Gisteravond had ik bij een klant een probleem, waar ik nog steeds niet uit ben.
Ze hadden een redelijk openstaande Cisco 850 router in een single NIC sbs server config. Daarnaast een pc of 10 en een 2003 Terminal server.
De avond ervoor werd de internet verbinding heel erg traag. Het bleek dat de upload van de router naar het internet 100% bezig was. Toen ik ging kijken bleek antivirus niks te vinden, 0 tot 1% CPU belasting op de server, geen verdachte processen, intern netwerk werkte prima, geen mail in de queue in exchange, geen errors in de logs, behalve heel veel van de volgende, met verschillende, bestaande usernames, tot vorige week:
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 23/07/10
Time: 4:30:29 PM
User: NT AUTHORITY\SYSTEM
Computer: SERVER
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: backup
Domain:
Logon Type: 3
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: SERVER
Caller User Name: SERVER$
Caller Domain: SUNBURY
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 3588
Transited Services: -
Source Network Address: -
Source Port: -
Server is de SBS server naam.
Ik heb de server in dual NIC mode gezet en de Cisco alleen SMTP verkeer van onze 4 eigen mailservers (die het doorsturen) laten accesteren. Hetzelfde in exchange, only allow connections from : die 4 ip's. NDR's uitgezet...
Maar het probleem was er nog, tenzij ik de SMTP virtual server in exchange stopte. Dan was het meteen over.
Uiteindelijk werd het te laat en dan zit je met een te kleine klant om teveel tijd en geld te besteden, dus heb ik de eerst Default Virtual SMTP Server gestopt en er zelf een bijgemaakt met identieke config... Mail werkt nu en het probleem is voorbij...
Maar wat was het? Was het een hack, een DOS, spammen kan ik bijna uitsluiten (niks in de queue en logs)... was het een bug?
Ze hadden een redelijk openstaande Cisco 850 router in een single NIC sbs server config. Daarnaast een pc of 10 en een 2003 Terminal server.
De avond ervoor werd de internet verbinding heel erg traag. Het bleek dat de upload van de router naar het internet 100% bezig was. Toen ik ging kijken bleek antivirus niks te vinden, 0 tot 1% CPU belasting op de server, geen verdachte processen, intern netwerk werkte prima, geen mail in de queue in exchange, geen errors in de logs, behalve heel veel van de volgende, met verschillende, bestaande usernames, tot vorige week:
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 23/07/10
Time: 4:30:29 PM
User: NT AUTHORITY\SYSTEM
Computer: SERVER
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: backup
Domain:
Logon Type: 3
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: SERVER
Caller User Name: SERVER$
Caller Domain: SUNBURY
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 3588
Transited Services: -
Source Network Address: -
Source Port: -
Server is de SBS server naam.
Ik heb de server in dual NIC mode gezet en de Cisco alleen SMTP verkeer van onze 4 eigen mailservers (die het doorsturen) laten accesteren. Hetzelfde in exchange, only allow connections from : die 4 ip's. NDR's uitgezet...
Maar het probleem was er nog, tenzij ik de SMTP virtual server in exchange stopte. Dan was het meteen over.
Uiteindelijk werd het te laat en dan zit je met een te kleine klant om teveel tijd en geld te besteden, dus heb ik de eerst Default Virtual SMTP Server gestopt en er zelf een bijgemaakt met identieke config... Mail werkt nu en het probleem is voorbij...
Maar wat was het? Was het een hack, een DOS, spammen kan ik bijna uitsluiten (niks in de queue en logs)... was het een bug?
/u/25808/avatar_60.png?f=community){kind=avatar}
Maar ik vraag me echt af wat het was... zeker omdat ik nu veel met netwerk beveiliging bezig ben