Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

SBS 2003 - fehlerhafte Anmeldungen. Woher und warum?

Mitglied: 85807

85807 (Level 2)

26.07.2010 um 16:03 Uhr, 6102 Aufrufe, 11 Kommentare

Hallo

Ich bekomme seit gestern immer Emailbnachrichtungen von einem SBS 2003.

Ein Konto wurde wegen mehrfachen fehlgeschlagenen Anmeldeversuchen in einem kurzen Zeitraum gesperrt. Dies kann auftreten, wenn ein nicht autorisierter Benutzer versucht, Zugang zum Netzwerk zu erhalten.

Im Eventviewer sehe ich folgendes kann aber damit überhaupt nichts anfangen.


Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 26.07.2010
Zeit: 15:47:11
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: xxxxxxxxx
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: IUSR_xxxxxxxxxxx
Domäne: xxxxxxxxxxxxx
Anmeldetyp: 8
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: xxxxxxxxxxxxxxxx
Aufruferbenutzername: xxxxxxxxxxxxxx$
Aufruferdomäne: xxxxxxxxxxxxxx
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2604
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Laut google, soll das sein wenn ein gesperrter Account versucht sich anzumelden.
Es ist aber niemanden bekannt dass sein Account gesperrt ist.
Kann ich das jetzt ignorieren oder sollte ich der Sache nachgehen, und am besten wie?

Gestern bekamm ich die Mail über 10mal, heute kam sie bereits 5mal.
wie ihr sehen könnt habe ich name des Server und der domäne dur xxxxx ersetzt.
leider steht da nichts genaueres.

Bei einem stand zufällligerweise:

Quellnetzwerkadresse: 82.37.130.208
Quellport: 64691

wenn ich den auflöse, sagt der mir der is aus UK? *gg*
Mitglied: blacky85
26.07.2010 um 16:40 Uhr
Hast du denn mal im AD geschaut, ob ein Benutzer gesperrt ist?

Eventuell versucht sich ja auch jemand (Cracker) Zugriff auf dein System zu erlangen? Dies müsste aber normalerweise die Firewall abblocken.

Sind denn irgendwelche Einträge in der Firewall ersichtlich?

Ist dein System auf den aktuellsten Stand?
Bitte warten ..
Mitglied: 45877
26.07.2010 um 16:49 Uhr
Lass mal ein Conficker Scan Tool über deine Rechner laufen...
Bitte warten ..
Mitglied: Twinrix
26.07.2010 um 16:52 Uhr
Hallo,

bei Benutzername steht Benutzername: IUSR_xxxxxxxxxxx

Das IUSR deutet darauf hin, dass es sich um ein Problem mit dem Webserver handeln könnte.

In der Standardkonfiguration werden IUSR_ Konten vom IIS für den Zugriff auf Webinhalte genutzt. Hast Du an der IIS Konfiguration etwas geändert?

Gruß
Bitte warten ..
Mitglied: GuentherH
26.07.2010 um 17:07 Uhr
Hallo.

Lass mal ein Conficker Scan Tool über deine Rechner laufen...

Das ist auf jeden Fall eine gute Idee. Dieser Fehlermeldung ist typisch für den Confickerbefall.

Quellnetzwerkadresse: 82.37.130.208

Welche Ports sind den auf der Firewall geöffnet. WAN -> LAN?
LG Günther
Bitte warten ..
Mitglied: 85807
26.07.2010 um 17:20 Uhr
Hallo

Danke für die Info's.
Ab IIS wurde nichts geändert.

Ich wed gleich mal die Firewall überprüfen. Ist ne USG 200 von Zyxel.
WAN -> LAN sollten eigentlich nur die üblichen Verdächtigen Ports offen sein.
Conficker Scan-Tool von Mcafee war eigentlich immer sehr gut, werd den mal laufen lassen.
Bitte warten ..
Mitglied: 85807
26.07.2010 um 17:34 Uhr
Hmm mir kommt das Spanisch vor.


Auf der Firewall hab ich unzählige Fehlerversuche eines Logins:


26 14:39:47 alert User Fail login attempt to ZyWALL from ssh (login on a lockout address) [count=2] 218.65.110.180 Account: american
146 2010-07-26 14:39:43 alert User Failed login attempt to ZyWALL from ssh (incorrect password or inexistent username) [count=2] 218.65.110.180 Account: good


Anscheinend probiert hier jmd mit jedem erdenklichen usernamen reinzukommen?

Nur kann ich die IP 218.65.110.180 nicht auflösen.


Mcafee Conficker Scan 1.08 hat keine Gefährdungen im Netzwerk gefunden.

Irgendwie beunruhigt mich das ganze.
Bitte warten ..
Mitglied: 45877
26.07.2010 um 18:33 Uhr
Hallo,

auf einer öffentlichen IP hat man immer x ssh Loginversuche am Tag.
Ist ganz normales Grundrauschen...
Bitte warten ..
Mitglied: GuentherH
26.07.2010 um 20:14 Uhr
Hallo.

WAN -> LAN sollten eigentlich nur die üblichen Verdächtigen Ports offen sein.

Was heißt die "üblichen Verdächtigen". Bei einem SBS 2003 wird eigentlich nur Port 443 benötigt.

alert User Fail login attempt to ZyWALL from ssh

Warum legst du SSH nicht auf einen anderen Port?

LG Günther
Bitte warten ..
Mitglied: 85807
26.07.2010 um 21:59 Uhr
Was heißt die "üblichen Verdächtigen". Bei einem SBS 2003 wird eigentlich nur Port 443 benötigt.

Die übllichen Verdächtigen sind 80 und 443.


Warum legst du SSH nicht auf einen anderen Port?

Weil ich nicht daran gedacht habe und SSH eigentlich hier nicht brauche.


Laut euren letzten Antworten bin ich dann wieder wie am Anfang, leider keinen Schritt weiter. ;´(
Bitte warten ..
Mitglied: Twinrix
26.07.2010 um 22:15 Uhr
Auch auf die Gefahr hin mich zu wiederholen - das dürfte was mit dem IIS zu tun haben

IUSR_xxxx ist i.d.R das Internetgastkonto
Anmeldetyp 8 = Netzwerk, unverschlüsselt (Netzwerkanmeldung mit unverschlüsselten Anmeldeinformationen)

Prüf doch mal über den Process Explorer, ob die PID (Anruferprozesskennung) ein IIS Prozess ist und check die IIS Logs, ob die IP darin auftaucht und welche Webseite angefordert wurde.

Dann kannst Du bei der betroffenen Seite über den IIS-Manager die Verzeichnissicherheit neu einstellen und weg sind die 529er


Siehe auch hier: http://www.benutzer.de/index.php?content=124422
Bitte warten ..
Mitglied: 85807
28.07.2010 um 10:55 Uhr
Ok

Ich werd mal den ISS Checken und geb bescheid.

bez. Firewall meint Zyxel dass es vermutlich auch eine DOS Attacke war.
Bitte warten ..
Ähnliche Inhalte
Windows Server
SBS 2011 Wartezeit bis zur Anmeldung
Frage von matze91Windows Server2 Kommentare

Hallo Community! Habe einen neuen SBS 2011 aufgesetzt. Lief alles gut soweit. Ein Windows 7 Client braucht plötzlich (Problem ...

Windows Server
Keine Admin-Anmeldung an SBS 2011 möglich
gelöst Frage von GorgoWindows Server14 Kommentare

Seit einem Neustart kann man sich an einem SBS 2011 Server nicht mehr als Admin anmelden, nach Eingabe von ...

Internet
MyStartsearch woher kam das und wie werde ich das los?
Frage von deinernstjetztInternet18 Kommentare

Hallo, ich habe seid einigen Tagen ein Problem mit meinem Webbrowsern. (Chrome, Internet Explorer) Ich habe als Startseite so ...

Windows Server
GPO - woher nehmt Ihr Euer Wissen?
gelöst Frage von PharITWindows Server12 Kommentare

Hallo allerseits, da ich immer wieder erstaunt bin, mit welchen GPO die Spezialisten hier so hantieren zum Teil kenne ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 16 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 17 StundenSicherheit11 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 18 StundenSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 18 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
gelöst Frage von Windows10GegnerNetzwerkgrundlagen21 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...