Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mysteriöse Anmeldeversuche von verschiedenen IPs aus der ganzen Welt (vorwiegend aus China)

Frage Sicherheit Firewall

Mitglied: Whirly

Whirly (Level 1) - Jetzt verbinden

14.12.2011, aktualisiert 18:50 Uhr, 5333 Aufrufe, 6 Kommentare

Liebe "Helfergemeinde",

ich habe da ein kleines Problem mit unserem SBS2003 Server.

In meiner Ereignisanzeige unter Sicherheit habe ich über 20.000 Einträge mit der Fehlernummer 529 in den letzten 6 Tagen.
Das Ereignis sieht folgendermaßen aus:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 14.12.2011
Zeit: 09:11:46
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER-PU
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrador
Domäne: FXNB
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: FXNB
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 221.178.6.223
Quellport: 0


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Die Domäne im Fehlerbericht stimmt nicht mit unserer Domäne überein.
Ich habe da mal so durchgeklickt und die IP Adressen gecheckt. Da sind welche aus London, USA, Portugal und viele verschiedene aus China, und Korea. Auch die Benutzernamen sind manchmal unterschiedlich: Administrateur, Administrator, Admin ...
Ich muss dazusagen dass mir das erst heute aufgefallen ist. Aber womöglich geht das schon seit langer Zeit so. Wie es aussieht versuchen mehrere verschiedene Leute sich an unserem Server anzumelden. Das Adminpasswort ist zu lang um es zufällig herauszufinden. Aber sorgen mache ich mir trotzdem. Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...) Kann ich Anmeldeversuche von extern unterbinden? Ich muss dazusagen: Wir haben einen Internetanschuss mit fester IP. Da haben es "Hacker" auch leichter tagelang Passwörter auszuprobieren.

Für eure Hilfe bedanke ich mich bereits jetzt.

Liebe Grüße
Christian
Mitglied: GuentherH
14.12.2011 um 18:12 Uhr
Hi.

Kann ich da irgendetwas machen um dies zu verhindern. (Ports sperren, ...)

Klar, sperre alle Ports, die nicht notwendig sind. Ich vermute einmal, dass Port 3389 offen ist. Poste doch einmal, welche Ports du offen hast.

LG Günther
Bitte warten ..
Mitglied: mrtux
14.12.2011 um 18:14 Uhr
Hi!

Ähmmm wie kann sich an einem firmeninternen Server (DC) von aussen jemand anmelden? Ich denke ihr habt ein massives Problem mit eurem "Netzwerk" oder äähm nennen wir es mal Nichtsicherheitskonzept, wobei hier die Betonung auf Nicht und Konzept steht und hoffen wir mal, dass Du bisher viel Glück hattest. Trotzdem würde ich den Server sicherheitshalber schnellstens offline nehmen, auf Malware untersuchen und mir danach über ein neues "Sicherheitskonzept" Gedanken machen.

mrtux
Bitte warten ..
Mitglied: Lochkartenstanzer
14.12.2011 um 18:43 Uhr
Hängt euer SBS etwa mit dem "nackten Arsch", sprich einem (ungeschützten) Interface, direkt im Internet? Und wenn ja, warum?

Am besten einen Seitenschneider nehmen und das Kabel kappen, bis jemand geklärt hat, warum der SBS Verbindungen von "außen" annehmen darf/soll/muß.

Übrigens: ein popeliger Baumarktrouter für 20€ und weniger, der NAT macht schützt schon vor solchen Fehlern.

lks

PS: Ein kurzer Überblick, wie euer Netzwerk und euer Internetzugang gestaltet ist und welche Dienste nach außen angeboten werden (sollen), würde helfen, bessere Tipps zu geben.
Bitte warten ..
Mitglied: Whirly
14.12.2011 um 19:08 Uhr
Hallo,

bitte nicht schimpfen aber mit dem "nackten Arsch" hattest du nicht unrecht. Ich muss dazusagen, grundsätzlich bin ich nicht für die Wartung unseres Servers zuständig. Aber was ich da jetzt gerade bemerkt habe, hat mir gerade den Boden unter den Füßen weggezogen. Der Server stand im Router im Menü DMZ drinnen. Kein Wunder dass der Server vom Internet aus gut ereichbar war. So, das habe ich nun korrigiert. Wie gesagt, bitte nicht schimpfen. Ich bin nicht der Verantwortliche. Noch nicht
Ich werde mich mit dem noch Verantwortlichen in Verbindung setzen.

Vielen Dank für eure Mithilfe.

Liebe Grüße
Christian
Bitte warten ..
Mitglied: Lochkartenstanzer
14.12.2011 um 19:34 Uhr
Die Kristallkugel kam gerade frisch von der Raparatur zurück. Sie funktioniert also wieder .
Bitte warten ..
Mitglied: schattenhacker
18.12.2011 um 16:27 Uhr
Hallo,

wir haben dieses "Hintergrundrauschen" auf unserem internetserver. Naja, der muss ja im internet hängen.
Eine statische IP wird einfach irgendwann mal auffallen, weil die einfach IP Bereiche durchscannen.
Wir haben auch aus aller Welt ip´s, die Methode ist root oder admin mit diversen Passwörtern oder
Benutzernamen ( ist immer lustig, pedro, juanita etc. aus Südamerika, Jim, Joe usw. aus amiland )
mit leeren Passwörtern oder Standardpasswörtern. Die versuchen halt die paar Kombinationen und gehen an die nächste IP.
Wenn die Glück haben, admin und "sesam", dann hast du ein Problem.
Die Frage ist natürlich, ob so ein Server im internet hängen muss. So richtig gut finde ich das nur, wenn, wie oben gesagt, tatsächlich Gründe dafür sprechen.
Viele haben es einfach so und dann.........

Gruß Jo
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Router & Routing
gelöst Proxmox WAN IPs (13)

Frage von sebastian2608 zum Thema Router & Routing ...

Batch & Shell
gelöst Powershell - Dateien aus verschiedenen Arrays - Attribute vergleichen (5)

Frage von Giffas zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...