Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Unbekannter Benutzername bzw. unberechtigter Zugriffsversuch ?

Mitglied: knuddel256

knuddel256 (Level 1) - Jetzt verbinden

06.11.2008, aktualisiert 17.12.2008, 9748 Aufrufe, 9 Kommentare

Erfolgt hier ein unberechtigter Zugriff von aussen oder ist dies ein internes Problem?

Hallo zusammen, als Hobby-Admin in einem kleinen Unternehmen hab ich mal eine Frage zu nachstehender Meldung aus dem
täglichen Serverleistungsbericht:


Ereignis-ID: Security 529
Zeitpunkt: 05.11.2008 15:33
Häufigkeit: 1
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: inna
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: ZensiertSERVER
Aufruferbenutzername: ZensiertSERVER$
Aufruferdomäne: Zensiert-STUTTGART
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1992
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Die Meldung hab ich ca. 2 - 3 Mal die Woche mit jeweils 3-5 fehlgeschlagenen Zugriffsversuchen. Den Benutzernamen "inna" gibt es bei uns nicht. Auch ein Dienst der diesem Namen ähnlich ist oder damit
in Verbindung gebracht werden könnte ist mir nicht bekannt. Die Zugriffe erfolgen zu vollkommen willkürlichen Uhrzeiten und Wochentagen.

Als Server verwenden wir einen SBS 2003, auf dem Exchange läuft und der als DC fungiert. Externe IP-Adresse ist fest. Der Server ist über einen Router ans Internet angebunden.

Vielleicht kann mir jemand sagen, ob diese Zugriffe unberechtigt von aussen initiiert werden oder es doch ein "internes" Problem ist. Falls jemand weitere Informationen benötigt, bitte einfach
kurz melden.

Vielen Dank einstweilen.
Mitglied: Driver401
06.11.2008 um 11:54 Uhr
Kannst Du denn mit den zensierten "Anruferbenutzernamen" - "Anruferdomäne" - "Name der Arbeitsstation" was anfangen?
Das ist doch von Dir zensiert, oder steht das so im Protokoll?
Das deutet ja schonmal auf eine Einwahl von aussen hin und nicht über einen Router, bzw. LAN.
Gibts denn eine Einwahlmöglichkeit, evtl. Fernwartung, ISDN, whatever...

Einen Angriff würde ich zwar nicht ausschliessen, aber wenn, dann wäre "Administrator" der versuchte Benutzername. Domäne wurde ja auch keine angegeben.
Ausser natürlich, es läuft ein spezieller Dienst, der "inna" als Anmeldung akzeptieren würde. Backdoor, Trojaner... oder Remote Desktop-Anwendungen....

HTH
Jürgen
Bitte warten ..
Mitglied: knuddel256
06.11.2008 um 12:17 Uhr
Hallo Jürgen,

das Wort "zensiert" habe ich eingefügt. Im Originaltext steht bei "Name der Arbeitsstation" der korrekte Name des unseres SBS2003-Servers, bei "Anruferbenutzername"
steht wiederum der Name unseres Servers gefolgt von $ (Ich denke mal, gemäß der Formel Maschinenname+$ = Anruferbenutzername) und bei der "Anruferdomäne"
unsere korrekte Domänenbezeichnung.

Ich hatte auch schon Angriffe von aussen die als solche leicht zu erkennen waren, da wurden Benutzernamen wie Administrator, Admin, Win-Admin usw. verwendet.

Aber bei der Geschichte werd ich nicht schlau. Backup, Virenscan, Defrag kann ich ausschließen, da die immer zur selben Zeit laufen, aber diese mutmasslichen Fremdzugriffe
ja zeitlich kein Schema haben.

Einwahlmöglichkeiten von aussen gibt es schon. Per ISDN reagiert aber nur das Faxprogramm, per Mobilfunk das SMS-Gateway und ansonsten wären nur
noch SMTP (25), HTTP (80), POP3 SSL (995), Remote Desktop (4125), HTTPS (443 u. 444) von aussen erreichbar.

Gruss Arno
Bitte warten ..
Mitglied: Driver401
06.11.2008 um 13:09 Uhr
Wie schon gesagt die "Anrufer-"-Sachen hast Du bei einer normalen Anmeldung aus dem Netz nicht. Schau doch zur Kontrolle mal die korrekten Anmeldevorgänge im Log an und schau ob da was bei Anrufer steht.. normal nicht.

RAS aktiviert?

J.
Bitte warten ..
Mitglied: Driver401
06.11.2008 um 13:17 Uhr
Uhps, oder wohl doch ein Angriff....
schau Dir das mal an - sieht ganz nach Deinem Problem aus.... da ist auch der Hinweis auf Filterung im Protokoll wie Du auf die Herkunft kommen kannst.

http://www.meinews.net/sbs2k3-t139941.html?s=a8eadccf1602511016fd720aa2 ...;

HTH
Bitte warten ..
Mitglied: knuddel256
07.11.2008 um 08:19 Uhr
Hallo Jürgen,

danke für den Link. Ja, das sieht mir ganz nach solch einer Geschichte aus. Da stellen sich mir natürlich gleich ein paar Fragen:

1. Komme ich auch ohne den Einsatz von ISA an nähere Informationen wie IP des "Angreifers" etc. ?
2. Wie finde ich heraus, auf welchen Service hier ein Zugriffsversuch erfolgte ?
3. Wie gehe ich vor, um mir diese Infos aus dem Server "rauszufiltern"

Wie eingangs erwähnt bin ich auf dem Gebiet nur als "Hobby-Admin" tätig, da unsere kleine Firma nicht über eine eigene IT-Abteilung verfügt
und auch keinen externen Dienstleister dafür hat. Was ich weiß, hab ich mir im Laufe der Jahre selbst angeeignet.

Gruss Arno
Bitte warten ..
Mitglied: Driver401
07.11.2008 um 12:12 Uhr
Ich fürchte, da kann ich Dir im Moment auch nicht groß weiterhelfen. Wie die "Anrufer--"Kennungen eingetragen werden, entzieht sich meiner Kenntnis und ist auch in meinen Logs noch nie aufgetaucht (wir haben auch keine externe Einwahlmöglichkeit).
Wenn sich hier keiner findet, der Dir weiterhelfen kann, wirst Du Dich erstmal einlesen müssen...

Ich würde jetzt erstmal herausfinden wollen, wie es generell dazu kommt, daß Einträge unter "Anrufer..." gemacht werden. Sofern das nicht wirklich weiterhilft, kannst Du versuchen ein Muster der Zugriffszeiten herauszufinden und zu den Zeiten einen Netzwerksniffer mitlaufen lassen, der den Traffic protokolliert.
Alternativ würde ich das komplette Netz weiterhin auf Viren und Trojaner/Backdoors prüfen. Falls Firewall vorhanden, dort die Logs und Einstellungen prüfen ob es zeitliche oder andere Zusammenhänge gibt. Bei Einwahlverbindungen diese Logs ebenso prüfen falls vorhanden.
usw...

Bitte verbessert mich jemand, wenn ich daneben liege....

HTH
Jürgen
Bitte warten ..
Mitglied: Jeckl8
17.12.2008 um 07:28 Uhr
Ich habe bei mehreren Kunden regelmäßig Anmeldeversuche von "Inna", da es den User natürlich nicht gibt und die Versuche weit unter einer "gefährlichen" Wiederholungsanzahl liegen, habe ich da noch nie drauf reagiert. Hatte erst lokale Fehlversuche vermutet und nachdem es auch bei anderen Kunden auftrat wohl richtig vermutet, dass ich nicht allein mit dem "neuen" Benutzer bin.

Gruß Uwe
Bitte warten ..
Mitglied: knuddel256
17.12.2008 um 07:58 Uhr
Ich habe die Anmeldeversuche von "Inna" fast täglich, aber es sind immer nur 3 - 4 Versuche pro Tag. Testweise hatte ich auch mal eingehend alles ausser smtp und pop3-ssl geblockt, aber "Inna" wollte trotzdem rein. Wie kann ich eigentlich beim SBS 2003 solche Versuche unterbinden? Gibts da ne Regel die z.B. lautet: wenn Benutzername "Inna" sich 1 x erfolglos anmeldet, sperre Benutzername für 24 Std. ? Oder funktioniert das nur bei existierenden Benutzern ?
Bitte warten ..
Mitglied: Jeckl8
17.12.2008 um 08:10 Uhr
Solange man Ports zum Internet geöffnet hat sollte man die Kennwortrichtlinien aktiviert haben mit regelmäßigem Passwortwechsel. Benutzer mit Fehlversuchen wird in der Standarteinstellung eh nach einer gewissen Anzahl eine zeitgesteuerte Sperre vorgschoben. Einen Benutzernamen sperren, den es nicht gibt macht wohl wenig Sinn, da es ihn nicht gibt kann er auch keinen Zugriff bekommen.
Ich hab mir darum bis jetzt noch keinen großen Kopf gemacht.
Bitte warten ..
Ähnliche Inhalte
Samba

Merkwürdiger Anmeldefehler: Unbekannter Benutzername oder falsches Passwort trotz korrektem Login

gelöst Frage von deisenbergSamba12 Kommentare

Hallo zusammen, seit einigen Tagen beschweren sich Mitarbeiter in unserer Firma über ein kurioses Problem. An vereinzelnden WIN7-Clients, kann ...

Windows 7

Änderung Benutzername

Frage von achkleinWindows 76 Kommentare

Hallo, ich möchte über einen Netzwerk-Scanner Bilder auf einen PC senden. Leider akzeptiert der Scanner keine Umlaute im Datenpfad. ...

Server

Hohe Zugriffsversuche auf autodiscover.xml - Wie diese Zugriffe ignorieren bzw. sperren

gelöst Frage von HerrMettServer5 Kommentare

Moin moin, ich habe eben die Access-Logdaten des Apache-Servers geprüft und mir ist dabei aufgefallen, dass fast jeder zweite ...

Exchange Server

Mailempfänger unbekannt

Frage von JensDNDExchange Server10 Kommentare

Hallo Admins, wir haben eine MSExchange2016 eine Kollegin hat sein einiger Zeit das Problem, daß Mails an interne Adressen ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 8 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 12 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...