creetz 10 Geschrieben 30. September 2006 Melden Teilen Geschrieben 30. September 2006 Hallo zusammen, die Fehlerüberwachunglogs unseres Webservers bringen in letzter Zeit viele Meldung. Können Sie mir sagen, was sich hinter diesen Meldungen verbirgt !? Ich befürchte, dass man versucht unseren Webserver anzugreifen. Hinter der in der Meldung genannten IP-Adresse verbirgt sich laut ripe.net nämlich ein Konkurenzunternehmen. -------------------------------------------------------------------------------- Meldung1: Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Domäne: P15190942 Anmeldetyp: 8 Anmeldevorgang: Advapi Authentifizierungspaket: Negotiate Name der Arbeitsstation: -hier steht der eigene Name des Webservers drin- Aufruferbenutzername: NETZWERKDIENST Aufruferdomäne: NT-AUTORITÄT Aufruferanmeldekennung: (0x0,0x3E4) Aufruferprozesskennung: 1764 Übertragene Dienste: - Quellnetzwerkadresse: Quellport: 1393 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- Meldung2: Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: scr Arbeitsstation: -hier steht der eigene Name des Webservers drin- Fehlercode: 0xC0000064 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. -------------------------------------------------------------------------------- Das verwunderliche ist nämlich auch, dass vor dem (externen) Webserver eine FW steht die nur unsere öffentliche IP-Adresse hier zum konfigurieren (3389 rdp, 22 ssh) zulässt. Port 80 und 443 ist natürlich für "any" freigegeben. Warum kann sich diese IP trotzdem versuchen anzumelden ? Gruß, Nico Zitieren Link zu diesem Kommentar
FutureTech.Ltd 10 Geschrieben 30. September 2006 Melden Teilen Geschrieben 30. September 2006 Ersmal Guten Tag. Ich weiß das der Router von einer Internen Firewall durchaus als Angreifer ermittelt werden kann, dazu kommt es aber nur wenn diese Firewall falsch eingestellt wurde,nämlich so das alle Ip.s und Freigaben Eingestellt sowie Netzwerk Ip.s inbegriffen sind, aber der Router oder die Netzwerkkarte einen Ip wechsel unterzogen worden wurden. Das es ein anderes Unternehmen ist bezweifle ich jedoch nicht das irgendwer versuchen könnte in das Subsystem einzudringen mit hilfe einer geklauten Ip ja ja das geht auch , dann sieht es vieleicht nur so aus wie ein Spionage Angriff auf den Server allerdings ist es jezt ratsam die Router kennung bzw. die Kennwörter für das System zu ändern und evtl. auch das Adjusting DHCP Lease Time mal zu überdenken. MFG. Zitieren Link zu diesem Kommentar
creetz 10 Geschrieben 1. Oktober 2006 Autor Melden Teilen Geschrieben 1. Oktober 2006 Danke für dein Versuch mir zu helfen. Was du mir mit dem ersten Abschnitt sagen willst weiß ich nicht so genau. Zum 2. Abschnitt muss ich sagen, dass ich es sehr verwunderlich fände wenn sich jmd genau deren IP ausdenkt. Weiterhin lässt sich bei einem gemieteten IIS Webserver nicht einfach die IP ändern. Und selbst wenn .. jeder hat ja den Domänennamem der wiederrum auf die IP zeigen sollte ;-) In den Logs habe ich noch folgende ungewöhnliche Zugriffe von der Konkurenz-IP gefunden: 2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /_vti_bin/owssvr.dll UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 200 0 3 2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /MSOffice/cltreq.asp UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 404 0 2 Auf einer von Google gefunden Seite wurde berichtet, dass es sich dabei um einen alten Wurm handelt der versucht herauszufinden ob es sich um einen IIS handelt. Kann das jmd bestätigen ? SELFHTML Forumsarchiv / 2005 / Mai / Was ist owssvr bzw. ctlreq ?? Dann wäre ja nämlich die Tatsache eines Angriffversuchs bewiesen Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 1. Oktober 2006 Melden Teilen Geschrieben 1. Oktober 2006 Was nicht beweist dass die böse Konkurrenz geziehlt / vorsätzlich versucht, Euer System aufzubohren. Im Zweifelsfall haben die ein unfähigen Admin und einen verwurmten Computer der da sein Unwesen treibt. Entweder deren Netz in der Firewall erden oder / und beim ISP der Konkurrenz eine Beschwerde einkippen (Kontakt findet man i.d.R. im RIPE). Gruss Markus Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 2. Oktober 2006 Melden Teilen Geschrieben 2. Oktober 2006 Die DLL gehört zu den Frontpage-Erweiterungen. Früher (sehr viel früher) gab es hier mal Sicherheistlücken, über die man eindringen konnte. Wenn du Frontpage nicht verwendest (wer macht das schon), kann Du Die Frontpage-Erweiterungen deinstallieren. Die andere URL sagt mir nichts. Gehört vielleicht zur Serverversion von Powerpoint. Vielleicht lässt da jemand eine Art Scanner nach bekannten Sicherheitslöchern laufen. -Zahni Zitieren Link zu diesem Kommentar
creetz 10 Geschrieben 2. Oktober 2006 Autor Melden Teilen Geschrieben 2. Oktober 2006 Die DLL gehört zu den Frontpage-Erweiterungen. Früher (sehr viel früher) gab es hier mal Sicherheistlücken, über die man eindringen konnte. Wenn du Frontpage nicht verwendest (wer macht das schon), kann Du Die Frontpage-Erweiterungen deinstallieren. Die andere URL sagt mir nichts. Gehört vielleicht zur Serverversion von Powerpoint. Vielleicht lässt da jemand eine Art Scanner nach bekannten Sicherheitslöchern laufen. -Zahni Ja, das mit dem Scanner halte ich für ziemlich wahrscheinlich. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.