Toon posts:

Wordt ik gehacked?

Pagina: 1
Acties:
  • 423 views sinds 30-01-2008
  • Reageer

woensdag 9 januari 2008 08:59

Acties:

Verwijderd

Topicstarter
Beste tweakers,

Achtergrond info
Ik zit hier bij een bedrijf waar alle poorten op poort 25 na voor de e-mail in "stealth" modus staan (bekeken via grc.com). Behalve e-mail is er geen NAT of poort open van buiten naar binnen toe. Op de server en elk werkstation draaien alle updates en is Norman antivirus volledig up to date. De (vooral XP professional) werkstations zijn gekoppeld aan een windows 2003 standard server.

Het probleem
In het security log van de server komen extreem veel "failure audit" events voor. Als je die bekijkt dan zijn dat users als "webmaster, root, admin en administrator". Allemaal gebruikers die niet eens bestaan op het domein. Omdat het er zoveel zijn verwacht ik een brute force attack.

Maar toch snap ik dat niet. In de domain policy staat dat accounts gelocked worden na 5 verkeerde pogingen. Dit lijkt volgens het eventlog niet te gebeuren. Als ik het zelf test met een account dan wordt die wel degelijk gelocked.

Verder snap ik niet hoe dit kan. Het lijkt mij sterk dat het van buitenaf gebeurd omdat er gewoon geen verbinding mogelijk is.

Er staan ook geen "open" wireless accesspoints ergens aan het netwerk en er is geen werkstation met een eigen internet lijn (alles gaat via de server / firewall).

Als je de "workstation name" bekijkt dan is dat de naam van de server zelf (waarvandaan de pogingen af lijken te komen). Het logon type is 3 (network). Deze is alleen volgens de virusscanner niet geinfecteerd. Ik heb ook de services bekeken, maar er draait geen enkele service onder vreemde credentials.

Iemand enig idee wat dit nog zou kunnen zijn? Ik wil het liefst zo snel mogelijk van deze meldingen af :)

woensdag 9 januari 2008 09:00

Acties:
  • JohnStaakke
  • Registratie: Oktober 2007
  • Laatst online: 26-01 10:11

JohnStaakke

Zijn dat niet gewoon portscans op port 139 met een default dictionary om te kijken of er ergens een share open staat?

woensdag 9 januari 2008 09:02

Acties:
  • Koppensneller
  • Registratie: April 2002
  • Laatst online: 20-02 14:17

Koppensneller

winterrrrrr

Je geeft aan dat accounts na 5 mislukte logins op slot worden gezet, en dat de account die worden geprobeerd te 'hacken' niet bestaan. Dan zie ik persoonlijk niets vreemds, accounts die niet bestaan kun je immers niet locken...

woensdag 9 januari 2008 09:14

Acties:

Verwijderd

Topicstarter
Bedankt voor de snelle reacties!,

@JohnStaakke, poort 139 staat in stealth modus en zal van buitenaf nooit door kunnen komen naar de server. Als dit gebeurd van binnenaf dan vind ik het heel raar dat er accounts als "root, admin, webmaster, etc" worden gebruikt. Als dit "gewone" gebruikers accounts waren geweest dan had ik er mee kunnen leven.

@KoppenSneller, Tnx... dat is inderdaad een erg logische verklaring waarom ze kunnen blijven proberen met deze accounts. Toch kan ik niet begrijpen hoe het mogelijk is dat ze dit kunnen proberen.

woensdag 9 januari 2008 09:17

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Kan je niet proberen de IPs die je herhaaldelijk scannen te blacklisten? Dat moet toch makkelijk te doen zijn met je firewall? 5 aangebrande loginpogingen > hup, op de zwarte lijst :*).

Op Linux, met iptables, is het in ieder geval een eitje, maar met Windows firewalls heb ik zo geen ervaring.

[ Voor 25% gewijzigd door Borromini op 09-01-2008 09:19 ]

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

woensdag 9 januari 2008 09:49

Acties:

Verwijderd

Topicstarter
Ik heb helaas geen IP, de poging lijkt van de server zelf afkomstig:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

Logon Failure:
    Reason:     Unknown user name or bad password
    User Name:  admin
    Domain:     
    Logon Type: 3
    Logon Process:  Advapi  
    Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Workstation Name:   SERVERNAAM
    Caller User Name:   SERVERNAAM$
    Caller Domain:  DOMEINNAAM
    Caller Logon ID:    (0x0,0x3E7)
    Caller Process ID:  1608
    Transited Services: -
    Source Network Address: -
    Source Port:    -


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


Ik zal ook de firewall logs nog eens goed bekijken of ik wat kan vinden, maar omdat ik deze meldingen al in het eventlog tegenkom zal de firewall dit doorgelaten hebben (wat mij sterk lijkt) of komt het probleem echt al van binnen de firewall.

woensdag 9 januari 2008 11:16

Acties:
  • fre0n
  • Registratie: April 2005
  • Laatst online: 22-01 06:55

fre0n

draait er geen service op de 2003 bak die met een bepaald account probeert in te loggen inplaats van met het local account?

https://twitch.tv/magus77nl

woensdag 9 januari 2008 11:20

Acties:
  • The Realone
  • Registratie: Januari 2005
  • Laatst online: 22-02 23:14

The Realone

fre0n schreef op woensdag 09 januari 2008 @ 11:16:
draait er geen service op de 2003 bak die met een bepaald account probeert in te loggen inplaats van met het local account?
Dat zou nog niet verklaren waarom er zoveel verschillende usernames langs komen.

Staat de Remote Desktop functie aan? Zo ja, schakel deze eens uit. Ik kan uit de log niet halen op welke manier er nu eigenlijk geprobeerd wordt in te loggen maar als die via een RD sessie gebeurt dan kun je daar elke gewenste naam proberen, ook al bestaat ie niet. Dan is het ook logisch dat je log aangeeft dat het van de server zelf komt.

woensdag 9 januari 2008 11:37

Acties:
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Staat je netlogon logging op enabled?
Zo zou je de source kunnen achterhalen.

Verder zou het het netdevil virus kunnen zijn: http://www.processlibrary.com/directory/files/advapi

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

woensdag 9 januari 2008 12:34

Acties:

Verwijderd

Topicstarter
@arjants, Tnx!, dat zou inderdaad heel goed kunnen omdat het logon process ook aangeeft advapi. Ik dacht dat het een windows iets zou zijn. Wel heel irritant, want de virusscanners zijn overal up to date en melden niks. Ook kan ik op de server geen advapi.exe bestand vinden. Het is in elk geval zeker wel iets om verder te onderzoeken.

woensdag 23 februari 2011 12:50

Acties:
  • kKaltUu
  • Registratie: April 2008
  • Laatst online: 10-02 10:19

kKaltUu

Profesionele Forumtroll

Massieve bump, heb hier op een server ook last van. ik vraag mij af of TS een oplossing heeft gevonden.
100% dat het een botje is, woordenboek met niet bestaande useraccounts komt al (volgens eventvwr) een paar dagen langs.

Update:

Al het verkeer van de WAN kant afgesloten: Geen resultaat
Al het verkeer van de LAN kant afgesloten: Weer niets
PID gaf aan dat het een windows proces was onder systemaccount.

Uiteindelijk MalwareBytes en AVG full scans laten doen: 3 infecties.

En de oplossing (hopelijk) was de server updaten, op precies het moment dat er een update (zou moeten opzoeken welke) klaar was met installeren en draaide hielden de foutieve inlogevents op. (hiervoor met ~20 p/s).

[ Voor 51% gewijzigd door kKaltUu op 25-02-2011 09:31 ]

Bovenstaande is mijn post. Lees deze aandachtig, dank u wel voor uw medewerking.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq