Asphyxia 10 Geschrieben 28. März 2011 Melden Geschrieben 28. März 2011 Hallo zusammen, seitdem ich bei einem unserer Kunden einen Monitoring Agent (GFIMAXX - Acmeo Dashboard) eingerichtet habe meldet dieser unauthorisierte Anmeldeversuche. Der Server hat eine Externe IP. Ich habe jetzt unter Ereignisanzeige/Sicherheit festgestellt, dass die Ereignis ID 529 immer wieder auftaucht - teilweise alle paar Sekunden. Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Administrator Anmeldetyp: 10 Anmeldevorgang: User32 Authentifizierungspaket: Negotiate Quellnetzwerkadresse: Immer unterschiedlich! Ich habe inzwischen 7 verschiedene ausgemacht. Ports: Ebenfalls immer unterschiedlich Läuft da ein Programm das Passwörter ausprobiert (Brute Force oder sowas?):confused: Wenn Ihr eine Idee habt was das sein könnte, und am besten wie ich mich davor schütze, wäre ich echt dankbar für eure Antworten.:) Zitieren
iDiddi 27 Geschrieben 28. März 2011 Melden Geschrieben 28. März 2011 Quellnetzwerkadresse: Immer unterschiedlich! Ich habe inzwischen 7 verschiedene ausgemacht. Externe oder Interne? Hat das Monitoring-Tool auch eine Option, Dein Netzwerk von außen auf Schwachstellen zu prüfen? Schau mal hier in der KB vom Hersteller (sind zwar nur allgemeine Infos, aber vielleicht hilft's): http://kbase.gfi.com/showarticle.asp?id=KBID001723 Zitieren
Asphyxia 10 Geschrieben 28. März 2011 Autor Melden Geschrieben 28. März 2011 Bei den Ip´s handelte es sich ausschließlich um externe! Zitieren
iDiddi 27 Geschrieben 28. März 2011 Melden Geschrieben 28. März 2011 OK. GFI MAX bietet sehr viele Prüfungen an. Vielleicht kommen die IPs alle aus deren Adressbereich. Würde ich zumindest mal prüfen, bevor Du Dich verrückt machst. Oder ist es vielleicht das (Zitat aus EventID.net): MacbrideThis event may appear in the Exchange server event log if the SMTP server component is configured to attempt to authenticate remote SMTP server using NTLM authentication. If the remote server is not able to provide a valid user id/password, this event will be recorded. Verify the properties of the SMTP server component. Das hat aber dann nichts mit dem Monitoring-Agent zu tun ;) Zitieren
zahni 569 Geschrieben 28. März 2011 Melden Geschrieben 28. März 2011 Mit welchen Ports bzw. Funktionen präsentiert sich der Server denn in der Öffentlichkeit ? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.