bkalinski

Kann mir keiner helfen wie ich rausfinde woher die Anmeldeversuche kommen?

Hallo Leute, ich habe einen (virtualisierten) Win2k3 Server mit IIS laufen, der einen .NET Webservice und eine MySQL Datenbank bereitstellt. Außerdem liegt auch mein SVN Repository da drauf. Ich habe heute morgen das Eventlog durchgeschaut und einen ganzen Haufen Einträge gefunden: Die Events wiederholen sich regelmäßig und sekündlich zu verschiedenen Uhrzeiten, teilweise erstrecken die Events sich über ein paar Stunden, teilweise auch auch nur über ein, zwei Minuten. Dazwischen kommt teilweise gar nichts. Der Username der sich einzuloggen versucht, variiert zwischen 'Administrator', 'admin', 'root', 'test', 'sysadmin' usw. . Es gibt pro Nutzernamen immer einen ganzen Haufen Events nacheinander, nach einigen Events kommt dann ein neuer Nutzername dran. Das hat mich ein wenig stutzig gemacht, ich würde einen Bruteforce-Angriff auf ein System auch so fahren: Einen Benutzernamen nehmen der ziemlich gebräuchlich ist und dann mit verschiedenen Passwörtern variieren. Für mich sieht das deswegen so aus als versuche jemand den FTP Zugriff auf den Server zu bekommen (wegen der MSFTPSVC). Ich kenne mich aber mit Windows Servern zu wenig damit aus. Mir ist schon klar das es ein Webserver natürlich eine ganze Anzahl mit allen möglichen Angriffen nach sich zieht, aber ich würde mich trotzdem gerne absichern. Kann ich irgendwo rausfinden woher diese Login Versuche kommen (mir würde schon reichen wenn ich wüsste ob sie aus dem LAN oder aus dem Internet kommen)? Und gibt es eine Möglichkeit die Anzahl der Logins zu begrenzen, bzw. eine Zeitsperre nach X fehlgeschlagenenen Versuchen einzustellen? Um den Server mache ich mir vorerst mal keine Sorgen, das Administrator Kennwort sollte via BruteForce nicht in angemessener Zeit knackbar zu sein. Ich freu mich auf Antworten und Hilfe um ein wenig Licht ins Dunkel zu bringen ;-)