bkalinski 10 Geschrieben 15. November 2010 Melden Teilen Geschrieben 15. November 2010 Hallo Leute, ich habe einen (virtualisierten) Win2k3 Server mit IIS laufen, der einen .NET Webservice und eine MySQL Datenbank bereitstellt. Außerdem liegt auch mein SVN Repository da drauf. Ich habe heute morgen das Eventlog durchgeschaut und einen ganzen Haufen Einträge gefunden: Source: MSFTPSVC Category: None Type: Warning EventID: 100 User: N/A The server was unable to logon the Windows NT account 'irgendeinName' due to the following error: Logon failure: unknown user name or bad password. The data is the error code. Data: 0000: 0000052e Die Events wiederholen sich regelmäßig und sekündlich zu verschiedenen Uhrzeiten, teilweise erstrecken die Events sich über ein paar Stunden, teilweise auch auch nur über ein, zwei Minuten. Dazwischen kommt teilweise gar nichts. Der Username der sich einzuloggen versucht, variiert zwischen 'Administrator', 'admin', 'root', 'test', 'sysadmin' usw. . Es gibt pro Nutzernamen immer einen ganzen Haufen Events nacheinander, nach einigen Events kommt dann ein neuer Nutzername dran. Das hat mich ein wenig stutzig gemacht, ich würde einen Bruteforce-Angriff auf ein System auch so fahren: Einen Benutzernamen nehmen der ziemlich gebräuchlich ist und dann mit verschiedenen Passwörtern variieren. Für mich sieht das deswegen so aus als versuche jemand den FTP Zugriff auf den Server zu bekommen (wegen der MSFTPSVC). Ich kenne mich aber mit Windows Servern zu wenig damit aus. Mir ist schon klar das es ein Webserver natürlich eine ganze Anzahl mit allen möglichen Angriffen nach sich zieht, aber ich würde mich trotzdem gerne absichern. Kann ich irgendwo rausfinden woher diese Login Versuche kommen (mir würde schon reichen wenn ich wüsste ob sie aus dem LAN oder aus dem Internet kommen)? Und gibt es eine Möglichkeit die Anzahl der Logins zu begrenzen, bzw. eine Zeitsperre nach X fehlgeschlagenenen Versuchen einzustellen? Um den Server mache ich mir vorerst mal keine Sorgen, das Administrator Kennwort sollte via BruteForce nicht in angemessener Zeit knackbar zu sein. Ich freu mich auf Antworten und Hilfe um ein wenig Licht ins Dunkel zu bringen ;-) Zitieren Link zu diesem Kommentar
bkalinski 10 Geschrieben 22. November 2010 Autor Melden Teilen Geschrieben 22. November 2010 Kann mir keiner helfen wie ich rausfinde woher die Anmeldeversuche kommen? Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 22. November 2010 Melden Teilen Geschrieben 22. November 2010 Klar stell ne Firewalll davor, die zumindest die Grunddaten loggt. Oder aktivier wenigstens das Logging auf der Windows Firewall. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.