Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS 2008 - Bruteforce auf Exchange - Empfangsconnector Windows SBS Internet Receive

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Neo2k

Neo2k (Level 1) - Jetzt verbinden

07.08.2011, aktualisiert 21:45 Uhr, 8303 Aufrufe, 12 Kommentare

Hallo Zusammen,

ich habe hier einen SBS 2008, der schon seit vorgestern andauernd mit Bruteforce Attacken zu kämpfen hat. Mittlerweile sind es über 3000 Angriffe.


System:

- SBS 2008 SP2, Exchange 2007 mit SP3 RU4
- Internet via ADSL mit statischer IP.
- MX beim Provider, (mail.domäne.tld).
- Mail Versand/Empfang via SMTP.
- Router - Draytek Vigor 2820n -> Portforwarding: 443, 25, 1723, GRE (sonst nix).


Im Eventlog werden dann jede Menge 4625er Protokolliert:

Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NETZWERKDIENST
Kontoname: SERVERNAME$
Kontodomäne: DOMAENE
Anmelde-ID: 0x3e4

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: root <- wechselt sporadisch.
Kontodomäne:

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0xbb4
Aufrufprozessname: C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe

Netzwerkinformationen:
Arbeitsstationsname: SERVERNAME
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Unter Anwendungen wird dann noch die EventID: 1035 mit folgendem Inhalt protokolliert:

Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector Windows SBS Internet Receive SERVERNAME. Der Authentifizierungsmechanismus ist Login. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [70.88.83.61].
Die IP-Adresse des Angreifers kommt aus den USA. Der Hostname wird als "70-88-83-61-BusName-knoxville.tn-hfc.comcastbusiness.net" aufgelöst.

Im SMTP-Receive Logfile werden dann folgende Daten, (welche sich ständig wiederholen), ausgegeben. Die Einzigen Einträge, die sich ändern sind die hinter "EHLO" und die Portnummer hinter der 70er IP-Adresse:
#Software: Microsoft Exchange Server
#Version: 8.0.0.0
#Log-type: SMTP Receive Protocol Log
#Date: 2011-08-07T18:24:26.086Z
#Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,0,192.168.2.2:25,70.88.83.61:12438,+,,
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,1,192.168.2.2:25,70.88.83.61:12438,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2011-08-07T18:24:26.086Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,2,192.168.2.2:25,70.88.83.61:12438,>,"220 mail.domaene.tld Microsoft ESMTP MAIL Service ready at Sun, 7 Aug 2011 20:24:25 +0200",
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,3,192.168.2.2:25,70.88.83.61:12438,<,EHLO yfxnoo.com, <- ändert sich jedes mal!
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,4,192.168.2.2:25,70.88.83.61:12438,>,250-mail.domaene.tld Hello [70.88.83.61],
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,5,192.168.2.2:25,70.88.83.61:12438,>,250-SIZE 52428800,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,6,192.168.2.2:25,70.88.83.61:12438,>,250-PIPELINING,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,7,192.168.2.2:25,70.88.83.61:12438,>,250-DSN,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,8,192.168.2.2:25,70.88.83.61:12438,>,250-ENHANCEDSTATUSCODES,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,9,192.168.2.2:25,70.88.83.61:12438,>,250-AUTH LOGIN,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,10,192.168.2.2:25,70.88.83.61:12438,>,250-8BITMIME,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,11,192.168.2.2:25,70.88.83.61:12438,>,250-BINARYMIME,
2011-08-07T18:24:26.289Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,12,192.168.2.2:25,70.88.83.61:12438,>,250 CHUNKING,
2011-08-07T18:24:26.539Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,13,192.168.2.2:25,70.88.83.61:12438,<,AUTH LOGIN,
2011-08-07T18:24:26.539Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,14,192.168.2.2:25,70.88.83.61:12438,>,334 <authentication response>,
2011-08-07T18:24:26.741Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,15,192.168.2.2:25,70.88.83.61:12438,>,334 <authentication response>,
2011-08-07T18:24:26.944Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,16,192.168.2.2:25,70.88.83.61:12438,*,,Inbound AUTH LOGIN failed because of LogonDenied
2011-08-07T18:24:31.952Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,17,192.168.2.2:25,70.88.83.61:12438,>,535 5.7.3 Authentication unsuccessful,
2011-08-07T18:24:33.137Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,18,192.168.2.2:25,70.88.83.61:12438,<,RSET,
2011-08-07T18:24:38.145Z,SERVERNAME\Windows SBS Internet Receive SERVERNAME,08CE15CE7C36349A,19,192.168.2.2:25,70.88.83.61:12438,>,250 2.0.0 Resetting,
Nun mache ich mir wegen den Passwörtern keine Sorgen, da diese bewußt sehr sorgfältig erstellt wurden. Trotzdem ist mir das nicht ganz geheuer.
Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.

Hat denn hier sonst noch wer diese Art von Angriffen erlebt? Nach der Suche bei Google habe ich zwar auch den ein oder Anderen mit Bruteforce Angriffen auf SBS Servern gefunden, allerdings nicht über den Exchange-Connector.

Gruß,
Neo2k
Mitglied: GuentherH
07.08.2011 um 22:27 Uhr
HI.

Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.

Wenn es immer die gleiche IP Adresse ist, warum erstellst du nicht eine Firewall Regel?

LG Günther
Bitte warten ..
Mitglied: danielfr
07.08.2011 um 22:48 Uhr
Zitat von GuentherH:
HI.

> Was ich mich nun frage ist, wie ich diese Angriffe, (am besten mit Bordmitteln), unterbinden kann.

Wenn es immer die gleiche IP Adresse ist, warum erstellst du nicht eine Firewall Regel?
Gute Frage... am besten gleich im Vigor, meiner Meinung nach...
Gruß Daniel
Bitte warten ..
Mitglied: StefanKittel
07.08.2011 um 23:05 Uhr
Hallo,

oder einen SMTP Proxy, z.B. von einem Anti-Spam-Anbieter davorstellen und SMTP Verbindungen nur von dessen IPs akzeptieren.

Stefan
Bitte warten ..
Mitglied: Neo2k
07.08.2011 um 23:09 Uhr
Hallo Ihr Zwei,

jo, das könnte ich natürlich machen. Aber mich würde natürlich interessieren, wo die Ursache liegt. Ich hab nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben.

Gruß,
Neo2k
Bitte warten ..
Mitglied: danielfr
07.08.2011 um 23:30 Uhr
Zitat von Neo2k:
Hallo Ihr Zwei,

jo, das könnte ich natürlich machen.
nichts hält Dich davon ab

Aber mich würde natürlich interessieren, wo die Ursache liegt. Ich hab
nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben.
Script Kiddies, Spammer... ich habe das ständig auf FTP Ports auf Webservern.
Ich mache die normalerweise zu und öffne Sie nur nach Bedarf, geht natürlich bei SMTP nicht.

Gruß Daniel
Bitte warten ..
Mitglied: StefanKittel
07.08.2011 um 23:47 Uhr
Und Spamversender,
ich habe das regelmäßig mit IP-Adressen vom afrikanischem Kontinent.
Stefan
Bitte warten ..
Mitglied: Neo2k
07.08.2011 um 23:50 Uhr
Ja, ich hab das Gefühl, dass das immer schlimmer wird.
Hab mich gerade mal kurz umgeschaut. Kennt ihr ASSP? Der ist kostenlos und scheint sehr gut zu sein.

http://www.antispam.de/forum/showthread.php?13894-ASSP-Anti-Spam-SMTP-P ...
Bitte warten ..
Mitglied: GuentherH
07.08.2011 um 23:52 Uhr
Hi.

Aber mich würde natürlich interessieren, wo die Ursache liegt

Na, die Ursache hast du doch im LogFile

Ich hab nämlich bisher noch nirgens Einträge im Netz gefunden, die das gleiche Problem haben

Was willst du für Einträge finden. Dein Fall hat nichts mit dem Produkt zu tun. Öffne einmal testweise den Port 3389 für 1-2 Stunden und du wirst sehen wie schnell sich deine LogFiles füllen

Wenn du dich gegen derartige Attacken "automatisch" absichern willst, dann wurden dir ja schon Empfehlungen gegeben. z.B. ist auch XWALL von http://www.dataenter.at eine derartiges Produkt das diese Art von Attacken abfangen kann (Stichwort Teergrube oder tarpiting).

LG Günther
Bitte warten ..
Mitglied: Neo2k
08.08.2011 um 00:22 Uhr
Jo, Günther, Direktanbindung mit RDP kann man ja schon länger vergessen.

Ok, dann werde ich da mal tätig werden müßen. Nutzt ja nix.
Vielen Dank an Euch für die Tipps.
Bitte warten ..
Mitglied: Haytech
08.08.2011 um 07:20 Uhr
Du solltest ausserdem den Abuse Deinem provider Melden per Email an abuse@provider.tld in meinem fall wurde immer wieder veruscht ein pptp tunnel zu hacken ... Das hörte genau 1 tag nach meldung beim provider auf.
Bitte warten ..
Mitglied: nikoatit
08.08.2011 um 09:26 Uhr
Moin,

und wenn du noch etwas Zeit hast, dann würde ich den Herren doch mal eine nette E-Mail schreiben bezüglich Ihrer Angriffe...
Einfach WHOIS-Abfrage und go: http://www.dnsstuff.com/
Wenn ich deine Angreifer-IP 70.88.83.61 abfrage, bekomme ich den Namen einer US-Firma raus (hat auch eine Internetseite, einfach mal google bemühen).
Vielleicht wissen die Herren nicht mal davon und gehören einem Bot-Netzwerk an...Wer weiß...

Gruß
Bitte warten ..
Mitglied: tonabnehmer
08.08.2011 um 10:20 Uhr
Zitat von Neo2k:
Ja, ich hab das Gefühl, dass das immer schlimmer wird.
Hab mich gerade mal kurz umgeschaut. Kennt ihr ASSP? Der ist kostenlos und scheint sehr gut zu sein.

http://www.antispam.de/forum/showthread.php?13894-ASSP-Anti-Spam-SMTP-P ...


Wir setzen ASSP bei uns ein und sind sehr zufrieden. Insbesondere die Verfahren DNS Blacklist und Greylisting sind sehr effektiv. Allerdings muss man sich mit der Konfiguration von ASSP schon auseinandersetzen. Es erfordert viel wissen von Mail und Spam. Mann kann aber klein anfangen und Spam nicht einfach ablehnen, sondern in den Junk-Mail Ordner verschieben.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(4)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
gelöst SBS 2008 (Exchange 2007 SP3) - externe URL ändern - neues Zertifikat (8)

Frage von Ezekiel666 zum Thema Exchange Server ...

Windows Server
Upgrade Windows SBS 2008 auf Windows 2012 R2 (3)

Frage von heisenberg4 zum Thema Windows Server ...

Windows Server
gelöst Windows SBS 2008 Konsole stürzt bei der Berichtserstellung ab (17)

Frage von Yasmin zum Thema Windows Server ...

Windows Server
Server Upgrade SBS 2008 auf Server 2016 (19)

Frage von heisenberg4 zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (17)

Frage von Unwichtig zum Thema Netzwerkmanagement ...