Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hackerangriff?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: calimero78

calimero78 (Level 1) - Jetzt verbinden

22.02.2009, aktualisiert 20:51 Uhr, 9332 Aufrufe, 7 Kommentare

Hallo habe einen SBS2003 Std. Server aufgesetzt, der über einen Dyndns Eintrag von aussen wegen Intranetseite und Outlook Synchronisierung mit Mobile Phone erreichbar ist. Nun habe ich in dem letzten Serverleistungsbericht folgende Meldung erhalten:

Kritische Warnungen im Protokoll Sicherheit


Quelle Ereigniskennung Letztes Vorkommen Vorkommnisse insgesamt
Security 529 21.02.2009 19:32 2.089 *

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: administrator
Domäne:
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SBS2003
Aufruferbenutzername: SBS2003$
Aufruferdomäne: A***
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7984
Übertragene Dienste: -
Quellnetzwerkadresse: 87.123.54.67
Quellport: 2367

Weiß jemand Rat?
Mitglied: n.o.b.o.d.y
22.02.2009 um 19:06 Uhr
Hallo,

da hat sich einer versucht als Admin anzumelden und ein falsches Passwort eingegeben (vertippt?). Interessant wäre zu klären, wo die IP 87. .... hingehört .

Ein ping auf die Adresse ergibt eine dynamische IP bei versanet.
Bitte warten ..
Mitglied: HightopOne
22.02.2009 um 19:13 Uhr
die Ip ist schnell lokalisiert

87.123.54.67 IP address location & more:
IP address [?]: 87.123.54.67 Copy [Whois] [Reverse IP]
IP address country: ip address flag Germany
IP address state: Nordrhein-Westfalen
IP address city: Gelsenkirchen
IP address latitude: 51.5167
IP address longitude: 7.0500
ISP of this IP [?]: Versatel West GmbH
Organization: Versatel Deutschland
Host of this IP: [?]: i577B3643.versanet.de [Whois] [Trace]
Local time in Germany: 2009-02-22 19:12

die frage ist aber,ob ein Proxy genutzt wurde,weil wenn ja würde das dann ein Fingerzeig ins nichts sein.

Und nunja das Server angegriffen werden ist ja nun nix neues und auch hier gilt,ein System ist Grundsätzlich nur so sicher wie es von dem davor sitzenden eingerichtet wurde ;)

An deiner stelle würde ich das Adminkonto in den Lokalen Sicherheitsrichtlinien umbenennen und ein Keysensitives Passwort nehmen.

Zudem solltest du dein System stählern.
Bitte warten ..
Mitglied: DMeyer
22.02.2009 um 20:15 Uhr
Hallo,


Ich gehe mal dovon aus das du den Webzugriff auf Administrator-Account deaktiviert hast, oder? Wenn nicht, solltest du das auf jedenfall nachholen...

Gruß

Daniel
Bitte warten ..
Mitglied: gnarff
22.02.2009 um 23:54 Uhr
Anmeldetyp 10 sagt uns Terminaldienste sichern und den Vorgang weiter beobachten; mehr kannst du erst mal nicht machen.

saludos
gnarff
Bitte warten ..
Mitglied: -Ohforf
23.02.2009 um 10:09 Uhr
Wie häufig kam denn diese Fehlermeldung vor?

Ich denke, bei einem einmaligem Auftreten sollte man das noch ein paar
Tage im Auge behalten.


Wenn es jetzt sehr häufig auftritt (z.B. 10x pro Sekunde) handelt es sich
dabei definitiv um einen Hackerangriff.

In diesem Falle sollte man sich einen zweiten Administratoraccount anlegen
(am besten mit einem Namen den man nicht mit Adminrechten in Verbindung
bringen kann) und voreingestellten "Administrator"-Account deaktivieren.

Diesen Vorgang halte ich so oder so für sinnvoll, insofern keine Anwendung
eben diesen Account benötigt, da die meisten Brute-Force Angriffe sich
auf den voreingestellten Administrator-Account beziehen.

EDIT:
@?HightopOne: Dürfte man erfahren welchen whois-Dienst du nutzt?

EDIT2:
Wenn die "Angriffe" andauern würde ich einen Abuse-Meldung an Versatel machen.
Ein Formular hierfür findet man auf:

http://abuse.versatel.de/index.php?lang=de

Wichtig dabei ist, das du möglichst viele Beweise (Eventlog in deinem Falle) vorlegst.
Bitte warten ..
Mitglied: HightopOne
23.02.2009 um 12:30 Uhr
@Ohforf

ich nutz unterschiedliche, meistens aber diesen
http://www.ip-adress.com/IP_adresse/
http://www.ip-adress.com/ip_tracer/

den gibet auch noch
http://www.whois.sc/ oder diesen http://www.internic.net/whois.html

aber meine lieblinge sind die ersten beiden links.
Bitte warten ..
Mitglied: calimero78
10.03.2009 um 08:55 Uhr
vielen dank für die Hilfen
Bitte warten ..
Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 10 StundenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 10 StundenMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 18 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Windows Server
Kann man im KMS nachschauen , wieviele Clients den Key in Anspruch genommen haben
gelöst Frage von rainergugusWindows Server15 Kommentare

Hallo, wir haben einen KMS Windows 10 Key. Dieser ist ja W7 kompatibel. Aber unser Windows 7 Pool registriert ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...