foxm2k 10 Geschrieben 27. November 2012 Melden Teilen Geschrieben 27. November 2012 Beim durchschaun der Events (wegen anderem Thread bin ich auf folgendes gestossen: Überwachung gescheitert - Microsoft Windows Sicherheitsüberprüfung Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: WINSERVER2008R2$ Kontodomäne: xxxyyy [von mir ersetzt] Anmelde-ID: 0x3e7 Anmeldetyp: 10 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: owner Kontodomäne: WINSERVER2008R2 Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc0000064 Prozessinformationen: Aufrufprozess-ID: 0x17b8 Aufrufprozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Arbeitsstationsname: WINSERVER2008R2 Quellnetzwerkadresse: 61.177.119.233 Quellport: 62407 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: User32 Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. Seit dem 15.11.2012 (also die letzten 12 Tage) hab ich 16.354 von diesen Einträgen drin! Ein paar der IP-Adressen hab ich getestet, der Geo-Locator sagt, daß sie zu China gehört. Eine konnte ich Jamaica zuordnen. Die Portnummern unter Quellports varieren jeweils Sind das hacking-Versuche? Sollte ich mir Sorgen machen? Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 27. November 2012 Melden Teilen Geschrieben 27. November 2012 Hi. Welche Ports sind auf der Firewall offen? LG Günther Zitieren Link zu diesem Kommentar
foxm2k 10 Geschrieben 28. November 2012 Autor Melden Teilen Geschrieben 28. November 2012 Hallo Günther, ich sollte dazu sagen: Ich setze den Server in einer privaten Umgebung ein (MSDNAA-Lizenz). Du meinst in der Hardwarefirewall? Nur Port 443 (SSL) und 3389 eben für RDP. In die Windowsfirewall haben sich ein paar der Dienste eingetragen AD, etc. hab ich aber nichts manuell hinzugefügt. Was mir jetzt noch aufgefallen ist: Der obige Login-Versuch ging aufs Konto "owner", aber auch die Kontonamen variieren ständig. Darunter sind z.B.: john a guest sql david backup root 123 console und einige mehr. Sieht nicht sauber aus oder? Nachdem ich hinter einer DSL-Leitung hänge, scheinen der oder die Angreifer auch meine dyndns-Adresse zu haben... sonst könnte das ja nicht über Tage hinweg so gehn. Grüße, Andreas Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 28. November 2012 Melden Teilen Geschrieben 28. November 2012 Lege den RDP Port auf der FW auf einen Port oberhalb 50000 mit Weiterleitung auf 3389. HTTPS ggf. ebenso. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 28. November 2012 Melden Teilen Geschrieben 28. November 2012 und 3389 eben für RDP Entweder wie von djmaker empfohlen oder den RDP Zugriff überhaupt nur über VPN. Ist klar, wenn so ein Skriptkiddie einen offenen Port 3389 findet, dass man da ein bisschen rumprobiert. LG Günther Zitieren Link zu diesem Kommentar
foxm2k 10 Geschrieben 30. November 2012 Autor Melden Teilen Geschrieben 30. November 2012 Hallo ihr zwei, danke für eure Tipps! Ich hab ihn jetzt auf einen Customport gelegt und seitdem ist Ruhe :-) Ich verbinde mich eh meistens über VPN (zur Fritzbox), besonders wenn ich in fremden WLANs unterwegs bin, aber wollte mir die Alternative offen lassen. Danke sehr! Grüße, Andreas Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 30. November 2012 Melden Teilen Geschrieben 30. November 2012 Schau dir evtl mal Remote Access an. Dann brauchst du auf der Firewall nur noch Port 443 aufmachen. Nutze ich derzeit zu HAuse nur noch (hatte auch erst 3389 offen) Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 30. November 2012 Melden Teilen Geschrieben 30. November 2012 Das setzt aber IPV6 voraus, und zumindest bei meiner Fritzbox 7390 funktioniert das noch nicht. Scheint ein AVM Problem zu sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.