ITMike 10 Geschrieben 11. März 2005 Melden Teilen Geschrieben 11. März 2005 Folgendes Problem: Hinter einem Router (Hardware) steht ein SBS. 1 NIC externe Verbindung Internet, 1 NIC internes LAN. Da dran hängen 4 Firmen PCs Der Router hat leider seinen Geist aufgegeben und so musste ich vorübergehend den SBS als Router konfigurieren um die Aufgabe des ausgefallenen Routers zu übernehmen. Jetzt bekomme ich heute morgen meinen SBS Bericht per Mail und stelle fest, das über 250 Angriffe stattfanden :mad: Folgendes habe ich dann im Ereignisprotokoll gefunden: Ereignistyp: Fehlerüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 529 Datum: 11.03.2005 Zeit: 00:41:35 Benutzer: NT-AUTORITÄT\SYSTEM Computer: DC Beschreibung: Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: 0006731748805200555242300001@t-online.de Domäne: Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Name der Arbeitsstation: MUSTAFA Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 217.83.185.185 Quellport: 0 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehlerüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 529 Datum: 11.03.2005 Zeit: 00:41:36 Benutzer: NT-AUTORITÄT\SYSTEM Computer: DC Beschreibung: Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: 0006731748805200555242300001@t-online.de Domäne: Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Name der Arbeitsstation: MUSTAFA Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 217.83.185.185 Quellport: 0 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 576 Datum: 11.03.2005 Zeit: 00:41:43 Benutzer: NT-AUTORITÄT\SYSTEM Computer: DC Beschreibung: Besondere Rechte bei neuer Anmeldung: Benutzername: DC$ Domäne: "******" Anmeldekennung: (0x0,0x33613BC5) Berechtigungen: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Alle angelegten Benutzer haben recht sichere Passwörter und NAT ist aktiviert. Ich denke das das eher irgendwelche gelangweilten Kids sind die keine anderen Hobbys haben aber man weis ja nie. Ich denke nicht das irgendetwas passiert ist aber würde doch schon gerne hören was das Board dazu sagt. Hab nämlich kein Bock meinem Chef erklären zu müssen warum plötzlich das ganze LAN offen ist. Also lasst hören was ihr dazu meint und habe ich eine Möglichkeit da irgendetwas gegen zu machen? Immerhin habe ich Rechnername und IP der Angreifer. PS: Router ist schon bestellt und kommt hoffentlich nächste Woche aber bis dahin muss ich leider diese Lösung fahren. Daher bitte keine Aussagen wie -> neuen Router kaufen. Das ist nicht die Frage dieses Posts Zitieren Link zu diesem Kommentar
ernie04 10 Geschrieben 11. März 2005 Melden Teilen Geschrieben 11. März 2005 Ist auf dem SBS der ISA installiert? Oder ist es nur die normale Version des SBS? Ich selbst habe auch mehrere SBS in verschiedenen Domänen in Betrieb, teilweise stehen die Dinger auch direkt im Netz, da sind Angriffe an der Tagesordnung. Aber als echtes Problem sehe ich das nicht an. Zumindest ist bisher nix passiert. Ausserdem denke ich mal, dass Du die Angriffe auch schon vorher hattest, aber jetzt erst mitbekommst, da der Router vorher alle Angriffe von sich aus geblockt hat... Gruß, ernie04 p.s.: Neuen Router kaufen :p Zitieren Link zu diesem Kommentar
ITMike 10 Geschrieben 11. März 2005 Autor Melden Teilen Geschrieben 11. März 2005 Ja das sehe ich eigentlich auch so. Die Log Datei eines D-Link Routers kann man nach 5 Min nicht mehr auslesen weil sie da schon 10 Seiten lang ist. Möchte halt nur sicher gehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.