Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

GELÖST

SBS2003 mit IIS, Eindringversuch von außen?

Mitglied: ctietje

ctietje (Level 1) - Jetzt verbinden

15.06.2011 um 08:33 Uhr, 5788 Aufrufe, 5 Kommentare

Seit einiger Zeit, früher gar nicht, werden im Serverleistungsbericht an manchen Tagen mehrere tausend Login-Versuche protokolliert, vor allem, wenn es bei uns Nacht oder früher Morgen ist. Ich habe mehrere Anfragen mit diesem Thema gefunden, aber keine Lösung.

Folgende Meldung erscheint im Serverleistungsbericht (1-2 pro Sekunde im Ereignisprotokoll, 2 1/2 Stunden lang von 6:00 bis 8:30 Uhr), 3.655mal:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 8
Anmeldevorgang: IIS
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1872
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

an einem anderen Tag abends 113mal:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 9552
Übertragene Dienste: -
Quellnetzwerkadresse: 222.92.69.108
Quellport: 4415

Manchmal sind auch Quellports und IP-Adressen aufgeführt, wie im unteren Beispiel, die aber nicht ereichbar sind oder auch ein Login erfordern. Sind das Angriffe aus dem Internet? Es ist ja nur ein Frage der Dauer des Probierens, bis jemand eindringen kann. Wie kann man das sicher machen? Oder ist das ein interner (IIS-) Prozess, der ein falsches/abgelaufenes Passwort benutzt?

Christian Tietje, Dipl.-Ing. (FH) Gießen 1983
Mitglied: brammer
15.06.2011 um 08:46 Uhr
Hallo,

hast du die Quelladresse in deinem Zweiten Beispiel mal überprüft?
Die weisst auf eine Chinesische Firma im Chemie Sektor hin.

Entweder ein versuchter Login eines Kunden/Lieferant oder ein versuchter Angriff, eventuell über ein BotRechner.

brammer
Bitte warten ..
Mitglied: Dye.Kehasa
15.06.2011 um 09:07 Uhr
Moin

Was du dich mal fragen solltest ist:

- welche Dienste bietet dein SBS-Server extern an ? Im letzteren Fall bedeutet eine Anmeldetyp 10 erst einmal, dass eine RDP-Verbindung aufgebaut werden sollte. vgl dazu Technet: Anmeldeereignisse überwachen. Frag dich also, welche Dienste du wirklich aus dem Internet heraus benötigst und welche nicht. Je weniger Dienste du anbietest, umso weniger Angriffsfläche bietet der Server.

- Wenn du feststellst, dass jemand versucht die Anmeldung des Administrators zu knacken, dann solltest du natürlich 1. auf ein richtig gutes Kennwort achten, welches nicht mit einer Brutforce-Attacke zu knacken ist. und 2. lässt sich der Administrator in einer Domäne umbenennen. Wenn es keinen Administrator mehr gibt, dann laufen Angriffe unter Verwendung dieses Benutzernamens schon mal im Ansatz ins Leere...

Wnn du schon Dienste im Internet zur Verfügung stellst, dann solltest du gerade dann grundsätzlich für alle Benutzerkonten sichere Kennwörter verlangen.

Gruß

Hubert
Bitte warten ..
Mitglied: ctietje
15.06.2011 um 09:21 Uhr
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108
2. Die Dienste werden tatsächlich benötigt: RDP über Internet/IIS, Outlook über Internet; könnte aber auch über VPN geschehen, wenn RDP oder Exchange über IIS zu unsicher sind.
3. Administrator umbenennen war auch mein erster Gedanke. Das ist wohl ein sozusagen eingebauter und somit sehr wahrscheinlich vorhandener User auf fast jedem Server.
4. Sichere Passwörter haben wir aus Zahlen, Buchstaben und Sonderzeichen mit mindestens 10 Zeichen Länge. Die Frage ist nur, ob man auch die nicht irgendwann knacken kann. Dann wäre eine solche Möglichkeit, sich von außen über Web einloggen zu können schon schlecht geplant und sollte abgeschaltet werden. Wenn das nötig ist, dann machen wir das.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2011 um 10:44 Uhr
Zitat von ctietje:
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108

mstsc /v:222.92.69.108 fördert zutage, daß es ein chinesischer Windows Enterprise-Server ist. Vermutlich gehackt. Sorge schleunigst dafür, daß nur Dienste nach außen sichtbar sind, die auch wirklich notwendig sind. Außerdem gehören Systeme, die Dienste nach außen anbieten in eine NZ/DMZ, die vom LAN abgeschottet ist.

Schränke ggf. den Zugriff auf die Dienste in Deiner Firewall auf "deutsche" IP-netze ein.
Bitte warten ..
Mitglied: ctietje
28.06.2011 um 21:37 Uhr
habe Port 3389 geschlossen und greife nur noch über vpn zu
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Website vom IIS nach außen erreichbar machen
gelöst Frage von dkgk91Netzwerkgrundlagen2 Kommentare

Hallo, ich bin gerade in einer Umschulung zum Fachinformatiker Systemintegration. Wir sollten ein Netzplan erstellen mit einer DMZ. Infos ...

Windows 8
Breitband alles blockieren außer Outlook
gelöst Frage von MarkSauterWindows 812 Kommentare

Hallo allen im Ausland möchte aus Kostengründen, dass nichts an meinem Notebook Online gehen kann außer Outlook und ein ...

Windows Server
Windows Webserver von außen erreichen
gelöst Frage von tomi93Windows Server8 Kommentare

Guten Morgen, wir haben bei uns im Unternehmen einen Windows Server 2008 R2, den nutzen wir als Testumgebung für ...

Exchange Server
SMTP-Sendeconnector nach außen absichern, aber wie?
gelöst Frage von beidermachtvongreyscullExchange Server5 Kommentare

Guten Morgen, vielleicht hat jemand von Euch eine Idee für folgendes Problem: Mein EX2010 mit neuesten Updates funktioniert soweit ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...