Jump to content

03 -versucht uns jmd. zu hacken?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi all,

 

heute Nacht hatten wir in der Ereignisanziege Sicherheit mehrere Fehlschläge wie folgt gesichtet:

 

Quelle: Security, Kategorie An/Abeldung, Ereigniskennung: 529

Benutzer: NT-Autorität\System

Computer:SBS

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: office

Domäne:

Anmeldetyp: 3

Anmeldevorgang: Advapi

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Name der Arbeitsstation: SBS

Aufruferbenutzername: SBS$

Aufruferdomäne: Unsere-Domäne

Aufruferanmeldekennung: (0x0,0x3E7)

Aufruferprozesskennung: 2164

Übertragene Dienste: -

Quellnetzwerkadresse: -

Quellport: -

 

Weitere Einträge mit anderem Benutzernamen wie "test", "contact" wurden ebenfalls die gleichen Fehlschläge geloggt.

 

Wie geht man am Besten in solch einen Fall vor, damit man diese Art Bruteforce Attacken unterbindet? (leider fehlt mir die Quell-IP)

 

Danke im Voraus!

Link zu diesem Kommentar

Moin,

 

der beste Schutz gegen Brute Force sind starke Kennwörter.

 

Ansonsten kann man dazu wenig sagen, ohne die Struktur zu kennen. Selbstverständlich solltet ihr euch nach außen durch Firewalls schützen usw. Derartige Angriffe können aber auch durch Malware von innen verursacht werden - also gehört auch Schutz dagegen auf die Liste.

 

Oder was willst du jetzt hören?

 

Gruß, Nils

Link zu diesem Kommentar

 

Oder was willst du jetzt hören?

 

Gruß, Nils

 

ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin?

 

Sollte die Firewall solche Angriffe nicht endecken und unterbinden?

Wir haben eine firebox550 von Watchguard im Einsatz.

trotzdem danke für deine Info Nils

Link zu diesem Kommentar

Hallo.

 

Sollte die Firewall solche Angriffe nicht endecken und unterbinden?

 

Wieso? Wenn z.B. der RDP Port auf der Firewall geöffnet ist, wieso soll dann die Firewall überprüfen, bzw. überprüfen können ob die User Authentifizierung ok ist.

 

Wie immer an dieser Stelle die Frage, welche Ports sind auf der Firewall geöffnet?

 

LG Günther

Link zu diesem Kommentar

hier etwas detaillierter:

 

21 Ausgehend

22 Ausgehend

25 Ein-/ Ausgehend

80 ausgehend

443 Ein-/ Ausgehend

1935 sowohl, als auch ( haben einen mediaserver im Haus)

53 ausgehend

NTP 123 (hatte ich zuvor vergessen) ausgehend

5060 Ein-/ Ausgehend

30000-30005 (telefonsoftware) Ein-/ Ausgehend

5004-5027 (telefonsoftware) Ein-/ Ausgehend

bearbeitet von butch80
Link zu diesem Kommentar

Wir haben vermerhrt Einträge, die unlogisch für einen Angriff sind. Da versucht jemand mit einem "@" sich als Benutzername anzumelden?

 

Bei diesen Versuchen, stammt die Quell-IP auch von unseren SQL und Terminalservern.

 

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: @

Domäne:

Anmeldetyp: 3

Anmeldevorgang: NtLmSsp

Authentifizierungspaket: NTLM

Name der Arbeitsstation: Terminalserver

Aufruferbenutzername: -

Aufruferdomäne: -

Aufruferanmeldekennung: -

Aufruferprozesskennung: -

Übertragene Dienste: -

Quellnetzwerkadresse: 192.168.1.123

Quellport: 0

 

Wir haben Windows Server 2003 im Einsatz. Die Server wurden komplett gescannt und sind angeblich sauber.

 

Noch jemand eine idee?

bearbeitet von butch80
Link zu diesem Kommentar
ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin?

 

Sollte die Firewall solche Angriffe nicht endecken und unterbinden?

Wir haben eine firebox550 von Watchguard im Einsatz.

trotzdem danke für deine Info Nils

 

 

Hallo,

die Firewall macht was man ihr sagt und wenn entsprechender Datenverkehr erlaubt ist prüft sie diesen nicht zwingend auf Sinnhaftigkeit.

 

Es gibt aber von Watchguard eine kostenpflichtige Option (IPS - Intrusion Prevention Service) die anhand verschiedener Signaturen/Angriffsmuster entsprechende unerwünschte Versuche automatisch unterbindet. Die Option kann einzeln oder als Bestandteil des UTM-Bundles erworben werden und sollte für die kleine X550e auch nicht die Welt kosten. Wir haben gerade in Verbindung mit dem SMTP-Proxy (Firewall) sehr gute Erfahrungen damit gemacht bzw. konnten noch keine Fehlfunktionen feststellen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...