Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fehlgeschlagene Anmeldungen im Event-Log, Firewall-Log zeigt Zugriff auf Port 110

Frage Sicherheit Erkennung und -Abwehr

Mitglied: PatrickT

PatrickT (Level 1) - Jetzt verbinden

28.06.2008 um 15:05 Uhr, 7017 Aufrufe

Hallo Leute,

zunächst einmal ein kräftiges HALLO, an alle Leser dieses Forums.

Ich finde dieses Forum wirklich gut und informativ, habe hier auch schon viel gelernt.
Ich komme aus dem Bereich Softwareentwicklung und habe mir vor einem Monat eine VM gemietet.

Da die Administration eines Servers für mich ziemliches Neuland ist, habe ich natürlich viel
hier im Forum gestöbert und gelesen. Bei dem Betriebssystem handelt es sich um einen
MS Server 2003 Standard mit SP2. Die VM ist für einen Internet-Auftritt vorgesehen.

Vieles was ich bisher hier gelesen habe, über Einbruchsversuche usw., bestätigt sich auch bei mir,
daher habe ich alle Logs aktiviert und sehe mir diese natürlich auch aufmerksam an.

Gestern sind mir mehrere Eintäge im Event-Log aufgefallen.

Zunächst dachte ich, es versucht sich jemand über den RemoteDesktop zu verbinden. Ein Blick
in das Log der Firewall zeigte dann aber einen Zugriff auf den Port 110 (POP3).

Der Spuk dauerte etwa 2 Minuten, allerdings mit mehreren Threads ausgeführt, so sieht es
zumindest im Log aus.

Benutzte Namen waren u.a.: root, www, web, server, account, backup, oracle8, oracle, user, admin,
test, webmaster, data, lizdy usw...

Möchte da jemand die Post dieser Konten lesen oder hat dieser Angriff noch andere Hintergründe ?

Bei der bösen IP handelt es sich um eine EDV-Firma aus Österreich, ich vermute schon fast, dass
dort niemand eine Ahnung von den Vorgängen hat.

Was meint ihr dazu ?
Über einen Erfahrungsaustausch würde ich mich sehr freuen...

Bis dann, Grüße aus dem hohen Norden !
Patrick


Folgend noch ein Ausschnitt aus dem Event- und Firewall-Log.

[XXXXXX] - steht für meine Domäne.

Auszug Event Log
27.06.2008,14:31:29,Security,Fehlerüberw.,An-/Abmeldung ,529,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: root
Domäne: [XXXXXX]
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: [XXXXXX]
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1384
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

27.06.2008,14:31:29,Security,Fehlerüberw.,Kontoanmeldung ,680,NT-AUTORITÄT\SYSTEM,[XXXXXX],"Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: root
Arbeitsstation: [XXXXXX]
Fehlercode: 0xC0000064



Auszug Firewall-Log
2008-06-27 14:31:29 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12750 110 - - - - - - - - -
2008-06-27 14:31:29 CLOSE TCP [Meine IP] [Böse IP] 110 12750 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12822 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12822 - - - - - - - - -
2008-06-27 14:31:30 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12889 110 - - - - - - - - -
2008-06-27 14:31:30 CLOSE TCP [Meine IP] [Böse IP] 110 12889 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12939 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12939 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 12991 110 - - - - - - - - -
2008-06-27 14:31:31 CLOSE TCP [Meine IP] [Böse IP] 110 12991 - - - - - - - - -
2008-06-27 14:31:31 OPEN-INBOUND TCP [Böse IP] [Meine IP] 13010 110 - - - - - - - - -
[...]
Ähnliche Inhalte
Windows Server
gelöst Event logs on system - In 24 hours more than 200,000 log events are generated (7)

Frage von Daywalker75 zum Thema Windows Server ...

Batch & Shell
gelöst RoboCopy Log Fehler? (14)

Frage von clragon zum Thema Batch & Shell ...

Debian
Var,log über Webserver anzeigen? (5)

Frage von Motte990 zum Thema Debian ...

Internet
gelöst Internet verbindungs LOG (6)

Frage von simonlohr zum Thema Internet ...

Neue Wissensbeiträge
Windows Tools

Zeit für Energiesparmodus, Bildschirmabschaltung etc. schnell anpassen

Anleitung von hannsgmaulwurf zum Thema Windows Tools ...

Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(4)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Heiß diskutierte Inhalte