallo,
im Ereignisprotokoll von unserem Exchange-Server (SMB2008) werden täglich etliche Warnmeldungen geloggt:
Protokollname: Application
Quelle: MSExchangeTransport
Datum: 06.08.2014 15:38:29
Ereignis-ID: 1035
Aufgabenkategorie:SmtpReceive
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: Server04.local
Beschreibung:
Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector mail.platzhalter.de. Der Authentifizierungsmechanismus ist Login. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [118.140.15.34].
Die Quell-IP-Adressen wechseln meistens und stammen fast immer aus IP-Pools von ausländischen Providern. Ich vermute Bot-Netze dahinter.
Ich habe schon zum Thema gegoogelt, komme aber nicht so richtig weiter.
1. Was kann ich gegen diese Angriffe unternehmen? Wenn IP-Adressen über einen längeren Zeitraum gleich bleiben, prüfe ich die Herkunft der IP-Adresse und sperre die IP in unserer Firewall. Aber was kann ich bei wechselnden IP-Adressen machen?
2. Wie kann ich herausfinden, über welchen Benutzernamen sich der Angreifer anmelden will?
Danke im Voraus
im Ereignisprotokoll von unserem Exchange-Server (SMB2008) werden täglich etliche Warnmeldungen geloggt:
Protokollname: Application
Quelle: MSExchangeTransport
Datum: 06.08.2014 15:38:29
Ereignis-ID: 1035
Aufgabenkategorie:SmtpReceive
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: Server04.local
Beschreibung:
Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector mail.platzhalter.de. Der Authentifizierungsmechanismus ist Login. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [118.140.15.34].
Die Quell-IP-Adressen wechseln meistens und stammen fast immer aus IP-Pools von ausländischen Providern. Ich vermute Bot-Netze dahinter.
Ich habe schon zum Thema gegoogelt, komme aber nicht so richtig weiter.
1. Was kann ich gegen diese Angriffe unternehmen? Wenn IP-Adressen über einen längeren Zeitraum gleich bleiben, prüfe ich die Herkunft der IP-Adresse und sperre die IP in unserer Firewall. Aber was kann ich bei wechselnden IP-Adressen machen?
2. Wie kann ich herausfinden, über welchen Benutzernamen sich der Angreifer anmelden will?
Danke im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 245748
Url: https://administrator.de/contentid/245748
Printed on: April 20, 2024 at 02:04 o'clock
7 Comments
Latest comment
Hallo,
die Autentifizierung selber passiert nicht am Mailserver sondern am Domaincontroller. (Wenn mehrere da sind kann es irgend einer sein)
Dort kannst Du nachschauen mit welchem Benutzernamen versucht wurde sich einzuloggen.
root, Administrator, admin, test, mail, und irgendwelche Namen werden da dann auftauchen.
Wenn der Administrator sich nicht über SMTP/OWA von draußen einloggen kann ist es unwarscheinlich das eine Kombination aus Passwort und Benutzernamen treffen wird.
Machen kannst Du ausser die IP sperren nicht viel machen.
Wenn die Anfragen auch immer sehr Zeitverzögert ankommen, schlagen nicht mal automatische Systeme alarm
Gruß
Chonta
die Autentifizierung selber passiert nicht am Mailserver sondern am Domaincontroller. (Wenn mehrere da sind kann es irgend einer sein)
Dort kannst Du nachschauen mit welchem Benutzernamen versucht wurde sich einzuloggen.
root, Administrator, admin, test, mail, und irgendwelche Namen werden da dann auftauchen.
Wenn der Administrator sich nicht über SMTP/OWA von draußen einloggen kann ist es unwarscheinlich das eine Kombination aus Passwort und Benutzernamen treffen wird.
Machen kannst Du ausser die IP sperren nicht viel machen.
Wenn die Anfragen auch immer sehr Zeitverzögert ankommen, schlagen nicht mal automatische Systeme alarm
Gruß
Chonta
Hallo,
Was ist das denn? SMB steht für?!? Sado Maso Berufsanfänger oder was?
Nichts.
Wie gesagt, Mailproxy (SMTP Proxy) davor setzen z.B. Sophos UTM oder einen anderen Mailserver.
Gruß,
Peter
Was ist das denn? SMB steht für?!? Sado Maso Berufsanfänger oder was?
1. Was kann ich gegen diese Angriffe unternehmen?
Ein Mail Proxy vorschalten? Vermutlich hängt dein Exchange direkt im Internet (Portweiterleitung ist keine Trennung vom Internet)Aber was kann ich bei wechselnden IP-Adressen machen?
Schneller prüfen Nichts.2. Wie kann ich herausfinden, über welchen Benutzernamen sich der Angreifer anmelden will?
SMTP Protokolle für Zeitpunkt und Quelle, System (Ereignisse) Protokolle der DC(s) welche auch Benutzer Authentifizieren (hast du mehrere DCs wird's lustig.Wie gesagt, Mailproxy (SMTP Proxy) davor setzen z.B. Sophos UTM oder einen anderen Mailserver.
Gruß,
Peter
Hallo,
- das Netzwerk von wem anders geknackt worden ist
- sich jemand einen Trojaner eingefangen hat
- Irgend wo jemand einen Bot platziert hat
- die IP Adresse gespooft wird und der "Angriff" über einen Proxy statt findet
- Die Chinesische Regierung ein Interesse an Euch hat
- Ein Konkurrent von Euch mehr wissen möchte
- Jemand mit seinem PC einfach nur "übt"
- Oder jemand einfach nur einen Tippfehler begangen hat
- IP Adresse finden
- Abuse Check der IP Adresse
- Blocklist Auskunft der IP Adresse
- Snort oder Suricata im Netzwerk installieren und die Rules anpassen.
- DPI an Deiner Firewall installieren bzw. aktivieren
- Einen performanten MikroTik Router dazwischen hängen und dann mittels diesem das selbe wie mit fail2ban umsetzen
- China und/oder Hong Kong sperren
- Den ISP sperren
- Snort oder Suricata im Netzwerk installieren und die Rules anpassen.
- DPI an Deiner Firewall installieren bzw. aktivieren
- Einen performanten MikroTik Router dazwischen hängen und dann mittels diesem das selbe wie mit fail2ban umsetzen
Du nicht einmal ein wenig mit TCPDUMP oder WireShark mit?
Gruß
Dobby
Die Quell-IP-Adressen wechseln meistens und stammen fast immer aus IP-Pools von
ausländischen Providern. Ich vermute Bot-Netze dahinter.
Kann aber auch gut sein das;ausländischen Providern. Ich vermute Bot-Netze dahinter.
- das Netzwerk von wem anders geknackt worden ist
- sich jemand einen Trojaner eingefangen hat
- Irgend wo jemand einen Bot platziert hat
- die IP Adresse gespooft wird und der "Angriff" über einen Proxy statt findet
- Die Chinesische Regierung ein Interesse an Euch hat
- Ein Konkurrent von Euch mehr wissen möchte
- Jemand mit seinem PC einfach nur "übt"
- Oder jemand einfach nur einen Tippfehler begangen hat
Ich habe schon zum Thema gegoogelt, komme aber nicht so richtig weiter.
Hier sind meine Google Ergebnisse dazu und die teile ich doch gerne mit Dir.- IP Adresse finden
- Abuse Check der IP Adresse
- Blocklist Auskunft der IP Adresse
1. Was kann ich gegen diese Angriffe unternehmen?
- Einen Proxy zwischen die Firewall/den Router und den Server packen und fail2ban installieren- Snort oder Suricata im Netzwerk installieren und die Rules anpassen.
- DPI an Deiner Firewall installieren bzw. aktivieren
- Einen performanten MikroTik Router dazwischen hängen und dann mittels diesem das selbe wie mit fail2ban umsetzen
Wenn IP-Adressen über einen längeren Zeitraum gleich bleiben, prüfe ich die Herkunft der
IP-Adresse und sperre die IP in unserer Firewall.
- Proxy mit fail2ban installierenIP-Adresse und sperre die IP in unserer Firewall.
- China und/oder Hong Kong sperren
- Den ISP sperren
Aber was kann ich bei wechselnden IP-Adressen machen?
- Einen Proxy zwischen die Firewall/den Router und den Server packen und fail2ban installieren- Snort oder Suricata im Netzwerk installieren und die Rules anpassen.
- DPI an Deiner Firewall installieren bzw. aktivieren
- Einen performanten MikroTik Router dazwischen hängen und dann mittels diesem das selbe wie mit fail2ban umsetzen
2. Wie kann ich herausfinden, über welchen Benutzernamen sich der Angreifer anmelden will?
Was steht denn in den Logs der Firewall, des Connectors, des Exchange, und warum protokollierstDu nicht einmal ein wenig mit TCPDUMP oder WireShark mit?
Gruß
Dobby
Hallo,
@Pjordorf: Ich hätte die offizielle Abkürzung vom Small-Business-Server verwenden sollen: SBS2008
Vielen Dank für die Tipps an alle anderen.
Kann ich bei dem folgenden SMTP-Protokolleintrag davon ausgehen, das hier Relaying ohne Angabe von Benutzerinformationen versucht wird (anonymes Relaying ist natürlich bei uns abgeschaltet)?
Im Ereignisprotokoll des DCs steht unter "Sicherheit" kein Eintrag zu diesem Zeitpunkt.
+,,
*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
@Pjordorf: Ich hätte die offizielle Abkürzung vom Small-Business-Server verwenden sollen: SBS2008
Vielen Dank für die Tipps an alle anderen.
Kann ich bei dem folgenden SMTP-Protokolleintrag davon ausgehen, das hier Relaying ohne Angabe von Benutzerinformationen versucht wird (anonymes Relaying ist natürlich bei uns abgeschaltet)?
Im Ereignisprotokoll des DCs steht unter "Sicherheit" kein Eintrag zu diesem Zeitpunkt.
+,,
*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
,"220 mail.platzhalter.de Microsoft ESMTP MAIL Service ready at Thu, 7 Aug 2014 03:16:24 +0200",
<,EHLO vgoppcxzrd,,250-mail.platzhalter.de Hello [118.140.15.34],
,250-SIZE 41943040,
,250-PIPELINING,
,250-DSN,
,250-ENHANCEDSTATUSCODES,
,250-STARTTLS,
,250-AUTH LOGIN,
,250-8BITMIME,
,250-BINARYMIME,
,250 CHUNKING,
<,AUTH LOGIN,,250-SIZE 41943040,
,250-PIPELINING,
,250-DSN,
,250-ENHANCEDSTATUSCODES,
,250-STARTTLS,
,250-AUTH LOGIN,
,250-8BITMIME,
,250-BINARYMIME,
,250 CHUNKING,
,334 <authentication response>,
,334 <authentication response>,
*,,Inbound AUTH LOGIN failed because of LogonDenied,334 <authentication response>,
,535 5.7.3 Authentication unsuccessful,
<,QUIT,,221 2.0.0 Service closing transmission channel,
-,,Local
Hallo,
das Log sagt, das sich da versucht einer einuloggen.
Die Zeit zwischen Exchangeereigniss und DC ereigniss wird nie genau übereinstimmen.
Suche mal auf dem DC nach fehlgeschlagenen Anmeldungen.
Damit fehlerhafte LLoginversuche auch gelogt werden, muss das Logging dafür auch eingeschaltet sein.
Gruß
Chonta
das Log sagt, das sich da versucht einer einuloggen.
,AUTH LOGIN,
,334 <authentication response>,
,334 <authentication response>,
,334 <authentication response>,
,334 <authentication response>,
Die Zeit zwischen Exchangeereigniss und DC ereigniss wird nie genau übereinstimmen.
Suche mal auf dem DC nach fehlgeschlagenen Anmeldungen.
Damit fehlerhafte LLoginversuche auch gelogt werden, muss das Logging dafür auch eingeschaltet sein.
Gruß
Chonta
Hallo,
können weitere DCs existieren - überhaupt kein Problem, und welcher DC dann die Authentifizierung versuchte durchzuführen hängt davon ab welcher DC denn Zeit und Muße und gerade die schnellste Antwortzeit hinlegte. Vermutlich dein SBS weil der vermutlich dein Exchange beherbergt - wie gesagt vermutlich.
Mache mal ein "Telnet deinMailServer 25"
Nach dessen Antwort dann ein
"ehlo Ich"
und schau dir an was dein Exchange alles an Authentifizierung anbietet.
http://technet.microsoft.com/en-us/library/gg263433(v=exchg.80).aspx
http://technet.microsoft.com/en-us/library/bb232023(v=exchg.80).aspx
http://www.exchangeinbox.com/article.aspx?i=93
http://en.wikipedia.org/wiki/SMTP_Authentication
http://en.wikipedia.org/wiki/E-mail_authentication
http://en.wikipedia.org/wiki/Open_mail_relay
Gruß,
Peter
Zitat von @Jonapap:
Im Ereignisprotokoll des DCs steht unter "Sicherheit" kein Eintrag zu diesem Zeitpunkt.
Welcher DC? Du schreibst jaIm Ereignisprotokoll des DCs steht unter "Sicherheit" kein Eintrag zu diesem Zeitpunkt.
Computer: Server04.local
was uns den Anschein geben soll das dort mindestens 4 Server werkeln. Auch zu einen SBS können weitere DCs existieren - überhaupt kein Problem, und welcher DC dann die Authentifizierung versuchte durchzuführen hängt davon ab welcher DC denn Zeit und Muße und gerade die schnellste Antwortzeit hinlegte. Vermutlich dein SBS weil der vermutlich dein Exchange beherbergt - wie gesagt vermutlich.<,AUTH LOGIN,
>,334 <authentication response>,
>,334 <authentication response>,
*,,Inbound AUTH LOGIN failed because of LogonDenied
>,535 5.7.3 Authentication unsuccessful
Und das nennst du keinen Anmeldeversuch? Welche Anmeldetypen sind denn von extern erlaubt? Werden die so auch gebraucht?>,334 <authentication response>,
>,334 <authentication response>,
*,,Inbound AUTH LOGIN failed because of LogonDenied
>,535 5.7.3 Authentication unsuccessful
Mache mal ein "Telnet deinMailServer 25"
Nach dessen Antwort dann ein
"ehlo Ich"
und schau dir an was dein Exchange alles an Authentifizierung anbietet.
http://technet.microsoft.com/en-us/library/gg263433(v=exchg.80).aspx
http://technet.microsoft.com/en-us/library/bb232023(v=exchg.80).aspx
http://www.exchangeinbox.com/article.aspx?i=93
http://en.wikipedia.org/wiki/SMTP_Authentication
http://en.wikipedia.org/wiki/E-mail_authentication
http://en.wikipedia.org/wiki/Open_mail_relay
Gruß,
Peter
Hallo,
@Chonta:Es gibt keine fehlgeschlagenen Anmeldeversuche in dem relevanten Zeitraum in dem Ereignisprotokoll "Sicherheit". Wo kann ich sehen, ob das Logging bei fehlerhaften Anmeldeversuch eingeschaltet ist?
@Pjordorf: Der Servername ist geändert und spielt hier keine Rolle. Bei Servernamen hänge ich allerdings generell immer eine laufende Nummer an, um sie besser unterscheiden zu können. Daraus lässt sich aber kein Rückschluss auf die Anzahl der Server ziehen, da es auch ausgemusterte Server gibt.
Ich habe nicht geschrieben, dass kein Anmeldeversuch protokolliert wurde, sondern vermutet, dass es ein Anmeldeversuch ohne Angabe von Benutzerinformationen (Benutzername und Passwort) sein könnte.
Was soll ich aus der telnet-Abfrage auf Port 25 für Informationen bekommen, die nicht sowieso schon in meinem oben stehenden Protokolleintrag (SmtpReceive) stehen?
@Chonta:Es gibt keine fehlgeschlagenen Anmeldeversuche in dem relevanten Zeitraum in dem Ereignisprotokoll "Sicherheit". Wo kann ich sehen, ob das Logging bei fehlerhaften Anmeldeversuch eingeschaltet ist?
@Pjordorf: Der Servername ist geändert und spielt hier keine Rolle. Bei Servernamen hänge ich allerdings generell immer eine laufende Nummer an, um sie besser unterscheiden zu können. Daraus lässt sich aber kein Rückschluss auf die Anzahl der Server ziehen, da es auch ausgemusterte Server gibt.
Ich habe nicht geschrieben, dass kein Anmeldeversuch protokolliert wurde, sondern vermutet, dass es ein Anmeldeversuch ohne Angabe von Benutzerinformationen (Benutzername und Passwort) sein könnte.
Was soll ich aus der telnet-Abfrage auf Port 25 für Informationen bekommen, die nicht sowieso schon in meinem oben stehenden Protokolleintrag (SmtpReceive) stehen?
