Bernder 10 Geschrieben 20. Dezember 2010 Melden Teilen Geschrieben 20. Dezember 2010 Hallo Zusammen, meine Ereignisanzeige ist überflutet mit tausenden von folgenden Fehlermeldungen die sich vorgestern in einem Zeitraum von 9 Stunden alle 4 Sekunden wiederholt haben, der einzige unterschied zwischen den vielen Ereignissen ist der Benutzername der wechselt durch über alle möglichen Benutzernamen (administrator, adminisdrador, test, mail, alex, manager, guest, new, info, backup, 111, 222, 123, etc....) Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: alice Domäne: Anmeldetyp: 3 Anmeldevorgang: Advapi Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Name der Arbeitsstation: [MEIN SERVERNAME] Aufruferbenutzername: [MEIN SERVERNAME]$ Aufruferdomäne: [MEIN DOMÄNENNAME] Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 1568 Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp Nun inzwischen ist es ja schon zu spät, die letzten 2 Tage war es wieder ruhig. Ich hätte trotzdem ein paar Fragen. 1. Warum sehe ich keine Quellnetzwerkadresse und Port? 2. Was für ein Art von Anmeldung könnte das gewesen sein? Ich habe folgende 'nur' Services vom Internet aus erreichbar: Port 80 (kleine Homepage unter IIS) Port 443 (Exchange Active Sync für PDA Synchronisation) Port 25 (Ist ja Hauptsächlich ein Mailserver mit Exchange ;-)) Ich würde halt gerne wissen auf welchen Weg das ganze passiert ist, aber empfinde das Eregnisprotkoll hier etwas sehr dürftig an Informationen :-( Ich hoffe ihr könnt mir helfen. Vielen Dank Bernd Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 20. Dezember 2010 Melden Teilen Geschrieben 20. Dezember 2010 Hallo Bernd, und herzlich willkommen an Board :) Und du bist sicher, dass nicht auch Port 3389 für RDP geöffnet ist? LG Günther Zitieren Link zu diesem Kommentar
Bernder 10 Geschrieben 20. Dezember 2010 Autor Melden Teilen Geschrieben 20. Dezember 2010 Hi Günther, danke für Deine Antwort, ja ich bin mir sicher dass RDP nicht von draussen geht, hab vorsichtshalber mal einen RDP Login mit falschen Benutzer Passwort probiert, dann ist es auch Anmeldetyp 10 und die Quell-IP/Port stehen sauber drin. Bernd Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 20. Dezember 2010 Melden Teilen Geschrieben 20. Dezember 2010 @ Bernder Verwendest du OWA? Zitieren Link zu diesem Kommentar
Bernder 10 Geschrieben 20. Dezember 2010 Autor Melden Teilen Geschrieben 20. Dezember 2010 @ Bernder Verwendest du OWA? Ja OWA und auch ActiveSyn via Exchange (mit iPhone) Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 20. Dezember 2010 Melden Teilen Geschrieben 20. Dezember 2010 Ja OWA und auch ActiveSyn via Exchange (mit iPhone) Dann war es vmtl. ein Brute Force Angriff auf OWA. Anmeldetyp 3 spricht auch dafür. Zitieren Link zu diesem Kommentar
Bernder 10 Geschrieben 20. Dezember 2010 Autor Melden Teilen Geschrieben 20. Dezember 2010 Dann war es vmtl. ein Brute Force Angriff auf OWA. Anmeldetyp 3 spricht auch dafür. Ich hab jetzt mal eine Emailüberwachung der Event-ID 529 (mit eventtriggers.exe) eingerichtet, dass ich beim nächsten mal wenn sowas vorkommen sollte live dabei sein kann und nen Wireshark dazwischen hänge. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 20. Dezember 2010 Melden Teilen Geschrieben 20. Dezember 2010 Ich hab jetzt mal eine Emailüberwachung der Event-ID 529 (mit eventtriggers.exe) eingerichtet, dass ich beim nächsten mal wenn sowas vorkommen sollte live dabei sein kann und nen Wireshark dazwischen hänge. Warum nicht Wireshark direkt triggern? Von mir aus parallel dazu eine Notification Mail. Zitieren Link zu diesem Kommentar
Bernder 10 Geschrieben 22. Dezember 2010 Autor Melden Teilen Geschrieben 22. Dezember 2010 Warum nicht Wireshark direkt triggern? Von mir aus parallel dazu eine Notification Mail. Weil ich dann alleine jetzt nach 3 Tagen (in denen es ja nicht mehr auftauchte) unzählige Gigabytes an Traffic in Form von CPU, RAM, und vor allem Festplattenkapazität verschwendet hätte ;) (Soviel Resourcen hab ich leider nicht, der Server läuft mit 512MB RAM und einer 80 GB Platte...) Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 22. Dezember 2010 Melden Teilen Geschrieben 22. Dezember 2010 Weil ich dann alleine jetzt nach 3 Tagen (in denen es ja nicht mehr auftauchte) unzählige Gigabytes an Traffic in Form von CPU, RAM, und vor allem Festplattenkapazität verschwendet hätte ;) Wer sagt denn das die Aufzeichnung dauerhaft laufen soll? Wenige Pakete reichen doch schon um die Quell-IP mitzuschneiden. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 22. Dezember 2010 Melden Teilen Geschrieben 22. Dezember 2010 (Soviel Resourcen hab ich leider nicht, der Server läuft mit 512MB RAM und einer 80 GB Platte...) Und du bist sicher dass man so etwas "Server" nenne sollte...? Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 22. Dezember 2010 Melden Teilen Geschrieben 22. Dezember 2010 @ DR- Melzer. Seit wann steht den Server für perfomante Hardware und viele Resourrcen? :rolleyes: Laut Wiki: Zitat: "" Der Begriff Server (engl. für Diener) bezeichnet entweder eine Software (Programm) im Rahmen des Client-Server-Modells oder eine Hardware[1] [2] (Computer), auf der diese Software (Programm) im Rahmen dieses Konzepts abläuft. """ So und wenn da halt eine Zugriffsoftware wie OWA oder der Server nur als Portal dient für Zugriffe von aussen ist doch eig. egal was da drin verbaut ist... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.