MoC88 2 Geschrieben 13. August 2013 Melden Teilen Geschrieben 13. August 2013 (bearbeitet) Hallo zusammen, vielleicht hat ja einer von euch eine Idee. Bei einem frisch aufgesetzten Terminalserver schlägt bei unserer Serverüberwachung die Hackerprüfung an. Hier mal ein Eintrag aus der Ereignisanzeige: ______________________________ Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: T******6$ Kontodomäne: D*****6 Anmelde-ID: 0x3e7 Anmeldetyp: 2 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: administrator Kontodomäne: T******6 Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc0000064 Prozessinformationen: Aufrufprozess-ID: 0x1cc Aufrufprozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Arbeitsstationsname: T******6 Quellnetzwerkadresse: 127.0.0.1 Quellport: 0 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: User32 Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. _____________________________ Das komische ist ja, das sich der Server anscheinend versucht sich an sich selbst anzumelden. Den Server habe ich mal auf Malware usw. gescannt. Es wurde aber nichts gefunden. Auffällige Programme habe ich auch nicht gefunden. Der zweite Terminalserver macht nicht so ein Quatsch. Hat jemand von euch vielleicht noch eine Idee wo man suchen kann?! Vielen Dank schonmal für eure Antworten. Gruß Marco bearbeitet 13. August 2013 von MoC88 Zitieren Link zu diesem Kommentar
lindi200000 12 Geschrieben 13. August 2013 Melden Teilen Geschrieben 13. August 2013 Hi, mal so ins blaue geraten. Ein Dienst mit falschem Benutzername bzw. Passwort? Zitieren Link zu diesem Kommentar
MoC88 2 Geschrieben 14. August 2013 Autor Melden Teilen Geschrieben 14. August 2013 Dienste scheinen OK. Habe ja auch nichts daran gemacht.... Zitieren Link zu diesem Kommentar
MoC88 2 Geschrieben 15. August 2013 Autor Melden Teilen Geschrieben 15. August 2013 Gibt es nicht irgendein Tool, welches sehen kann woher diese Anmeldungen genau kommen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.