Ik heb een windows 2003 servertje onder mij beheer op een klein bedrijf van 3 a 4 mensen/werkstations. Sinds ongeveer een week of 2 a 3 lijkt het alsof er een soort van ddos aan de gang is. ik krijg per dag meer dan 2000 aanvragen voor remote desktop met allerlei verschillende passwords en accounts.
Nou is ons wachtwoord zo opgebouwd dat ze het praktisch gezien niet kunnen raden maar toch.
We zitte bij euronet (das van wanadoo...of andersom) en het gekke is dat de aanvragen alleen uit de range van wanadoo komen. Zo is dit er bijvoorbeeld eentje uit mn event vieuwer.
zoals jullie kunnen zien is het gek dat het werkstation PC-PRIVE heet...dus dat zou kunnen duiden op een trojan. inmiddels hebben we al een redelijke firewall aangeschaft. maar het is een normale inlog procedure maar op vele aantallen per minuut (en zelfs per seconde!) dus dit zal hij niet direct blokeren....
ook heb ik bijvoorbeeld deze:
Die doet dit ongeveer iedere 3 seconden 3 uur lang...zal IIG niet handmatig gebeuren...
wat vinden jullie hiervan en wat eventueel eraan te doen? is het al eens eerder voorgekomen bij iemand?
Nou is ons wachtwoord zo opgebouwd dat ze het praktisch gezien niet kunnen raden maar toch.
We zitte bij euronet (das van wanadoo...of andersom) en het gekke is dat de aanvragen alleen uit de range van wanadoo komen. Zo is dit er bijvoorbeeld eentje uit mn event vieuwer.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| Logon Failure:
Reason: Unknown user name or bad password
User Name: w.lieuwen@wanadoo.nl
Domain:
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: PC-PRIVE
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 81.69.182.xxx
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. |
zoals jullie kunnen zien is het gek dat het werkstation PC-PRIVE heet...dus dat zou kunnen duiden op een trojan. inmiddels hebben we al een redelijke firewall aangeschaft. maar het is een normale inlog procedure maar op vele aantallen per minuut (en zelfs per seconde!) dus dit zal hij niet direct blokeren....
ook heb ik bijvoorbeeld deze:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| Logon Failure:
Reason: Unknown user name or bad password
User Name: administrator
Domain: T9K1K9
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: T9K1K9
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 81.69.239.xxx
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. |
Die doet dit ongeveer iedere 3 seconden 3 uur lang...zal IIG niet handmatig gebeuren...
wat vinden jullie hiervan en wat eventueel eraan te doen? is het al eens eerder voorgekomen bij iemand?
:strip_icc():strip_exif()/u/15793/zwelgje100.jpg?f=community)
anders krijg je dit soort meldingen niet namelijk
/u/8941/pistole60x60.GIF?f=community)
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
:strip_icc():strip_exif()/u/41123/giotto_wash.jpg?f=community)