Hallo, ik zit net bij 2 klanten naar de security logs te kijken en allebij de sites geven de volgende failed audits elke paar seconden:
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 07/09/11
Time: 2:17:12 PM
User: NT AUTHORITY\SYSTEM
Computer: COLGSVR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: admin
Domain:
Logon Type: 3
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: servernaam
Caller User Name: servernaam$
Caller Domain: DOMEIN
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 1932
Transited Services: -
Source Network Address: -
Source Port: -
behalve de username "admin" komen ook "test" en "backup" etc voorbij. Een typische dictionary attack dus. Alleen waarop? In et verleden heb ik wel heel vaak de RDP aanval gezien, maar dan zag je altijd een extern IP bij de source, wat dan weer vaak een of andere chinese server was. Hier is die informatie niet bekend en poort 3389 staat ook helemaal dicht. Logon type 3 staat voor network...
Enige services die open staan:
1723 PPTP VPN
25 SMTP
443 HTTPS (voor OWA)
80 HTTP (voor OWA)
Waar komt deze ellende vandaan? Ik kan me alleen een dictionary attack op PPTP voorstellen, maar daar heb ik nog nooit van gehoord...
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 07/09/11
Time: 2:17:12 PM
User: NT AUTHORITY\SYSTEM
Computer: COLGSVR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: admin
Domain:
Logon Type: 3
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: servernaam
Caller User Name: servernaam$
Caller Domain: DOMEIN
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 1932
Transited Services: -
Source Network Address: -
Source Port: -
behalve de username "admin" komen ook "test" en "backup" etc voorbij. Een typische dictionary attack dus. Alleen waarop? In et verleden heb ik wel heel vaak de RDP aanval gezien, maar dan zag je altijd een extern IP bij de source, wat dan weer vaak een of andere chinese server was. Hier is die informatie niet bekend en poort 3389 staat ook helemaal dicht. Logon type 3 staat voor network...
Enige services die open staan:
1723 PPTP VPN
25 SMTP
443 HTTPS (voor OWA)
80 HTTP (voor OWA)
Waar komt deze ellende vandaan? Ik kan me alleen een dictionary attack op PPTP voorstellen, maar daar heb ik nog nooit van gehoord...
/u/34216/avatar-60x60.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
