Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fehlgeschlagene Anmeldungen im Event-Log, Firewall-Log zeigt Zugriff auf Port 110

Frage Sicherheit Erkennung und -Abwehr

Mitglied: PatrickT

PatrickT (Level 1) - Jetzt verbinden

28.06.2008 um 15:05 Uhr, 6992 Aufrufe

Hallo Leute,

zunächst einmal ein kräftiges HALLO, an alle Leser dieses Forums.

Ich finde dieses Forum wirklich gut und informativ, habe hier auch schon viel gelernt.
Ich komme aus dem Bereich Softwareentwicklung und habe mir vor einem Monat eine VM gemietet.

Da die Administration eines Servers für mich ziemliches Neuland ist, habe ich natürlich viel
hier im Forum gestöbert und gelesen. Bei dem Betriebssystem handelt es sich um einen
MS Server 2003 Standard mit SP2. Die VM ist für einen Internet-Auftritt vorgesehen.

Vieles was ich bisher hier gelesen habe, über Einbruchsversuche usw., bestätigt sich auch bei mir,
daher habe ich alle Logs aktiviert und sehe mir diese natürlich auch aufmerksam an.

Gestern sind mir mehrere Eintäge im Event-Log aufgefallen.

Zunächst dachte ich, es versucht sich jemand über den RemoteDesktop zu verbinden. Ein Blick
in das Log der Firewall zeigte dann aber einen Zugriff auf den Port 110 (POP3).

Der Spuk dauerte etwa 2 Minuten, allerdings mit mehreren Threads ausgeführt, so sieht es
zumindest im Log aus.

Benutzte Namen waren u.a.: root, www, web, server, account, backup, oracle8, oracle, user, admin,
test, webmaster, data, lizdy usw...

Möchte da jemand die Post dieser Konten lesen oder hat dieser Angriff noch andere Hintergründe ?

Bei der bösen IP handelt es sich um eine EDV-Firma aus Österreich, ich vermute schon fast, dass
dort niemand eine Ahnung von den Vorgängen hat.

Was meint ihr dazu ?
Über einen Erfahrungsaustausch würde ich mich sehr freuen...

Bis dann, Grüße aus dem hohen Norden !
Patrick


Folgend noch ein Ausschnitt aus dem Event- und Firewall-Log.

[XXXXXX] - steht für meine Domäne.

Auszug Event Log
27.06.2008,14:31:29,Security,Fehlerüberw.,An-/Abmeldung ,529,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: root
Domäne: [XXXXXX]
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: [XXXXXX]
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1384
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

27.06.2008,14:31:29,Security,Fehlerüberw.,Kontoanmeldung ,680,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: root
Arbeitsstation: [XXXXXX]
Fehlercode: 0xC0000064



Auszug Firewall-Log
2008-06-27 14:31:29 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12750 110 - - - - - - - - -
2008-06-27 14:31:29 CLOSE TCP [Meine IP] [Böse IP] 110 12750 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12822 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12822 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12889 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12889 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12939 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12939 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12991 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12991 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 13010 110 - - - - - - - - -
[...]
Ähnliche Inhalte
Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Batch & Shell
gelöst ZIP-Archive nach Dateien durchsuchen und Pfade ausgeben (33)

Frage von evinben zum Thema Batch & Shell ...

Verschlüsselung & Zertifikate
Mit Veracrypt eine zweite interne (non-system) Festplatte verschlüsseln (10)

Frage von Bernulf zum Thema Verschlüsselung & Zertifikate ...

C und C++
Methode multiple return values (8)

Frage von mayho33 zum Thema C und C ...