Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wer oder was will sich hier einloggen? SBS2003

Frage Sicherheit Erkennung und -Abwehr

Mitglied: MyKell

MyKell (Level 1) - Jetzt verbinden

28.08.2007, aktualisiert 02.01.2009, 16850 Aufrufe, 17 Kommentare

Habe folgenden Eintrag in der Ereignisanzeige:

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: test
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SERVER
Aufruferbenutzername: SERVER$
Aufruferdomäne: meinedomäne <- (von mir überschrieben...)
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2076
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

davon habe ich 12 Einträge allein an einem Tag. Teilweise steht dort auch "info" oder "webmaster" als benutzername. Handelt es sich dabei evtl. um einen gezielten Angriff von draussen (Internet) auf meinen Server? Dann würde aber doch die IP-Adresse angezeigt werden, oder was ist mit "Quellnetzwerkadresse" gemeint?

Gruß
Michi!
Mitglied: 45666
28.08.2007 um 11:17 Uhr
Hallo!


1. Welche Ereigniskennung hat die Fehlermeldung?

2. Es könnte sich um einen Virus handeln... hast du zufällig einen Prozess der sich Advapi.exe nennt?

Es gibt einen bekannten Bug unter XP der diese Fehlermeldung verursacht.. allerdings weiß ich nicht, inwieweit auch der SBS2003 betroffen ist.

Gruß
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 11:21 Uhr
Hallo!


1. Welche Ereigniskennung hat die
Fehlermeldung?

529

2. Es könnte sich um einen Virus
handeln... hast du zufällig einen
Prozess der sich Advapi.exe nennt?

negativ...
Bitte warten ..
Mitglied: cykes
28.08.2007 um 11:24 Uhr
Hi,

habt ihr irgendwelche Webdienste auf dem SBS laufen, mit eventuell per Passwort geschützten
Bereichen. Sind diese Webdienste von aussen (Internet) zugänglich?

Gruß

cykes
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 11:30 Uhr
habt ihr irgendwelche Webdienste auf dem SBS
laufen, mit eventuell per Passwort
geschützten
Bereichen. Sind diese Webdienste von aussen
(Internet) zugänglich?

meines wissens nach nicht...habe damals alle (mir bekannten) services wie pop3, webaccess usw deaktiviert. vielleicht kannst du mir nochmal die bekanntesten services nennen, welche auf jeden fall abgeschaltet sein sollten. wir nutzen keine externe zugriffe auf den server, bzw. benötigen diese nicht.
Bitte warten ..
Mitglied: cykes
28.08.2007 um 11:33 Uhr
Also auf dem SBS könnten noch die Sharepointservices, Outlook Web Access usw. laufen.
Schau doch mal unter Verwaltung->Internet Informationsdienste Manager ...

Gruß

cykes
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 11:44 Uhr
Also auf dem SBS könnten noch die
Sharepointservices, Outlook Web Access usw.
laufen.
Schau doch mal unter Verwaltung->Internet
Informationsdienste Manager ...

stimmt...habe dort noch den WSUS-Server als auch die companyweb laufen. diese dienste sollten aber doch von aussen nicht erreichbar sein, da in den eigenschaften die ip's beschränkt sind auf das lokale netz...
Bitte warten ..
Mitglied: cykes
28.08.2007 um 11:54 Uhr
Es könnte ja auch sein, dass von intern jeamnd versucht, sich dort einzuloggen, und einfach mal
Benutzernamen ausprobiert.

Eine zentrale Antivirenlösung habt ihr aber, oder?
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 12:00 Uhr
Es könnte ja auch sein, dass von intern
jeamnd versucht, sich dort einzuloggen, und
einfach mal
Benutzernamen ausprobiert.

das traue ich den usern nicht zu....die wissen gerade eben so, wie sie den pc starten davon abgesehen handelt es sich nur um 6 clients. die uhrzeit passt auch nicht zu den arbeitszeiten der user...

Eine zentrale Antivirenlösung habt ihr
aber, oder?

jein...die clients sind alle abgesichert, beim server will eine standalone-lösung NUR für den server, keine sbs-suite für ich weiss nicht wieviel geld. steht einfach nicht im verhältnis zueinander. somit läuft dort antivir als workstation-version (ich weiss...nicht das optimale, aber besser als nichts)
Bitte warten ..
Mitglied: KHP
28.08.2007 um 12:07 Uhr
Hallo,

diese Ereignisse waren bei mir auch in den Logfiles. Anmeldeversuche mit webmaster und admin sind fehlgeschlagen. Ich schließe interne Versuche ebenfalls aus.

Alle 20 Versuche ware letzten Freitag so kurz nach 15 Uhr:

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: admin
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: servername
Aufruferbenutzername: servername$
Aufruferdomäne: meinedomäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 1824
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -

Bei uns läuft OWA, hab auch noch nicht rausgefunden wo die Anmeldeversuche herkommen.

Antivirensoftware läuft, auch Exchange Groupshield.

Ich hänge mich hiermit mal an das Problem dran...

Gruß - Tobias


[edit]: Internetdienste laufen, volles Programm: Sharepoint, companyweb und wsus, owa ist von außen zugänglich

Ereignis-ID: 529
Bitte warten ..
Mitglied: cykes
28.08.2007 um 12:07 Uhr
> Es könnte ja auch sein, dass von
intern
> jeamnd versucht, sich dort einzuloggen,
und
> einfach mal
> Benutzernamen ausprobiert.

das traue ich den usern nicht zu....die
wissen gerade eben so, wie sie den pc starten
davon abgesehen handelt es sich nur um 6
clients. die uhrzeit passt auch nicht zu den
arbeitszeiten der user...

Dann muss irgendwas von aussen zugänglich sein. Schau doch mal auf eurem Router,
ob da Ports weitergeleitet sind. Habt ihr eventuell ein WLan, dann dort mal den Key ändern,
und eventuell auf WPA(2) umstellen.

jein...die clients sind alle abgesichert,
beim server will eine standalone-lösung
NUR für den server, keine sbs-suite
für ich weiss nicht wieviel geld. steht
einfach nicht im verhältnis zueinander.
somit läuft dort antivir als
workstation-version (ich weiss...nicht das
optimale, aber besser als nichts)

Naja, insbesondere ist das keine gültige Lizenz für diesen Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal einfach überlesen

Gruß

cykes
Bitte warten ..
Mitglied: MyKell
28.08.2007 um 22:46 Uhr
Dann muss irgendwas von aussen
zugänglich sein. Schau doch mal auf
eurem Router,
ob da Ports weitergeleitet sind. Habt ihr
eventuell ein WLan, dann dort mal den Key
ändern,
und eventuell auf WPA(2) umstellen.

habe zwar wlan,allerdings ohne aussendende SSID, MAC-Filter aktiv. kein mensch stellt sich mit dem auto ins industriegebiet morgens um 6 uhr, um ins netz zu kommen....auszuschliessen ist natürlich nichts...gebe ich dir recht...was mich aber wirklich brennend interessieren würde ist, woher der angriff (falls es wirklich einer ist) kommt. wirklich von extern, oder doch von intern?

Naja, insbesondere ist das keine
gültige Lizenz für diesen
Einsatzzweck,
ich habe das (als Avira Partner) jetzt mal
einfach überlesen

kein thema...habe ja eine gültige lizenz....dann hast du als partner bestimmt noch einen tip für mich...wie bekomme ich NUR den server gesichert, ohne die Suite zu erwerben....
Bitte warten ..
Mitglied: gnarff
29.08.2007 um 03:45 Uhr
Da schaut man einfach mal in folgende Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082

Und dann postet Du/Ihr mir bitte in welchen/m Verzeichnis/sen sich advAPI befindet.
Die adv-Api ist nichts weiter als ein Windows Application Programming Interface.
saludos
gnarff
Bitte warten ..
Mitglied: MyKell
30.08.2007 um 11:19 Uhr
Da schaut man einfach mal in folgende
Website:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811082

Und dann postet Du/Ihr mir bitte in
welchen/m Verzeichnis/sen sich advAPI
befindet.
Die adv-Api ist nichts weiter als ein
Windows Application Programming Interface.

habe heute erneut einen eintrag in der ereignisanzeige, diesmal mit dem user "company". also muss jemand wahllos versuchen sich mit verschiedenen usernames an mein system anzumelden. bislang ohne erfolg...*holzklopf*

kann man diese anmeldeversuche nicht grundsätzlich unterbinden?
Bitte warten ..
Mitglied: cykes
30.08.2007 um 11:56 Uhr
Ich wollte nicht ausschliessen, dass es sich um irgendwelche Malware handelt, nur
die andere Möglichkeit, dass es sich um einen realen (internen) User mit in Betracht ziehen.
Bitte warten ..
Mitglied: KHP
30.08.2007 um 17:13 Uhr
Hallo cykes,

die advapi32.dll ist in diversen Verzeichnissen enthalten:
%Bootdrive%\Windows\System32
%Bootdrive%\WINDOWS\ServicePackFiles\i386
weiterhin in:
diversen ServicePack-Installationsordner (XPSP2, 2KSP4, IE6) - meist als *.DL_

Ich weiß ja nicht ob das weiterhilft.

Eine EXE-Datei oder ein Service war nicht auffindbar, der Support-Artikel von M$ konnte mir auch nicht großartig weiterhelfen. Da ist die Rede von Updates usw. Bei uns sind alle Rechner (Win2KSP4), einschließlich des Servers (SBS2003R2 SP2), vollständig geupdatet.

Bisher traten diese Fehlanmeldungen nicht nocheinmal auf, ich denke ich werde das beobachten.

Gruß - Tobias
Bitte warten ..
Mitglied: gnarff
30.08.2007 um 21:11 Uhr
Um festzustellen, von wo diese Logon-Versuche kommen, sollte man einmal die Logfiles der Firewall auswerten; in Uebereinstimmung mit den Datums- und Zeitstempeln aus dem Event-ID Log, nach
Kerberos auf Port 88 tcp/udp
Microsoft Directory Services traffic auf Port 445 tcp/udp
LDAP Port 398 udp
Welche Beobachtungen hast Du bei der Auswertung gemacht?

Wenn die Clients nicht Internetfaced sind, dann kann der Zugriff nur von Innen erfolgen.
Sind die Clients Internetfaced, d.h. mit dem Internet verbunden?
Koennen Anhaenge aus E-Mails geoffnet und lokal gespeichert werden?

Ausserdem wuerde ich dazu raten wireshark einzusetzen, um den Netzwerkverkehr genauer ueberwachen zu koennen...

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Erkennung und -Abwehr
Innenministerium will bei Cyberangriffen zurückschlagen (5)

Link von magicteddy zum Thema Erkennung und -Abwehr ...

Windows Mobile
Satya Nadella: Microsoft will weiter Smartphones bauen (5)

Link von Frank zum Thema Windows Mobile ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...