Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS2003 mit IIS, Eindringversuch von außen?

Frage Microsoft Windows Server

Mitglied: ctietje

ctietje (Level 1) - Jetzt verbinden

15.06.2011 um 08:33 Uhr, 5579 Aufrufe, 5 Kommentare

Seit einiger Zeit, früher gar nicht, werden im Serverleistungsbericht an manchen Tagen mehrere tausend Login-Versuche protokolliert, vor allem, wenn es bei uns Nacht oder früher Morgen ist. Ich habe mehrere Anfragen mit diesem Thema gefunden, aber keine Lösung.

Folgende Meldung erscheint im Serverleistungsbericht (1-2 pro Sekunde im Ereignisprotokoll, 2 1/2 Stunden lang von 6:00 bis 8:30 Uhr), 3.655mal:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 8
Anmeldevorgang: IIS
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1872
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

an einem anderen Tag abends 113mal:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Administrator
Domäne: DOMÄNENNAME (von mir hier geändert)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVERNAME (von mir hier geändert)
Aufruferbenutzername: SERVERNAME$ (von mir hier geändert)
Aufruferdomäne: DOMÄNENNAME (von mir hier geändert)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 9552
Übertragene Dienste: -
Quellnetzwerkadresse: 222.92.69.108
Quellport: 4415

Manchmal sind auch Quellports und IP-Adressen aufgeführt, wie im unteren Beispiel, die aber nicht ereichbar sind oder auch ein Login erfordern. Sind das Angriffe aus dem Internet? Es ist ja nur ein Frage der Dauer des Probierens, bis jemand eindringen kann. Wie kann man das sicher machen? Oder ist das ein interner (IIS-) Prozess, der ein falsches/abgelaufenes Passwort benutzt?

Christian Tietje, Dipl.-Ing. (FH) Gießen 1983
Mitglied: brammer
15.06.2011 um 08:46 Uhr
Hallo,

hast du die Quelladresse in deinem Zweiten Beispiel mal überprüft?
Die weisst auf eine Chinesische Firma im Chemie Sektor hin.

Entweder ein versuchter Login eines Kunden/Lieferant oder ein versuchter Angriff, eventuell über ein BotRechner.

brammer
Bitte warten ..
Mitglied: HubertN
15.06.2011 um 09:07 Uhr
Moin

Was du dich mal fragen solltest ist:

- welche Dienste bietet dein SBS-Server extern an ? Im letzteren Fall bedeutet eine Anmeldetyp 10 erst einmal, dass eine RDP-Verbindung aufgebaut werden sollte. vgl dazu Technet: Anmeldeereignisse überwachen. Frag dich also, welche Dienste du wirklich aus dem Internet heraus benötigst und welche nicht. Je weniger Dienste du anbietest, umso weniger Angriffsfläche bietet der Server.

- Wenn du feststellst, dass jemand versucht die Anmeldung des Administrators zu knacken, dann solltest du natürlich 1. auf ein richtig gutes Kennwort achten, welches nicht mit einer Brutforce-Attacke zu knacken ist. und 2. lässt sich der Administrator in einer Domäne umbenennen. Wenn es keinen Administrator mehr gibt, dann laufen Angriffe unter Verwendung dieses Benutzernamens schon mal im Ansatz ins Leere...

Wnn du schon Dienste im Internet zur Verfügung stellst, dann solltest du gerade dann grundsätzlich für alle Benutzerkonten sichere Kennwörter verlangen.

Gruß

Hubert
Bitte warten ..
Mitglied: ctietje
15.06.2011 um 09:21 Uhr
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108
2. Die Dienste werden tatsächlich benötigt: RDP über Internet/IIS, Outlook über Internet; könnte aber auch über VPN geschehen, wenn RDP oder Exchange über IIS zu unsicher sind.
3. Administrator umbenennen war auch mein erster Gedanke. Das ist wohl ein sozusagen eingebauter und somit sehr wahrscheinlich vorhandener User auf fast jedem Server.
4. Sichere Passwörter haben wir aus Zahlen, Buchstaben und Sonderzeichen mit mindestens 10 Zeichen Länge. Die Frage ist nur, ob man auch die nicht irgendwann knacken kann. Dann wäre eine solche Möglichkeit, sich von außen über Web einloggen zu können schon schlecht geplant und sollte abgeschaltet werden. Wenn das nötig ist, dann machen wir das.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2011 um 10:44 Uhr
Zitat von ctietje:
Danke für die Antworten.
1. Adresse habe ich geprüft; ist kein Kunde und von uns aus auch nicht erreichbar über http://222.92.69.108

mstsc /v:222.92.69.108 fördert zutage, daß es ein chinesischer Windows Enterprise-Server ist. Vermutlich gehackt. Sorge schleunigst dafür, daß nur Dienste nach außen sichtbar sind, die auch wirklich notwendig sind. Außerdem gehören Systeme, die Dienste nach außen anbieten in eine NZ/DMZ, die vom LAN abgeschottet ist.

Schränke ggf. den Zugriff auf die Dienste in Deiner Firewall auf "deutsche" IP-netze ein.
Bitte warten ..
Mitglied: ctietje
28.06.2011 um 21:37 Uhr
habe Port 3389 geschlossen und greife nur noch über vpn zu
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst Website vom IIS nach außen erreichbar machen (2)

Frage von dkgk91 zum Thema Netzwerkgrundlagen ...

Windows Netzwerk
Konfiguration Linux VM in IIS-Manager (10)

Frage von HansWerner1 zum Thema Windows Netzwerk ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Windows Server
Server 2008R2 IIS Zertifikatsproblem

Frage von Alchemy zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...