Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

klop klop, probeert er iemand binnen te komen?

Pagina: 1
Acties:

zondag 5 mei 2013 21:30

Acties:
  • geedsen
  • Registratie: Juni 2007
  • Laatst online: 29-10 08:40

geedsen

Topicstarter
MIn of meer toevallig zie ik in mijn security log van mijn server dat er sinds de middag heel veel audit failures zijn. Ze zien er zo uit:

An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: STONEHENGE$
Account Domain: MYDOMAIN
Logon ID: 0x3e7

Logon Type: 10

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: owner
Account Domain: STONEHENGE

Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064

Process Information:
Caller Process ID: 0x2b1c
Caller Process Name: C:\Windows\System32\winlogon.exe

Network Information:
Workstation Name: STONEHENGE
Source Network Address: 91.215.25.235
Source Port: 3320

Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0


De account name die faalt is steeds anders 'admin, administrator, owner, user1,user2 etc).
En ook de source port wijzigt steeds.

Lijkt me dat iemand probeert binnen te komen (rdp??)

whois over 91.215.25.235

person: Dmytro Nikirsa
address: Ukraine, Chernivtsi
address: 114A/218, Nezalezhnosti ave.
phone: +38 0372 558341
nic-hdl: DMNI-RIPE
org: ORG-PFV1-RIPE
mnt-by: FENIXVT-MNT
source: RIPE # Filtered
inetnum: 91.215.24.0 - 91.215.27.255


Ik hen nu een inbound firewall rule om alles van 91.215.24.0 - 91.215.27.255 te blokken in mijn firewall.
De juiste oplossing? De reden is denk ik dat ik een standard RDP poort gebruik. Maar dat moet weer omdat die port weer open staat op mijn werk en anders kan ik er dus niet bij komen. Of is er nog iets anders dat ik kan/moet doen?

Thanks

Ben

zondag 5 mei 2013 21:36

Acties:
  • The Realone
  • Registratie: Januari 2005
  • Laatst online: 27-11 14:26

The Realone

Dat is vrij normaal bij het open zetten van 3389. Die range blokkeren gaat je vermoedelijk niet helpen aangezien ze waarschijnlijk uit alle hoeken van de wereld (gaan) komen.

Een betere optie zou zijn om te RDP'en via een VPN zodat je RDP poort dicht kan, of een whitelist in je firewall instellen waarin alleen de door jou gebruikte IP-adressen mogen verbinden.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq