Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fehlgeschlagene Anmeldungen im Event-Log, Firewall-Log zeigt Zugriff auf Port 110

Frage Sicherheit Erkennung und -Abwehr

Mitglied: PatrickT

PatrickT (Level 1) - Jetzt verbinden

28.06.2008 um 15:05 Uhr, 7035 Aufrufe

Hallo Leute,

zunächst einmal ein kräftiges HALLO, an alle Leser dieses Forums.

Ich finde dieses Forum wirklich gut und informativ, habe hier auch schon viel gelernt.
Ich komme aus dem Bereich Softwareentwicklung und habe mir vor einem Monat eine VM gemietet.

Da die Administration eines Servers für mich ziemliches Neuland ist, habe ich natürlich viel
hier im Forum gestöbert und gelesen. Bei dem Betriebssystem handelt es sich um einen
MS Server 2003 Standard mit SP2. Die VM ist für einen Internet-Auftritt vorgesehen.

Vieles was ich bisher hier gelesen habe, über Einbruchsversuche usw., bestätigt sich auch bei mir,
daher habe ich alle Logs aktiviert und sehe mir diese natürlich auch aufmerksam an.

Gestern sind mir mehrere Eintäge im Event-Log aufgefallen.

Zunächst dachte ich, es versucht sich jemand über den RemoteDesktop zu verbinden. Ein Blick
in das Log der Firewall zeigte dann aber einen Zugriff auf den Port 110 (POP3).

Der Spuk dauerte etwa 2 Minuten, allerdings mit mehreren Threads ausgeführt, so sieht es
zumindest im Log aus.

Benutzte Namen waren u.a.: root, www, web, server, account, backup, oracle8, oracle, user, admin,
test, webmaster, data, lizdy usw...

Möchte da jemand die Post dieser Konten lesen oder hat dieser Angriff noch andere Hintergründe ?

Bei der bösen IP handelt es sich um eine EDV-Firma aus Österreich, ich vermute schon fast, dass
dort niemand eine Ahnung von den Vorgängen hat.

Was meint ihr dazu ?
Über einen Erfahrungsaustausch würde ich mich sehr freuen...

Bis dann, Grüße aus dem hohen Norden !
Patrick


Folgend noch ein Ausschnitt aus dem Event- und Firewall-Log.

[XXXXXX] - steht für meine Domäne.

Auszug Event Log
27.06.2008,14:31:29,Security,Fehlerüberw.,An-/Abmeldung ,529,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: root
Domäne: [XXXXXX]
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: [XXXXXX]
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1384
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

27.06.2008,14:31:29,Security,Fehlerüberw.,Kontoanmeldung ,680,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: root
Arbeitsstation: [XXXXXX]
Fehlercode: 0xC0000064



Auszug Firewall-Log
2008-06-27 14:31:29 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12750 110 - - - - - - - - -
2008-06-27 14:31:29 CLOSE TCP [Meine IP] [Böse IP] 110 12750 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12822 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12822 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12889 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12889 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12939 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12939 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12991 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12991 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 13010 110 - - - - - - - - -
[...]
Ähnliche Inhalte
Windows Server
Event-log, WinRM, Listener Port
Frage von DaveDaveWindows Server

Hallo Leute! Ich wollte mal eben die Events von den Clients auf den Server weiterleiten Das war vor zwei ...

Windows Server
Kein Firewall Log auf DC
Frage von scusimarcusWindows Server13 Kommentare

Hallo, ich habe gerade eine Kuriosität auf einem DC (server 2012 R2) entdeckt. Die Firewall-Settings werden über GPO´s an ...

Windows Server
Es wird nicht immer ein Event Log Eintrag erstellt
Frage von fdh71gWindows Server

Hallo zusammen Wir haben auf bestimmten Verzeichnissen über den File Server Ressource Manager das File Screening aktiviert. Wir haben ...

LAN, WAN, Wireless
PfSense Firewall Log - Unbekannte Aktivitäten
gelöst Frage von NetworkUserLAN, WAN, Wireless5 Kommentare

Hallo, ich habe eine Firewall auf Basis von PfSense. (Neustes Update) Folgende Konfiguration: Internet > PfSense > Internes LAN/WLAN ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 21 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...