Toon posts:

[2003 server] Niet te verklaren Security Failure Audit

Pagina: 1
Acties:

woensdag 18 augustus 2010 09:43

Acties:
  • nico_van_wijk
  • Registratie: Januari 2008
  • Laatst online: 05-11-2025

nico_van_wijk

Topicstarter
Een aantal malen per dag zie ik gedurende een half uur iedere seconde een Failure Audit in de eventlog van onze Windows 2003 Server (dns & domeincontroller). De username verschilt vaak per reeks: manager, user administrador, administrator, admin... (Er worden dus usernames gebruikt welke niet in de AD aanwezig zijn).

Gezien het ip-adres 127.0.0.1 is lijkt het dus van de machine zelf te komen. Ik heb alle services afgelopen, maar kan niets vinden. Heb gezocht op internet maar kan niet echt een oplossing vinden. Ook 3th party software is niet de oorzaak.Heeft er iemand enig idee in welke richting ik moet zoeken?

Event Type: Failure Audit
Event Source: Security
Event Category: Account Logon
Event ID: 672
Date: 18-8-2010
Time: 8:50:53
User: NT AUTHORITY\SYSTEM
Computer: SRC-FS01
Description:
Authentication Ticket Request:
User Name: manager
Supplied Realm Name: SRC
User ID: -
Service Name: krbtgt/SRC
Service ID: -
Ticket Options: 0x40810010
Result Code: 0x6
Ticket Encryption Type: -
Pre-Authentication Type: -
Client Address: 127.0.0.1
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:

[ Voor 3% gewijzigd door nico_van_wijk op 18-08-2010 09:51 ]

woensdag 18 augustus 2010 10:55

Acties:
  • Oogje
  • Registratie: Oktober 2003
  • Niet online

Oogje

nico_van_wijk schreef op woensdag 18 augustus 2010 @ 09:43:
Een aantal malen per dag zie ik gedurende een half uur iedere seconde een Failure Audit in de eventlog van onze Windows 2003 Server (dns & domeincontroller). De username verschilt vaak per reeks: manager, user administrador, administrator, admin... (Er worden dus usernames gebruikt welke niet in de AD aanwezig zijn).

Gezien het ip-adres 127.0.0.1 is lijkt het dus van de machine zelf te komen. Ik heb alle services afgelopen, maar kan niets vinden. Heb gezocht op internet maar kan niet echt een oplossing vinden. Ook 3th party software is niet de oorzaak.Heeft er iemand enig idee in welke richting ik moet zoeken?

Event Type: Failure Audit
Event Source: Security
Event Category: Account Logon
Event ID: 672
Date: 18-8-2010
Time: 8:50:53
User: NT AUTHORITY\SYSTEM
Computer: SRC-FS01
Description:
Authentication Ticket Request:
User Name: manager
Supplied Realm Name: SRC
User ID: -
Service Name: krbtgt/SRC
Service ID: -
Ticket Options: 0x40810010
Result Code: 0x6
Ticket Encryption Type: -
Pre-Authentication Type: -
Client Address: 127.0.0.1
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Dat klinkt als hackpogingen...aangezien er usernames geprobeerd worden die redelijk generiek zijn en over het algemeen veel rechten hebben.

Toevallig de RDP-poort openstaan voor de hele wereld naar een server toe?

Any errors in spelling, tact, or fact are transmission errors.

woensdag 18 augustus 2010 11:33

Acties:
  • nico_van_wijk
  • Registratie: Januari 2008
  • Laatst online: 05-11-2025

nico_van_wijk

Topicstarter
Klopt poort staat open. Maar als client adress geeft hij op 127.0.0.1, dus dan komt het toch vanaf de machine zelf en niet vanaf buiten?

woensdag 18 augustus 2010 11:42

Acties:
  • nico_van_wijk
  • Registratie: Januari 2008
  • Laatst online: 05-11-2025

nico_van_wijk

Topicstarter
Je hebt gelijk, ook vanaf buiten blijf je 127.0.0.1 zien. Het komt inderdaad vanaf buiten.

Hoe zou ik kunnen loggen waar dit vandaan komt, zodat ik die ip's kan blokken.

[ Voor 13% gewijzigd door nico_van_wijk op 18-08-2010 11:44 ]

woensdag 18 augustus 2010 11:47

Acties:

Verwijderd

nico_van_wijk schreef op woensdag 18 augustus 2010 @ 11:42:
Je hebt gelijk, ook vanaf buiten blijf je 127.0.0.1 zien. Het komt inderdaad vanaf buiten.

Hoe zou ik kunnen loggen waar dit vandaan komt, zodat ik die ip's kan blokken.
De ip's blokken gaat je niet helpen, het is waarschijnlijk een botnet en de pogingen komen dan steeds vanaf een ander ip.

Is er een reden waarom je een DC vanaf buitenaf benaderbaar moet hebben?

woensdag 18 augustus 2010 12:19

Acties:
  • nico_van_wijk
  • Registratie: Januari 2008
  • Laatst online: 05-11-2025

nico_van_wijk

Topicstarter
Het is een fileserver waar dns en de ad op draait. Toch wel handig om remote te kunnen bereiken.

woensdag 18 augustus 2010 12:21

Acties:
  • FireDrunk
  • Registratie: November 2002
  • Laatst online: 30-01 10:07

FireDrunk

Gebruik dan iets veiligs? VPN ofzo...
Of installeer SSH en tunnel je RDP verbinding...

Even niets...

woensdag 18 augustus 2010 12:22

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 30-01 21:35

DiedX

nico_van_wijk schreef op woensdag 18 augustus 2010 @ 12:19:
Het is een fileserver waar dns en de ad op draait. Toch wel handig om remote te kunnen bereiken.
via vpn? (shivers)

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 18 augustus 2010 12:32

Acties:
  • nico_van_wijk
  • Registratie: Januari 2008
  • Laatst online: 05-11-2025

nico_van_wijk

Topicstarter
Jullie hebben gelijk, ik kan hem inderdaad ook via VPN opzetten. Hoe groot is de kans dat ze er op een gegeven moment toch inkomen?

woensdag 18 augustus 2010 12:36

Acties:

Verwijderd

100% :) Op een gegeven moment zullen ze het wachtwoord raden, maar dit kan jaren duren.

Wees verstandig en zet zoiets open via VPN zodat niet de hele buitenwereld erbij kan. Voor hetzelfde geldt hebben ze een 0day in het RDP protocol en zijn ze zo binnen.

woensdag 18 augustus 2010 12:57

Acties:
  • nico_van_wijk
  • Registratie: Januari 2008
  • Laatst online: 05-11-2025

nico_van_wijk

Topicstarter
Ga ik doen. Bedankt voor het meedenken!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq