Remote Access Einbruchsversuch?

[fanman66 10]

Hallo,

 

habe einen Win 2003 SBS Server, den ich ab und zu per Remote verwalte (mit DynDns usw.)

 

Nun habe ich im Ereignisprotokoll folgendes gefunden

 

Der Benutzer "Administrator" hat sich aus folgendem Grund nicht authentifiziert: Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde.

 

bez. durch Eventsentry

 

EVENT # : 787878

EVENT LOG : Security

EVENT TYPE : Audit Failure

SOURCE : Security

CATEGORY : An-/Abmeldung

EVENT ID : 529

USERNAME : NT-AUTORITÄT\SYSTEM

COMPUTER : XXX

TIME : 12.04.2006 10:37:10

MESSAGE : Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: Administrator

Domäne: XXX

Anmeldetyp: 3

Anmeldevorgang: IAS

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Name der Arbeitsstation:

Aufruferbenutzername: XXX$

Aufruferdomäne: XXX

Aufruferanmeldekennung: (0x0,0x3E7)

Aufruferprozesskennung: 1108

Übertragene Dienste: -

Quellnetzwerkadresse: -

Quellport: -

 

und

 

EVENT # : 2071

EVENT LOG : System

EVENT TYPE : Warning

SOURCE : RemoteAccess

EVENT ID : 20187

COMPUTER : XXX

TIME : 12.04.2006 10:37:11

MESSAGE : Der Benutzer "Administrator" hat sich aus folgendem Grund nicht authentifiziert: 4112

 

Was hat das zu bedeuten - wirklich einen Einbruchsversuch? Hatte das bisher noch nie und ich bin der einzige, der sich Remote einwählt!

 

Hilfe!!!!!!!!!!!!!

 

Fanman

[XP-Fan 220]

Hallo,

 

wie oft ?

 

Hast du dich mal beim anmelden vertippt und dann erneut das Passwort richtig eingegeben ?

[fanman66 10]

Hi,

 

heute - war ja heute - war ich gar nicht dran! Müßte ich ja wissen.

 

Außerdem habe ich jetzt nochmal remote nachgesehen und habe eigentlich dem Administrator den Remote Zugang verweigert (über seine Eigenschaften usw.) und ich konnte mich auch trotzdem einwählen. Habe ja noch einen anderen Benutzer mit Admin-Rechten, den ich eigentlich remote benutze.

 

Wie kann ich dem Admin wirklich die Berechtigung nehmen oder haben automatisch alle Admins das Recht? Ist ja noch schwieriger, das Benutzerkonto und PW herauszufinden, gelle!!

 

Fanman

[XP-Fan 220]

Hallo

 

" und ich konnte mich auch trotzdem einwählen "

 

Einwählen oder Anmelden ?

[fanman66 10]

Also, ich "wähle" mich per RemoteDesktopVerbindung von zu Hause auf den Server ein und melde mich natürlich dabei an.

 

Ich hatte vergessen, daß ich dem Admin die Berechtigung verweigert hatte.

 

Und diesen RemoteDEsktopVerbindung hat wohl jemand versucht, der definitiv nicht ich war!

 

Ich war nicht vor Ort beim Server, sondern zu Hause.

 

RemoteDesktop ist ja einwählen per DSL und dabei anmelden - was ja logisch ist.

 

Fanman

[XP-Fan 220]

RemoteDesktop ist ja einwählen per DSL und dabei anmelden - was ja logisch ist.

 

 

Logisch ist 0 oder 1.

 

Selbstverständlich wäre für mich : VPN und dann RDP

[fanman66 10]

Danke, weiß ich auch.

 

Aber was ist nun mit dem Ereignis?

 

Ist das ein Einbruchsversuch? Wie kommt jemand an den Dyndns-Eintrag oder hat es mit einem Port-Scan zu tun? Antwortet der Router, dass der Port weitergeleitet wird?

 

Fanman

[Darkmind 10]

Danke, weiß ich auch.

 

hat es mit einem Port-Scan zu tun?

 

Fanman

 

hi

 

ja evtl. schon , 3389 gilt als standard scan port bei den meistens Port scannern.

 

ich würde dir so oder so vpn empfehen aber wenn du es schon so direkt machst, dann den "terminal server" auf nen anderen Port legen:

/edit: müsste mit sbs ebenfalls funktionieren (nicht selbst getestet)

 

hier gibst nen how to:

http://support.microsoft.com/default.aspx?scid=kb;en-us;555031

 

Grüsse

 

Darkmind

[grizzly999 11]

RDP und RAS sind zwei paar Stiefel. Ist das RRAS aktiviert? Das ist eine RRAS Meldung, keine RDP Meldung

 

 

grizzly999