namelessjames 10 Geschrieben 24. Juni 2012 Melden Teilen Geschrieben 24. Juni 2012 Hallo! Seit einiger Zeit wird in der Ereignisanzeige meines Servers sekündlich die Meldung "Fehler beim Anmelden eines Kontos." mit der Ereignis-ID 4625 verzeichnet. Im Sekundentakt tauchen stündlich neue Meldungen diesbezüglich auf (Vom 10.06. bis heute sind es ca. 37.000). Fehlerdetails: Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: {für den Post entfernt} Kontodomäne: {für den Post entfernt} Anmelde-ID: 0x3e7 Anmeldetyp: 8 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: {irgendwelch Kombinationen wie "Admin", "alert", "Test", "123", etc.} Kontodomäne: \ Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc0000064 Prozessinformationen: Aufrufprozess-ID: 0x66c Aufrufprozessname: C:\Windows\System32\svchost.exe Netzwerkinformationen: Arbeitsstationsname: {für den Post entfernt} Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Auf dem Server läuft ein Apache 2 mit PLESK, mysql, etc. Remote-Zugriff ist aktiviert, mit Authentifizierung auf Serverebene. Ich vermute stark, dass es sich hier um einen (DOS?)-Angriff handelt, da der Root-Server gerne dadurch in die Knie geht und vollkommen abstürzt. Was kann ich dagegen tun? Der Apache läuft mit mod_evasive und mod_security. Dankesehr und Grüße! Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 24. Juni 2012 Melden Teilen Geschrieben 24. Juni 2012 Willkommen an Board. in der Ereignisanzeige meines Servers Domäne oder Arbeitsgruppe, W2K8 oder W2KR2, Service Pack? Im Sekundentakt tauchen stündlich Was denn jetzt - sekündlich oder stündlich? :confused: Wie ist die lokale Sicherheitsrichtlinie "Network Access: Sharing and security model for local accounts" festgelegt? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 25. Juni 2012 Melden Teilen Geschrieben 25. Juni 2012 Was kann ich dagegen tun? Einen Reverse Proxy einsetzen. Zitieren Link zu diesem Kommentar
namelessjames 10 Geschrieben 25. Juni 2012 Autor Melden Teilen Geschrieben 25. Juni 2012 Hallo! :) Willkommen an Board. Danke, hallo :) Domäne oder Arbeitsgruppe, W2K8 oder W2KR2, Service Pack? Domäne, W2K8 SP2, Build 6002 Was denn jetzt - sekündlich oder stündlich? :confused: Haha, entschuldigung - sekündlich. :) Wie ist die lokale Sicherheitsrichtlinie "Network Access: Sharing and security model for local accounts" festgelegt? Klassisch - lokale Benutzer authentifizieren sich als sie selbst. Gastkonto ist deaktiviert. Einen Reverse Proxy einsetzen. Okay - wie funktioniert das Ganze dann? Ich habe damals einen reverse Lookup eingestellt, weil ich von Mailservern auf Blacklists landete. Ich würde dafür mod_proxy verwenden - oder ist das zu einfach gedacht? Besten Dank und Grüße! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.