Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS 2003 Nicht nachvollziehbare Fehler im Sicherheitsprotokoll Security Event-ID 529

Frage Microsoft Windows Server

Mitglied: chaincom

chaincom (Level 1) - Jetzt verbinden

14.08.2012 um 12:05 Uhr, 3312 Aufrufe, 7 Kommentare

Liebe Administratoren,

auf einem Kundeserver beobachte ich bereits seit ca. einem Monat den folgenden Fehler im Sicherheitsprotokoll (wird täglich per Serverleistungsbericht zugesendet).

Quelle: Security
Ereignis-ID: 529
Letztes Vorkommen: 13.08.2012 17:55
Vorkommnisse insgesamt: 24.151*

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: `‚
J + ‚
>0‚
Domäne: <meineDomain>.local
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: <meinServer>
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 3616
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -


In älteren Serverleistungsberichten tauchte dieser Fehler pro Tag ca. 5-10 mal auf.

Was mich hier irritiert ist das extrem häufige Vorkommen: 24.151.

Der Benutzername ist mir absolut fremd.

Unter den angegebenen Aufrufermeldekennung und Aufruferprozesskennung finde ich leider keine Hinweise.

Da ein Abgleich mit dem ISA-Server-Log ebenfalls keine Hinweise auf einen Zugriff von Extern schließen lässt, kann es ja nur ein Dienst/Programm auf dem SBS oder einer der internen XP-Clients sein.
Da die Quellnetzwerkadresse und der Quellport aber nicht angegeben sind, komme ich an dieser Stelle auch nicht weiter.

Auffalden ist zudem, dass das jeweils letzte Vormommen immer in den Betriebszeiten der Firma liegt.
Allerdings kann ich kein Muster der zwischen dem letzten Vorkommens des Fehlers und der Abmeldung eines PC im Netzwerk erkennen.

Der Server ist folgendermaßen konfiguriert:
- MAXDATA Platinum Server
- 1 x XEON E5405
- 4 GB RAM
- SBS 2003 SP2 Premium mit 35 Usern
- ISA 2004
- Trend Micro WFBS Advanced 7.0 SP1
- Backup Exec 12

Im Netzwerk befinden sich 33 XP SP3-PCs, sowie ein Server 2008 als Terminalserver und ein Server 2008 als SQL-Server (SQL-Server 2008).

Ich stehe leider total auf dem Schlauch, zudem im letzten halben Jahr - mal abgesehen von den Windows Updates - keine Änderungen an der Serverkonfiguration vorgenommen wurden.

Hat vielleicht jemand noch einen Ansatz, wie ich hier weiter auf die Suche/Fehlerbehebung gehen kann?

Vielen Dank im Vorraus.

Chris
Mitglied: keine-ahnung
14.08.2012 um 12:16 Uhr
Zitat von chaincom:
Hat vielleicht jemand noch einen Ansatz, wie ich hier weiter auf die Suche/Fehlerbehebung gehen kann?

Hi,

und ja: Suchfunktion im Forum benutzen. Dann findest Du u.a. das hier. Einfach mal abarbeiten, vielleicht hilft's ...

LG, Thomas
Bitte warten ..
Mitglied: Chonta
14.08.2012, aktualisiert um 13:27 Uhr
Hallo,


da versucht vermutlich jemand ne Brutforceatakce über SMTP zu fahren.
Aus dem internen Netz würde IP und Rechnername aufgelöst werden.
Wenn Du ne Firewall hast, dann schau in den Logs nach, ob Du die IP von ders kommt blocken kannst.

Ich hoffe Du hast eine Sperrung der Benutzerkonten bei zu oft falscher Passworteingabe aktiv, für den Fall, das der Angriefer mit echten Benutzernamen kommt oder zufällig trifft.
Sind die SQL-Server aus dem Internet erreichbar, bzw. eine Webseite über die Daten von dort ausgelesen werden?

Gruß

Chonta
Bitte warten ..
Mitglied: keine-ahnung
14.08.2012 um 13:43 Uhr
Bruteforce mit immer denselben Benutzereinstellungen? Wenn das immer so nett läuft, könnte man sich die firewall sparen ...

LG, Thomas
Bitte warten ..
Mitglied: Chonta
14.08.2012 um 13:58 Uhr
Hallo,

die 24K versuche sind 100% nicht immer der selbe Benutzername und auf jedenfall immer mit anderen Passwort. Aber wer will jetzt jeden einzelnen Eintrag durchgehen?
Auf jedenfall hat da einer die IP über den MX Eintrag rausbekommenund und versucht nun auf den Ports die der Server als Mailserver zur Verfügung stellt zugriff zu bekommen.

Es werden Benutzernamen wie test, Administrator, admin, webmaster, test, root und Allerweltsnamen auftauchen.
Jehnachdem ob es in echt Benutzerkonten mit Mailadresse gibt die abgefragt werden und anhängig der Passwortlänge, kann es Probleme geben.
Aber höchstwarscheinlich passiert da nix.
Dennoch über die Firewall die IP ausfindig machen und blocken, und ggf über einen Logserver nachdenken, wenn der Router nicht soviel loggen kann und an einen Linuxserver Syslog senden kann.

Gruß

Chonta
Bitte warten ..
Mitglied: chaincom
14.08.2012, aktualisiert um 14:26 Uhr
Hallo Chonta,

danke für Deine Ansätze.

Ich habe vom ISA alle eingehenden Verbindungen über zwei Tage protokollieren lassen und mit dem Sicherheitsprotokoll abgeglichen.
Es finden sich hier von zwei IP-Adressen (212.227.15.146 und 212.227.15.130) einige von der ISA verweigerte Verbindungen.
Der Quellport ist immer 25, die Zielports zwischen 1356 und 65405. Allerdings passen die letzten Protokolleinträge für die jeweiligen Tage nicht zusammen mit dem Zeitstempel des letzten Vorkommens im Sicherheitsprotokoll.

Was mich an dieser Stelle aber wundert ist die Tatsache, dass vor dem SBS noch eine Fritz!Box 7170 vorgeschaltet ist, auf der nur ein Portforwarding für die Ports 80, 443 und 1723 eingerichtet ist. Wie kann es denn sein, dass diese - zwar von der ISA geblockten - Zugriffe überhaupt hier ankommen?

Die Sperrung der Nutzerkonten ist selbstverständlich aktiv, doch der Benutzername aus dem Protokoll (`‚J + ‚>0‚) existiert in der Domäne nicht. Hier finde ich nur ansonsten nur Benutzernamen mit Ihren passenden Arbeitsstationen, die auch tatsächlich existieren.

Werde im nächsten Schritt mal schauen, ob und wie ich die Fritz!Box Firewall dazu bringen kann, mir etwas mehr Daten zu liefern.

Viele Grüße
Christopher

EDIT:
Zum Thema MX-Eintrag: den gibt es nicht.
Der Router verfügt zwar über eine statische IP, die E-Mails werden mit PopCon von 1und1 abgeholt (Sammelpostfach) und via Exchange SMTP-Connector auch über 1und1 versendet.

EDIT_2:
Die beiden oben genannten IP-Adressen sind von 1und1 - auth.smtp.kundenserver.de. Also Entwarnung an dieser Stelle.
Bitte warten ..
Mitglied: Chonta
14.08.2012 um 16:30 Uhr
Hallo,

es gibt immer einen Zeitversatz von einigen Sekunden zwischen dem ISA Log und dem Logeintrag auf dem Server bzw. zwischen Firewall Logeintrag und Serverlogeintrag.
Mal so gefragt, wird OWA verwendet? und gibt es dafür auch einen öffentlichen DNS-Namen?
Schonmal versucht dich über port 25 mit eurer Festen IP zu verbinden?

Es könnte auch was mit SQL zu tun haben, verzeichnen die SQL-Server irgendetwas komisches?
Denn wenn die 24k Versuche immer nur `‚J + ‚>0‚ ...


Gruß

Chonta
Bitte warten ..
Mitglied: chaincom
14.08.2012 um 17:19 Uhr
Hallo,

ich werde heute Abend nochmal das ISA-Log anstoßen und das neue Protokoll dem aktuellen Sicherheitslog gegenüberstellen.

Ja, OWA wird leider verwendet. Der Kunde ist darauf angewiesen, da er nicht von überall eine VPN-Verbindung zum Terminalserver aufbauen kann. Auf einen öffentlichen DNS-Namen haben wir aber verzichtet. der Login erfolgt direkt über die IP-Adresse/Exchange.

Ein telnet auf die IP-Adresse des Kunden mit Port 25 liefert einen Verbindungsfehler. Im ISA-Log wird dieser Zugriff auch gar nicht protokolliert. Da scheint die Fritz!Box wohl vorher schon zuzumachen.

Die SQL-Server-Logs werde ich mir erst Ende der Woche zusammen mit dem eigenen SQL-Admin anschauen können.

Die Suche geht also weiter...

Viele Grüße
Christopher
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst Event ID DFSR 5014 (Fehler: 9036) (6)

Frage von TomTom994 zum Thema Windows Server ...

Windows Server
gelöst Serverumzug SBS 2003 nach 2012R2 ohne Active Directory (2)

Frage von step777 zum Thema Windows Server ...

Windows Server
Pagefile error volmgr event id 49 (8)

Frage von winlin zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...