Toon posts:

[Win2003] Help, Ik word aangevallen !! Wat nu te doen ?

Pagina: 1
Acties:

dinsdag 5 oktober 2004 15:42

Acties:
  • pizzaboertje
  • Registratie: Juni 2004
  • Laatst online: 23:08

pizzaboertje

Topicstarter
Vanmorgen kwam ik onderstaande event 100x tegen in men event log van mijn Windows 2003 SBS Server :

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 10/5/2004
Time: 3:36:40 PM
User: NT AUTHORITY\SYSTEM
Computer: SERVER1
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: administrador
Domain: GOTINK
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: GOTINK
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 82.136.213.237
Source Port: 0


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Ik heb het network adres proberen te traceren maar deze kwam uit bij Tiscali zelf. Als je ziet wil hij proberen toegang te krijgen met de username : administrador (spaans ???). De administrator account is gedisabled en heb een nieuwe account aangemaakt met een ww van 10 letters, 3 cijfers en 5 leestekens. Verder heb ik op deze server McAfee Enterprise draaien met firewall ingebouwd en Symantec Antivirus Corporate.

Wat kan ik nog verder doen om dit tegen te gaan, want er blijven nog steeds events bij komen in men event log.

dinsdag 5 oktober 2004 15:43

Acties:
  • job
  • Registratie: Februari 2002
  • Laatst online: 21-11 13:13

job

Het ip adres is van een tiscali gebruiker die een dsl abbo afneemt.
Dus niet dat je provider zelf zit te hacken.
Wat je kan doen... het ip adres blocken op een firewall
En je log mailen naar de helpdesk van tiscali. (abuse@tiscali.nl)

[ Voor 6% gewijzigd door job op 05-10-2004 15:44 ]

dinsdag 5 oktober 2004 15:44

Acties:

Verwijderd

Firewall aanzetten? Want waarom deel je bestanden via SMB? Bedenk bij jezelf welke diensten je echt aan wilt bieden op het internet en zet alleen deze poorten open.

dinsdag 5 oktober 2004 15:45

Acties:

Verwijderd

Hmm, heb ik eerder gezien, toen bleek dat de netwerkkaart die aan het internet hing van de server nog een vinkje had staan bij "client for microsoft networks" en "file and printersharing".

Voor de duidelijkheid: structuur was daar zo: inet -> server met isa -> swithes/hubs -> clients.

dinsdag 5 oktober 2004 15:46

Acties:

Verwijderd

ik zie neit zo snel het gevaar erin je ben gewoon zogenaamd "gescanned" dan wordt meestal een lijst van users gecroslist emt een lijst van passwd's als jij je pc goed heb beveiligd dmv een goede username en een "ingewikkeld" passwoord dan is er niks aan de hand , ovirgens gebeurt dit bij de meeste pc's wel eens allen meeste mensen merken het nog geen eens omdat ze simpelweg nooit in hun eventlogs lezen

[ Voor 26% gewijzigd door Verwijderd op 05-10-2004 15:52 ]

dinsdag 5 oktober 2004 15:58

Acties:
  • FragNeck
  • Registratie: Augustus 2000
  • Laatst online: 01-12 16:01

FragNeck

.

Maak een nieuw admin account aan, rename je administrator account naar 204kjhsfa3432 of zoiets, en je hebt al 80% minder kans op een succesvolle hack.

http://eu.battle.net/d3/en/profile/Paus-2178/hero/2313958

dinsdag 5 oktober 2004 16:03

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

FragNeck schreef op 05 oktober 2004 @ 15:58:
Maak een nieuw admin account aan, rename je administrator account naar 204kjhsfa3432 of zoiets, en je hebt al 80% minder kans op een succesvolle hack.
'k weet niet precies waar je die 80% op baseert, maar renamen heeft niet zo gek veel zin als je de naam van het admin account gewoon op kunt vragen, tenzij je met deze policy aan de gang bent gegaan.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

dinsdag 5 oktober 2004 16:15

Acties:
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

pizzaboertje schreef op 05 oktober 2004 @ 15:42:
[...]Wat kan ik nog verder doen om dit tegen te gaan, want er blijven nog steeds events bij komen in men event log.
Van die events heb je verder geen last, hoor.
Maar het is wel kwalijk dat je de Client for Microsoft Networks en File and Printer Sharing aan hebt staan op de netwerk kaart die aan internet hangt. Deze twee vinkjes in de properties van de netwerk kaart in kwestie even uitzetten en je bent 1) veiliger en 2) van die events af

QnJhaGlld2FoaWV3YQ==

woensdag 6 oktober 2004 19:22

Acties:
  • vliegjong
  • Registratie: Januari 2003
  • Laatst online: 08-08-2017

vliegjong

Bump!

En McAfee Enterprise en Symantec AV op 1 platform gaat ook niet best.
McAfee Enterprise us een VSE7.1 / 8 neem ik aan.

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq