Server Sicherheitsproblem

[lszts 10]

Hallo an alle.

 

Folgende Ereignisse tauchen unter Sicherheit im Ereignisprotokoll ca. 20 mal pro Sekunde auf:

"Alles in Klammern hab ich geändert"

 

 

Ereignistyp: Fehlerüberw.

Ereignisquelle: Security

Ereigniskategorie: Kontoanmeldung

Ereigniskennung: 675

Datum: 15.02.2010

Zeit: 02:47:40

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: "Servername"

Beschreibung:

Fehlgeschlagene Vorbestätigung:

Benutzername: "Benutzername"

Benutzerkennung: "Domain\Benutzer"

Dienstname: krbtgt/"Domain".LOCAL

Vorauthentifizierungstyp: 0x2

Fehlercode: 0x12

Clientadresse: 200.3.1.49

 

 

Der Anmeldeversuch erfolgt ca. 100 mal mit allen Benutzern die auf diesem Server existieren.

Die Clientadresse kann ich weder pingen noch lokalisieren, es gibt scanner die wenigstens ne MAC Adresse ausgeben.

Brauche hilfe....

Ich poste hier noch eine Meldung, vll. hilfts:

 

Ereignistyp: Fehlerüberw.

Ereignisquelle: Security

Ereigniskategorie: Kontoanmeldung

Ereigniskennung: 675

Datum: 15.02.2010

Zeit: 02:46:06

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: "Servername"

Beschreibung:

Fehlgeschlagene Vorbestätigung:

Benutzername: "Benutzer"

Benutzerkennung: "Domain\Benutzer"

Dienstname: krbtgt/Domain.LOCAL

Vorauthentifizierungstyp: 0x2

Fehlercode: 0x12

Clientadresse: 200.3.1.49

 

 

Vielen Dank im voraus,

 

V.

[zahni 554]

Hallo und willkommen im Forum,

 

damit können wir leider wenig anfangen. Wo steht denn der Server bzw. iwe ist er angebunden ? Die "200.3.1.49" ist in Venezuela beheimatet.

 

Bei der "Attacke": Welche MAC-Adresse liefert "arp -a" auf dem Server ?

 

Sitmme die MAC-Adresse mit einem anderen Gerät überein, z.B. einem Router ?

 

-Zahni

[lszts 10]

Hi,

 

sorry die ip ist ne interne ausm lan mit 200.3.1.*

 

>>Bei der "Attacke": Welche MAC-Adresse liefert "arp -a" auf dem Server ?

 

Da weiss ich jetzt nicht ganz was du meinst, bin nicht so der experte. Wenn ich das netz scanne bekomm ich bei der 200.3.1.49 nur eine MAC angezeigt.

Ok. arp -a liefert nichts. die 49 ist nicht in der liste....

 

>>Sitmme die MAC-Adresse mit einem anderen Gerät überein, z.B. einem Router ?

 

Das wüsste ich auch gern. Gibts ne Methode das rauszufinden?

 

 

Danke für die Hilfe.

bearbeitet 15. Februar 2010 von lszts

[Dr.Melzer 191]

Da weiss ich jetzt nicht ganz was du meinst, bin nicht so der experte.

 

Dann frag ich mich mal was du da an dem Server machst wenn du "nicht so der Experte" bist?

[lszts 10]

Hi,

 

also an dem Server mach ich garnix. Aber wenn wegen des Problems die Benutzerkonten gesperrt werden und ich dieses Problem lösen will dann dachte ich, ich wäre hier richtig....

 

Also wenn mir jemand sagen könnte wie ich in einem Netzwerk ein "Gerät" finden kann das nur eine MAC Adresse hat dann wäre ich schon ein stück weiter...

 

Eine Sache hab ich grad noch gesehen: Der DSL Router zeigt ab und zu die IP 200.3.1.49 wie der sendet und empfängt....

 

P.S.: Ich glaube nicht das man ein Experte sein muss um nen DC aufzusetzten und ein Netzwerk zu betreuen. Aber wenn es hilft dann geh mal davon aus das ich einer bin.;-)

 

Gruß

 

V.

[XP-Fan 217]

Hallo,

 

wer kam denn auf die Idee eine öffentliche IP Range zu verwenden ?

 

Von welcher Größe sprechen wir denn und welche Mittel ( Layer 3 Switche z.B ) hast du zur Verfügung ?

 

Ansonsten schau doch mal welcher User sich von welchem Gerät anmeldet auf dem Server,

vielleicht kommst du damit schon ans Ziel.

[zahni 554]

Z.B. den MS Netmon 3.3 am Server installiern und tracen. Aber da braucht man etwas Ahnung.

 

Wie gesagt: Wenn das aktuell auftritt, am Server "arp -a" eingeben.

 

Man kann auch mal den DHCP- oder WINS-Server checken. Vielleicht hat sich ein PC was eingefangen ?

 

Ansonsten: Suche Dir professionelle Hilfe.

[zahni 554]

 

P.S.: Ich glaube nicht das man ein Experte sein muss um nen DC aufzusetzten und ein Netzwerk zu betreuen. Aber wenn es hilft dann geh mal davon aus das ich einer bin.;-)

 

Gruß

 

V.

 

Ich glaube nicht, dass man für eine Blinddarm-OP ein Experte sein muss. Ich gehe dann mal mein Messer schärfen ;)

 

-Zahni

[lszts 10]

Hallo,

 

wer kam denn auf die Idee eine öffentliche IP Range zu verwenden ?

 

Von welcher Größe sprechen wir denn und welche Mittel ( Layer 3 Switche z.B ) hast du zur Verfügung ?

 

Ansonsten schau doch mal welcher User sich von welchem Gerät anmeldet auf dem Server,

vielleicht kommst du damit schon ans Ziel.

 

 

Hi xp-fan,

 

also das Netzwerk war schon vor meine Zeit eingerichtet, weiss also nicht genau.

 

Es sind ca. 30 Rechner (alle xp) 3-4 Switches( Kann Morgen mehr dazu schreiben).

Der Server wo die Anmeldeversuche sind ist ein windows 2003 Server als DC.

Es gibt noch einen DHCP Server(Windows 2000). Da taucht die Adresse nicht auf.

 

Aufm w2k3 Server bringt der arp -a befehl kein Ergebnis.

 

Wäre es möglich am Switch was zu machen um das Gerät zu finden?

 

Gruß

 

V.

[zahni 554]

Wie gesagt, Du musst den ARP-Cache kurz nach dem Ereignis prüfen. Der ARP-Cache leert sich auch wieder...

 

Prüfe in der Dömane mal Deine Sicherheitseinstellungen, z.B.

 

"Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben",

 

siehe Kapitel 5: Sicherheitsoptionen

 

Aber das Einfachste ist Download details: Microsoft Network Monitor 3.3 .

 

Setzt aber ein paar Netzwerk-Kenntnisse voraus.

 

So, ich muß mal nach dem Blinddarm schauen. Den suche ich nähmlich noch... ;)

 

-Zahni

[lszts 10]

Hi Zahni,

 

hab den Rechner gefunden. Es war ein Mitarbeiter der im Moment nur selten da ist aber den Rechner auch mal an lässt. Wenn ich Zeit hab lass ich mal nen Virenscan laufen, aber dann wird der neu aufgesetzt.

Wenn ich was finde, poste ich noch das Ergebnis.

 

Danke für die Kopferweiterung....

 

Hoffe du findest kein Blinddarm ;-)

 

Gruss

 

V.

[XP-Fan 217]

Hi,

 

gut das du fündig geworden bist. :)

 

Als ToDo für die nahe Zukunft würde ich mir die öffentliche Range aufschreiben, Umstellung auf private IP Range, z.B 192.168.x.x .