Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Unbekannter Benutzername bzw. unberechtigter Zugriffsversuch ?

Frage Microsoft Windows Server

Mitglied: knuddel256

knuddel256 (Level 1) - Jetzt verbinden

06.11.2008, aktualisiert 17.12.2008, 9553 Aufrufe, 9 Kommentare

Erfolgt hier ein unberechtigter Zugriff von aussen oder ist dies ein internes Problem?

Hallo zusammen, als Hobby-Admin in einem kleinen Unternehmen hab ich mal eine Frage zu nachstehender Meldung aus dem
täglichen Serverleistungsbericht:


Ereignis-ID: Security 529
Zeitpunkt: 05.11.2008 15:33
Häufigkeit: 1
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: inna
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: ZensiertSERVER
Aufruferbenutzername: ZensiertSERVER$
Aufruferdomäne: Zensiert-STUTTGART
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1992
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Die Meldung hab ich ca. 2 - 3 Mal die Woche mit jeweils 3-5 fehlgeschlagenen Zugriffsversuchen. Den Benutzernamen "inna" gibt es bei uns nicht. Auch ein Dienst der diesem Namen ähnlich ist oder damit
in Verbindung gebracht werden könnte ist mir nicht bekannt. Die Zugriffe erfolgen zu vollkommen willkürlichen Uhrzeiten und Wochentagen.

Als Server verwenden wir einen SBS 2003, auf dem Exchange läuft und der als DC fungiert. Externe IP-Adresse ist fest. Der Server ist über einen Router ans Internet angebunden.

Vielleicht kann mir jemand sagen, ob diese Zugriffe unberechtigt von aussen initiiert werden oder es doch ein "internes" Problem ist. Falls jemand weitere Informationen benötigt, bitte einfach
kurz melden.

Vielen Dank einstweilen.
Mitglied: Driver401
06.11.2008 um 11:54 Uhr
Kannst Du denn mit den zensierten "Anruferbenutzernamen" - "Anruferdomäne" - "Name der Arbeitsstation" was anfangen?
Das ist doch von Dir zensiert, oder steht das so im Protokoll?
Das deutet ja schonmal auf eine Einwahl von aussen hin und nicht über einen Router, bzw. LAN.
Gibts denn eine Einwahlmöglichkeit, evtl. Fernwartung, ISDN, whatever...

Einen Angriff würde ich zwar nicht ausschliessen, aber wenn, dann wäre "Administrator" der versuchte Benutzername. Domäne wurde ja auch keine angegeben.
Ausser natürlich, es läuft ein spezieller Dienst, der "inna" als Anmeldung akzeptieren würde. Backdoor, Trojaner... oder Remote Desktop-Anwendungen....

HTH
Jürgen
Bitte warten ..
Mitglied: knuddel256
06.11.2008 um 12:17 Uhr
Hallo Jürgen,

das Wort "zensiert" habe ich eingefügt. Im Originaltext steht bei "Name der Arbeitsstation" der korrekte Name des unseres SBS2003-Servers, bei "Anruferbenutzername"
steht wiederum der Name unseres Servers gefolgt von $ (Ich denke mal, gemäß der Formel Maschinenname+$ = Anruferbenutzername) und bei der "Anruferdomäne"
unsere korrekte Domänenbezeichnung.

Ich hatte auch schon Angriffe von aussen die als solche leicht zu erkennen waren, da wurden Benutzernamen wie Administrator, Admin, Win-Admin usw. verwendet.

Aber bei der Geschichte werd ich nicht schlau. Backup, Virenscan, Defrag kann ich ausschließen, da die immer zur selben Zeit laufen, aber diese mutmasslichen Fremdzugriffe
ja zeitlich kein Schema haben.

Einwahlmöglichkeiten von aussen gibt es schon. Per ISDN reagiert aber nur das Faxprogramm, per Mobilfunk das SMS-Gateway und ansonsten wären nur
noch SMTP (25), HTTP (80), POP3 SSL (995), Remote Desktop (4125), HTTPS (443 u. 444) von aussen erreichbar.

Gruss Arno
Bitte warten ..
Mitglied: Driver401
06.11.2008 um 13:09 Uhr
Wie schon gesagt die "Anrufer-"-Sachen hast Du bei einer normalen Anmeldung aus dem Netz nicht. Schau doch zur Kontrolle mal die korrekten Anmeldevorgänge im Log an und schau ob da was bei Anrufer steht.. normal nicht.

RAS aktiviert?

J.
Bitte warten ..
Mitglied: Driver401
06.11.2008 um 13:17 Uhr
Uhps, oder wohl doch ein Angriff....
schau Dir das mal an - sieht ganz nach Deinem Problem aus.... da ist auch der Hinweis auf Filterung im Protokoll wie Du auf die Herkunft kommen kannst.

http://www.meinews.net/sbs2k3-t139941.html?s=a8eadccf1602511016fd720aa2 ...;

HTH
Bitte warten ..
Mitglied: knuddel256
07.11.2008 um 08:19 Uhr
Hallo Jürgen,

danke für den Link. Ja, das sieht mir ganz nach solch einer Geschichte aus. Da stellen sich mir natürlich gleich ein paar Fragen:

1. Komme ich auch ohne den Einsatz von ISA an nähere Informationen wie IP des "Angreifers" etc. ?
2. Wie finde ich heraus, auf welchen Service hier ein Zugriffsversuch erfolgte ?
3. Wie gehe ich vor, um mir diese Infos aus dem Server "rauszufiltern"

Wie eingangs erwähnt bin ich auf dem Gebiet nur als "Hobby-Admin" tätig, da unsere kleine Firma nicht über eine eigene IT-Abteilung verfügt
und auch keinen externen Dienstleister dafür hat. Was ich weiß, hab ich mir im Laufe der Jahre selbst angeeignet.

Gruss Arno
Bitte warten ..
Mitglied: Driver401
07.11.2008 um 12:12 Uhr
Ich fürchte, da kann ich Dir im Moment auch nicht groß weiterhelfen. Wie die "Anrufer--"Kennungen eingetragen werden, entzieht sich meiner Kenntnis und ist auch in meinen Logs noch nie aufgetaucht (wir haben auch keine externe Einwahlmöglichkeit).
Wenn sich hier keiner findet, der Dir weiterhelfen kann, wirst Du Dich erstmal einlesen müssen...

Ich würde jetzt erstmal herausfinden wollen, wie es generell dazu kommt, daß Einträge unter "Anrufer..." gemacht werden. Sofern das nicht wirklich weiterhilft, kannst Du versuchen ein Muster der Zugriffszeiten herauszufinden und zu den Zeiten einen Netzwerksniffer mitlaufen lassen, der den Traffic protokolliert.
Alternativ würde ich das komplette Netz weiterhin auf Viren und Trojaner/Backdoors prüfen. Falls Firewall vorhanden, dort die Logs und Einstellungen prüfen ob es zeitliche oder andere Zusammenhänge gibt. Bei Einwahlverbindungen diese Logs ebenso prüfen falls vorhanden.
usw...

Bitte verbessert mich jemand, wenn ich daneben liege....

HTH
Jürgen
Bitte warten ..
Mitglied: Jeckl8
17.12.2008 um 07:28 Uhr
Ich habe bei mehreren Kunden regelmäßig Anmeldeversuche von "Inna", da es den User natürlich nicht gibt und die Versuche weit unter einer "gefährlichen" Wiederholungsanzahl liegen, habe ich da noch nie drauf reagiert. Hatte erst lokale Fehlversuche vermutet und nachdem es auch bei anderen Kunden auftrat wohl richtig vermutet, dass ich nicht allein mit dem "neuen" Benutzer bin.

Gruß Uwe
Bitte warten ..
Mitglied: knuddel256
17.12.2008 um 07:58 Uhr
Ich habe die Anmeldeversuche von "Inna" fast täglich, aber es sind immer nur 3 - 4 Versuche pro Tag. Testweise hatte ich auch mal eingehend alles ausser smtp und pop3-ssl geblockt, aber "Inna" wollte trotzdem rein. Wie kann ich eigentlich beim SBS 2003 solche Versuche unterbinden? Gibts da ne Regel die z.B. lautet: wenn Benutzername "Inna" sich 1 x erfolglos anmeldet, sperre Benutzername für 24 Std. ? Oder funktioniert das nur bei existierenden Benutzern ?
Bitte warten ..
Mitglied: Jeckl8
17.12.2008 um 08:10 Uhr
Solange man Ports zum Internet geöffnet hat sollte man die Kennwortrichtlinien aktiviert haben mit regelmäßigem Passwortwechsel. Benutzer mit Fehlversuchen wird in der Standarteinstellung eh nach einer gewissen Anzahl eine zeitgesteuerte Sperre vorgschoben. Einen Benutzernamen sperren, den es nicht gibt macht wohl wenig Sinn, da es ihn nicht gibt kann er auch keinen Zugriff bekommen.
Ich hab mir darum bis jetzt noch keinen großen Kopf gemacht.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
SBS2011 Essentials erzeugt IP mit unbekannter Herkunft (13)

Frage von morpheus2010 zum Thema Windows Server ...

Windows 7
gelöst Nervige Eingabeaufforderung für Benutzername und Kennwort Eingabe (7)

Frage von Freddy0013 zum Thema Windows 7 ...

Microsoft Office
MS Office 2013: Anmeldeinformationen bzw. Benutzername ändern (2)

Frage von Dakanda zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...