andrew 15 Geschrieben 25. November 2011 Melden Teilen Geschrieben 25. November 2011 hello together Frage: Unser Überwachungstool hat uns von einem Kunden mit SBS 2008 gemeldet, dass fast 3000 Anmeldeversuche stattgefunden haben. Auf dem SBS 2008 sieht das dann wie folgt aus, Auszug aus der detailierten Ereignis-ID 4625 (Namen von Personen oder IPs wurden unterkenntlich gemacht respektive abgeändert >> Kürzel usw. IP-Adressen) WICHTIG: der QUELLPORT STIMMT ABER !!!! ------------------------------------------------------------------------------------------------ Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: NULL SID Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: gm Kontodomäne: GustafMeier Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc000006a Prozessinformationen: Aufrufprozess-ID: 0x0 Aufrufprozessname: - Netzwerkinformationen: Arbeitsstationsname: GustafMeier Quellnetzwerkadresse: 192.168.10.103 Quellport: 49167 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. --------------------------------------------------------------------------------------------------- Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 25. November 2011 Autor Melden Teilen Geschrieben 25. November 2011 1. Das erste Ereignis begann irgendwie gestern Vormittag 2. nach 1.5 Stunden sind bereits die ersten ca. 300 Versuche geloggt 3. ca. 1 Stunde später gehets weiter, im gleichten Stiele ..kurz nach dem Mittag angefangen bis ca. um 16:30 Uhr wieder innerhalb dieser Zeit ca. 1800 Anmeldeversuche 4. danach wurde wieder für ca. 30 min nichts geloggt und dann gings wieder weiter, wieder das gleiche Spiel sprich: Ereignis-ID 4625 (Quelle Microsoft- Windows Security Auditing) >> im Filger habe ich nur eingestellt, beim Punkt Schlüsselwörter: Überwachung gescheitert!! und zueoberst beim Punkt Protokolliert: letzten 30 Tage Wobei diese knapp 3000 Anmeldeversuche sind über knapp 2 Tage hinweg so geloggt - immer von der gleiche IP aus - immer der gleiche Anmeldetyp (3) - immer der gleiche KontoName, hier Kürzel verändert >> gm - nur der Quellport unter Netzwerkinformationen hat beim ersten geloggten Versuch Port 49167 - und beim letzten geloggten Versuch 53437 Ist meine Schlussfolgerung nun richtig? Auf dem PC mit der IP (hier als Beispiel IP) 192.168.10.103 wurde via Protokoll NTLM Zugriffe fast im Sekunden Takt oder manchmal in einer Sekunde 7 mal, dann vielleicht 10 Sekunden nicht mehr, dann wieder inneralb einer Sekunde vielleicht 3mal usw. mal versucht, sich auf dem Server zu authentifizieren? Oder ein Programm (welches auch immer, sieht man im obengezeigten Log Auszug nicht) hat via Protokoll NTLM unter dem Benutzername gm von der IP 192.168.10.103 aus versucht eine Vebindung auf den Server herzustellen, korrekt ???? Was ist das? ein Virus? man sieht ja förmlich, dass die Portnummer steigt, also im Bereich von 49167 bis 53437 wurde bis heute in der früh (nach Mitternacht einmal) stets dieses Log oben regisitiert, wie mehrmals jetzt schon erwähnt, fast unglaubliche 3000mal !!!! Wer hat hier eine schlaue Erklärung für? *gwundrigschau* Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 6. Dezember 2011 Melden Teilen Geschrieben 6. Dezember 2011 Hallo, ich würde mir die Maschine, von der die Anmeldeversuche stammen, mal etwas genauer ansehen. Vielleicht siehst Du dort etwas Auffälliges. Grüße, Robert Zitieren Link zu diesem Kommentar
srv2008 10 Geschrieben 7. Dezember 2011 Melden Teilen Geschrieben 7. Dezember 2011 Loggen... Damit kommst du sicher weiter. netstat liefert dir hier eventuell genauere Informationen. Mit Hilfe von wireshark kannst du die Pakete mal abfangen und diese genauer betrachten. Nur weil der Port auf 21 geht heisst das noch lange nicht dass hier FTP gesprochen wird... Mehr Informationen - leichter zu entscheiden :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.