Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mysteriöse Anmeldeversuche von verschiedenen IPs aus der ganzen Welt (vorwiegend aus China)

Frage Sicherheit Firewall

Mitglied: Whirly

Whirly (Level 1) - Jetzt verbinden

14.12.2011, aktualisiert 18:50 Uhr, 5479 Aufrufe, 6 Kommentare

Liebe "Helfergemeinde",

ich habe da ein kleines Problem mit unserem SBS2003 Server.

In meiner Ereignisanzeige unter Sicherheit habe ich über 20.000 Einträge mit der Fehlernummer 529 in den letzten 6 Tagen.
Das Ereignis sieht folgendermaßen aus:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 14.12.2011
Zeit: 09:11:46
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER-PU
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrador
Domäne: FXNB
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: FXNB
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 221.178.6.223
Quellport: 0


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Die Domäne im Fehlerbericht stimmt nicht mit unserer Domäne überein.
Ich habe da mal so durchgeklickt und die IP Adressen gecheckt. Da sind welche aus London, USA, Portugal und viele verschiedene aus China, und Korea. Auch die Benutzernamen sind manchmal unterschiedlich: Administrateur, Administrator, Admin ...
Ich muss dazusagen dass mir das erst heute aufgefallen ist. Aber womöglich geht das schon seit langer Zeit so. Wie es aussieht versuchen mehrere verschiedene Leute sich an unserem Server anzumelden. Das Adminpasswort ist zu lang um es zufällig herauszufinden. Aber sorgen mache ich mir trotzdem. Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...) Kann ich Anmeldeversuche von extern unterbinden? Ich muss dazusagen: Wir haben einen Internetanschuss mit fester IP. Da haben es "Hacker" auch leichter tagelang Passwörter auszuprobieren.

Für eure Hilfe bedanke ich mich bereits jetzt.

Liebe Grüße
Christian
Mitglied: GuentherH
14.12.2011 um 18:12 Uhr
Hi.

Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...)

Klar, sperre alle Ports, die nicht notwendig sind. Ich vermute einmal, dass Port 3389 offen ist. Poste doch einmal, welche Ports du offen hast.

LG Günther
Bitte warten ..
Mitglied: mrtux
14.12.2011 um 18:14 Uhr
Hi!

Ähmmm wie kann sich an einem firmeninternen Server (DC) von aussen jemand anmelden? Ich denke ihr habt ein massives Problem mit eurem "Netzwerk" oder äähm nennen wir es mal Nichtsicherheitskonzept, wobei hier die Betonung auf Nicht und Konzept steht und hoffen wir mal, dass Du bisher viel Glück hattest. Trotzdem würde ich den Server sicherheitshalber schnellstens offline nehmen, auf Malware untersuchen und mir danach über ein neues "Sicherheitskonzept" Gedanken machen.

mrtux
Bitte warten ..
Mitglied: Lochkartenstanzer
14.12.2011 um 18:43 Uhr
Hängt euer SBS etwa mit dem "nackten Arsch", sprich einem (ungeschützten) Interface, direkt im Internet? Und wenn ja, warum?

Am besten einen Seitenschneider nehmen und das Kabel kappen, bis jemand geklärt hat, warum der SBS Verbindungen von "außen" annehmen darf/soll/muß.

Übrigens: ein popeliger Baumarktrouter für 20€ und weniger, der NAT macht schützt schon vor solchen Fehlern.

lks

PS: Ein kurzer Überblick, wie euer Netzwerk und euer Internetzugang gestaltet ist und welche Dienste nach außen angeboten werden (sollen), würde helfen, bessere Tipps zu geben.
Bitte warten ..
Mitglied: Whirly
14.12.2011 um 19:08 Uhr
Hallo,

bitte nicht schimpfen aber mit dem "nackten Arsch" hattest du nicht unrecht. Ich muss dazusagen, grundsätzlich bin ich nicht für die Wartung unseres Servers zuständig. Aber was ich da jetzt gerade bemerkt habe, hat mir gerade den Boden unter den Füßen weggezogen. Der Server stand im Router im Menü DMZ drinnen. Kein Wunder dass der Server vom Internet aus gut ereichbar war. So, das habe ich nun korrigiert. Wie gesagt, bitte nicht schimpfen. Ich bin nicht der Verantwortliche. Noch nicht
Ich werde mich mit dem noch Verantwortlichen in Verbindung setzen.

Vielen Dank für eure Mithilfe.

Liebe Grüße
Christian
Bitte warten ..
Mitglied: Lochkartenstanzer
14.12.2011 um 19:34 Uhr
Die Kristallkugel kam gerade frisch von der Raparatur zurück. Sie funktioniert also wieder .
Bitte warten ..
Mitglied: schattenhacker
18.12.2011 um 16:27 Uhr
Hallo,

wir haben dieses "Hintergrundrauschen" auf unserem internetserver. Naja, der muss ja im internet hängen.
Eine statische IP wird einfach irgendwann mal auffallen, weil die einfach IP Bereiche durchscannen.
Wir haben auch aus aller Welt ip´s, die Methode ist root oder admin mit diversen Passwörtern oder
Benutzernamen ( ist immer lustig, pedro, juanita etc. aus Südamerika, Jim, Joe usw. aus amiland )
mit leeren Passwörtern oder Standardpasswörtern. Die versuchen halt die paar Kombinationen und gehen an die nächste IP.
Wenn die Glück haben, admin und "sesam", dann hast du ein Problem.
Die Frage ist natürlich, ob so ein Server im internet hängen muss. So richtig gut finde ich das nur, wenn, wie oben gesagt, tatsächlich Gründe dafür sprechen.
Viele haben es einfach so und dann.........

Gruß Jo
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
China und VPN
gelöst Frage von lasterLAN, WAN, Wireless15 Kommentare

Hallo, einer unserer Kunden hat eine kleine Niederlassung in China mit ca. 5 PC. Die PCs haben einen SSL-VPN-Client ...

Linux Netzwerk
OPSI Mysteriöser mountresult: 53
gelöst Frage von VladislavLinux Netzwerk3 Kommentare

Guten Tag Administartoren, es geht um folgendes Mysterium: Als erstes habe ich eine virtuelle Maschine(Ohne Betriebssystem) als Opsi-client Registriert. ...

Windows Server
Fehlerhafte Anmeldeversuche Server
Frage von itse92Windows Server2 Kommentare

Hallo, in der Ereignisanzeige auf meinem Server (Server2008R2) gab es die letzten Tage, über den Tag verteilt immer so ...

Hosting & Housing
Internetverbindung zwischen Deutschland und China
Frage von VancouveronaHosting & Housing11 Kommentare

Hallo, sitze gerade in Shanghai und lasse meinen Aufenthalt hier noch Mal Revue passieren. Eines meiner Probleme ist die ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 16 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 19 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...