Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fehlgeschlagene Anmeldungen im Event-Log, Firewall-Log zeigt Zugriff auf Port 110

Frage Sicherheit Erkennung und -Abwehr

Mitglied: PatrickT

PatrickT (Level 1) - Jetzt verbinden

28.06.2008 um 15:05 Uhr, 6972 Aufrufe

Hallo Leute,

zunächst einmal ein kräftiges HALLO, an alle Leser dieses Forums.

Ich finde dieses Forum wirklich gut und informativ, habe hier auch schon viel gelernt.
Ich komme aus dem Bereich Softwareentwicklung und habe mir vor einem Monat eine VM gemietet.

Da die Administration eines Servers für mich ziemliches Neuland ist, habe ich natürlich viel
hier im Forum gestöbert und gelesen. Bei dem Betriebssystem handelt es sich um einen
MS Server 2003 Standard mit SP2. Die VM ist für einen Internet-Auftritt vorgesehen.

Vieles was ich bisher hier gelesen habe, über Einbruchsversuche usw., bestätigt sich auch bei mir,
daher habe ich alle Logs aktiviert und sehe mir diese natürlich auch aufmerksam an.

Gestern sind mir mehrere Eintäge im Event-Log aufgefallen.

Zunächst dachte ich, es versucht sich jemand über den RemoteDesktop zu verbinden. Ein Blick
in das Log der Firewall zeigte dann aber einen Zugriff auf den Port 110 (POP3).

Der Spuk dauerte etwa 2 Minuten, allerdings mit mehreren Threads ausgeführt, so sieht es
zumindest im Log aus.

Benutzte Namen waren u.a.: root, www, web, server, account, backup, oracle8, oracle, user, admin,
test, webmaster, data, lizdy usw...

Möchte da jemand die Post dieser Konten lesen oder hat dieser Angriff noch andere Hintergründe ?

Bei der bösen IP handelt es sich um eine EDV-Firma aus Österreich, ich vermute schon fast, dass
dort niemand eine Ahnung von den Vorgängen hat.

Was meint ihr dazu ?
Über einen Erfahrungsaustausch würde ich mich sehr freuen...

Bis dann, Grüße aus dem hohen Norden !
Patrick


Folgend noch ein Ausschnitt aus dem Event- und Firewall-Log.

[XXXXXX] - steht für meine Domäne.

Auszug Event Log
27.06.2008,14:31:29,Security,Fehlerüberw.,An-/Abmeldung ,529,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: root
Domäne: [XXXXXX]
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: [XXXXXX]
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1384
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

27.06.2008,14:31:29,Security,Fehlerüberw.,Kontoanmeldung ,680,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: root
Arbeitsstation: [XXXXXX]
Fehlercode: 0xC0000064



Auszug Firewall-Log
2008-06-27 14:31:29 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12750 110 - - - - - - - - -
2008-06-27 14:31:29 CLOSE TCP [Meine IP] [Böse IP] 110 12750 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12822 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12822 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12889 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12889 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12939 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12939 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12991 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12991 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 13010 110 - - - - - - - - -
[...]
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Event-log, WinRM, Listener Port

Frage von DaveDave zum Thema Windows Server ...

Router & Routing
gelöst Firewall Fortigate 50B zugriff (7)

Frage von RazorDevil zum Thema Router & Routing ...

Windows Server
gelöst Event logs on system - In 24 hours more than 200,000 log events are generated (7)

Frage von Daywalker75 zum Thema Windows Server ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...