Notifikationer

Markér alle som læst Log ud

sysop Juniormester

09. februar 2009 - 07:53 Der er 6 kommentarer og
1 løsning

Er dette et forsøg på angreb af min server???

Jeg får flere og flere af disse i min log. Jeg kan ikke rigtig se, om det er forsøg på, at logge sig på min server.

Nogle bud???

Critical Errors in Security Log

Source Event ID Last Occurrence Total Occurrences
Security 529 08-02-2009 16:34 197 *
Logon Failure:
Reason: Unknown user name or bad password
User Name: sales
Domain:
Logon Type: 3
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: XXX
Caller User Name: XXX$
Caller Domain: XXX
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 1964
Transited Services: -
Source Network Address: -
Source Port: -

* The text shown is for the most recent occurrence of this event. For more information, see the Event log.

Synes godt om

riversen Nybegynder

09. februar 2009 - 08:21 #1

det er jo i hvert fald en der forsøger sig at logge på med en bruger "sales" uden held. Hvis ikke du har en bruger "sales" på din server/domæne, kan det godt tænkes.

Synes godt om

bufferzone Praktikant

09. februar 2009 - 08:44 #2

Uden at se resten af loggen er det svært. Brugernavnet Sales kunne tyde på noget script baseret eller en fejlkonfiguration

Synes godt om

sysop Juniormester

09. februar 2009 - 09:50 #3

Jeg kan se der bliver brugt mange forskellige forsøg med bl.a admin - mail - backup - webmaster osv.

Jeg har ingen der forsøger at logge ind med de navne.

Er det noget man skal/kan gøre noget ved. Tænker mere på anden opsætning af firewall eller andet?!

Har port 25,80,443 stående som "åben".

Synes godt om

riversen Nybegynder

09. februar 2009 - 10:15 #4

hvis du har et owa website kørende, så er der jo ikke så meget du kan gøre ved det udover at styrke din passwordpolitik og blokere ip'erne i firewall'en, hvilket nok er lige overkill.

Synes godt om

sysop Juniormester

09. februar 2009 - 11:00 #5

Ja jeg har owa kørende.

Tak for indlæg.

Synes godt om

bufferzone Praktikant

09. februar 2009 - 11:32 #6

Du kan faktisk gøre andet og mere end blot styrke password politik og blokke IP'ere.

Jeg vil anbefale dig at kigge forbi www.nsa.gov hvor du kan finde en række meget gode guides til hvordan du hardner dine bokse. Derudover bør du selvfølgelig logge og holde øje med din log.

Sådanne angreb er typisk script baserede angreb, hvilket betyder at du bør noterer dig hvilke IP'er den slags kommer fra og så følge op på hvad de ellers har lavet.

Synes godt om

riversen Nybegynder

10. februar 2009 - 07:10 #7

min pointe var egentlige bare, at åbner man op ud til den store verden, så vil der kommer trafik, man ikke synes om.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Windows kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Mister internettet efter slumre, Af valby i Windows	5	I dag 10:01	I dag 20:23
Download Win 11 - 25H2 Af ErikHg i Windows	15	02/05/202619:09	03/05/202623:05
Microsoft vil "stjæle" mine login oplysninger Af mort1 i Windows	9	27/04/202614:46	04/05/202612:26
Lukning af Microsoftkonto Af ErikHg i Windows	8	24/04/202613:33	25/04/202621:06
Alt ender i skyen Af mort1 i Windows	5	20/04/202612:08	21/04/202619:24

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS