none
Napadení serveru nebo jen planý poplach ...

    Dotaz

  • Dobrý den,

    rád bych se zeptal zda nemá někdo nějakou zkušenost s následujícím výpisem z ACCESS logu

        

    Event Type: Success Audit

    Event Source: Security
    Event Category: Logon/Logoff 
    Event ID: 538
    Date: 6.4.2012
    Time: 11:34:24
    User: NT AUTHORITY\ANONYMOUS LOGON
    Computer: SERVER-CZ
    Description:
    User Logoff:
    User Name: ANONYMOUS LOGON
    Domain: NT AUTHORITY
    Logon ID: (0x0,0x6036887)
    Logon Type: 3

    další ten už je zajímavější jelikož tam je i pracovní stanice .. (neznámá) 

    Event Type: Success Audit
    Event Source: Security
    Event Category: Logon/Logoff 
    Event ID: 540
    Date: 6.4.2012
    Time: 11:34:23
    User: NT AUTHORITY\ANONYMOUS LOGON
    Computer: SERVER-CZ
    Description:
    Successful Network Logon:
    User Name:
    Domain:
    Logon ID: (0x0,0x6036887)
    Logon Type: 3
    Logon Process: NtLmSsp 
    Authentication Package: NTLM
    Workstation Name: SERVIDOR
    Logon GUID: -
    Caller User Name: -
    Caller Domain: -
    Caller Logon ID: -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 213.96.144.92
    Source Port: 0


    a další ... 

     

    Event Type: Success Audit
    Event Source: Security
    Event Category: Logon/Logoff 
    Event ID: 540
    Date: 6.4.2012
    Time: 11:22:08
    User: NT AUTHORITY\ANONYMOUS LOGON
    Computer: SERVER-CZ
    Description:
    Successful Network Logon:
    User Name:
    Domain:
    Logon ID: (0x0,0x602B7F6)
    Logon Type: 3
    Logon Process: NtLmSsp 
    Authentication Package: NTLM
    Workstation Name: KOMSOTH-PC
    Logon GUID: -
    Caller User Name: -
    Caller Domain: -
    Caller Logon ID: -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 203.176.138.138
    Source Port: 0


    a ještě jeden .. 


    Event Type: Success Audit
    Event Source: Security
    Event Category: Logon/Logoff 
    Event ID: 540
    Date: 6.4.2012
    Time: 8:48:30
    User: NT AUTHORITY\ANONYMOUS LOGON
    Computer: SERVER-CZ
    Description:
    Successful Network Logon:
    User Name:
    Domain:
    Logon ID: (0x0,0x5D70330)
    Logon Type: 3
    Logon Process: NtLmSsp 
    Authentication Package: NTLM
    Workstation Name: SBM-PC330
    Logon GUID: -
    Caller User Name: -
    Caller Domain: -
    Caller Logon ID: -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 59.124.103.254
    Source Port: 0

    Prosím o radu jak se proti tomuto útoku bránit :-( zda to vůbec nějaký útok je  .. 

                   
    pátek 6. dubna 2012 12:26

Odpovědi

Všechny reakce

  • Jiří Janata

    bohužel vaše odpověď mi moc neřekla :-(

    Jedná se o serveru 2003 R2 EN + mám ještě jeden a tam jedou 2008 R2 CZ

    na obou serverech jsou tyto přístupy .. nebo co to je .. :-( ANONYMOUS LOGON znamená to že se někdo přihlásil neo to znamená jen pokus o přihlášení ? . .

    dá se nějak odepřít přístup pro toho uživatele ANONYMOUS LOGON ,... ? .

    pátek 6. dubna 2012 12:47
  • To je normalni reakce pokud mate na serveru napriklad IIS. Podivejte se na tento clanek znalostni databaze Microsoftu:

    http://support.microsoft.com/kb/812614/en-us

    M.

    pátek 6. dubna 2012 17:09
    Vlastník
  • To je normalni reakce pokud mate na serveru napriklad IIS. Podivejte se na tento clanek znalostni databaze Microsoftu:

    http://support.microsoft.com/kb/812614/en-us

    M.


    Děkuji za info jen mě trochu zaráží že jsou tam ty cizí IP adresy + jména stanic které jsem v životě neviděl :( - uz to vypadalo ze se jedna o nejaky backDoor ..
    sobota 7. dubna 2012 5:59
  • To mohou byt roboty, ktere prolezaji systematicky Internet. Podivejte se do logu IIS. Tam je zakladni informace.

    Z Vami uvedenych informaci se neda moc zjistit. Musel byste kontrolovat integritu souboru na serveru (Napriklad pomoci Tripwire).

    M.

    sobota 7. dubna 2012 21:54
    Vlastník
  • tohoto bych se ještě příliš moc nebál protože se jedná o nějaký pokus o anonymní přihlášení. víc bych se bál brute force attack - kdy budeš vidět že se snaží uhodnout nějaký účet a heslo (to už jsem párkrát zažil).

    doporučuju zkontrolovat server nástrojem MBSA případně důkladněji nastavit firewall a povolit přístup z internetu jen přes VPN.


    michal zobec | www.michalzobec.cz | www.virtualnipc.cz

    • Navržen jako odpověď Michal Zobec pátek 13. dubna 2012 5:41
    pátek 13. dubna 2012 5:41