lumb 18 Geschrieben 31. August 2022 Melden Teilen Geschrieben 31. August 2022 Hi liebe Community, ich habe einen VServer bei Strato und schon wenige Stunden nach Inbetriebnahme hatte ich mehrere Tausend! Events im Eventlog wegen fehlerhaften Anmeldungen. Dann habe ich RDP und Datei/Druckerfreigabe in der Firewall blockiert. Nun habe ich dennoch ca. 150 fehlerhafte Anmeldungen am Tag. Das Log zeigt - Kontoname variiert zwischen üblich möglichen Name, ebenso die Kontodomäne. Die Quell IP scheint die des Angreifers zu sein. Ist hier ersichtlich, welche Ports bzw. über welche Dienste hier versucht wird sich anzumelden? Ich erkenne nur Port 58068 aber was ist das? Auf dem Server ist bisher nichts installiert. Danke und Grüße Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: NULL SID Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: administrator Kontodomäne: HUAWEI Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xC000006D Unterstatus:: 0xC000006A Prozessinformationen: Aufrufprozess-ID: 0x0 Aufrufprozessname: - Netzwerkinformationen: Arbeitsstationsname: HUAWEI Quellnetzwerkadresse: 61.182.50.11 Quellport: 58068 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Zitieren Link zu diesem Kommentar
Gast010 2 Geschrieben 31. August 2022 Melden Teilen Geschrieben 31. August 2022 ich würde IPs und Ports nicht so offen und klar darlegen... Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 31. August 2022 Melden Teilen Geschrieben 31. August 2022 (bearbeitet) vor 7 Minuten schrieb BusterFriendly: ich würde IPs und Ports nicht so offen und klar darlegen... Wieso, ist doch nur des Angreifers. Und nicht registriert, ist also gespooft. Korrektur: Ist doch registriert, chinesisch. Anmeldetyp 3 ist Netzwerk-Anmeldung, kann also ein beliebiges authentifizierungspflichtiges Protokoll sein - RPC, SMB, HTTP, WinRM etc. Mach doch die Firewall komplett zu, wenn die Maschine ungefiltert im Internet steht. bearbeitet 31. August 2022 von cj_berlin Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 31. August 2022 Melden Teilen Geschrieben 31. August 2022 vor 2 Stunden schrieb lumb: schon wenige Stunden nach Inbetriebnahme hatte ich mehrere Tausend! Events im Eventlog wegen fehlerhaften Anmeldungen. Wundert dich das, wenn du einen (Windows) Server ins Netz stellst? Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.934 Geschrieben 2. September 2022 Beste Lösung Melden Teilen Geschrieben 2. September 2022 Moin, Dass versucht wird, sich an einen öffentlich erreichbaren Server anzumelden, ist ja nicht verwunderlich. Es ist auch völlig egal, von oder auf welchen Ports das versucht wird. Wichtig ist, dass es nicht klappt. "Ports" werden oft völlig missverstanden. Ein "offener Port" ist per se überhaupt kein Problem. Das wird es erst, wenn auf dem Port etwas ungesichert reagiert und Dinge ausführt, die nicht erwünscht sind. Das wiederum kann man ja durchaus als Betreiber im Griff haben. Gruß, Nils 2 Zitieren Link zu diesem Kommentar
lumb 18 Geschrieben 24. November 2022 Autor Melden Teilen Geschrieben 24. November 2022 OK. Danke. Ich habe nun einen VPN Server auf dieser Maschine eingerichtet und verbinde mich zuvor per VPN mit dem Server und dann erst per RDP. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.