/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Forsøg på logon? NT4 Event Viewer
Fra : Ole Helms


Dato : 24-07-01 08:33

Hej.

Jeg håber, det er den rigtige gruppe.
Vi har på vores skole et netværk med en NT4 server. Event Viewer har jeg sat til at logge fejlslagne forsøg på logon. Til min store
overraskelse opdager jeg, at der dagligt er flere forsøg på logon, som serveren har afvist.

Er der virkelig tale om forsøg på logon eller registrerer Event Viewer også aktivitet som ping eller tilsvarende som logonforsøg?

--
Venlig hilsen
Ole Helms


 
 
Ole Helms (24-07-2001)
Kommentar
Fra : Ole Helms


Dato : 24-07-01 08:57

>Til min store overraskelse opdager jeg, at der dagligt er flere forsøg på
logon, som serveren har afvist.

Jeg vist lige tilføje, at serveren forventeligt og korrekt har afvist
brugernavne, som ikke er oprettet i UserManager. Computernavnene tyder
bestemt heller ikke på, at det er vore brugere, der prøver at logge på
hjemmefra.

--
Venlig hilsen
Ole Helms



Jesper Louis Anderse~ (24-07-2001)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 24-07-01 12:33

On Tue, 24 Jul 2001 09:56:31 +0200, Ole Helms <ohelms@vip.cybercity.dk> wrote:
>>Til min store overraskelse opdager jeg, at der dagligt er flere forsøg på
> logon, som serveren har afvist.
>
> Jeg vist lige tilføje, at serveren forventeligt og korrekt har afvist
> brugernavne, som ikke er oprettet i UserManager. Computernavnene tyder
> bestemt heller ikke på, at det er vore brugere, der prøver at logge på
> hjemmefra.

Et rigtigt godt bud ville vaere eleverne. Et andet godt bud vil vaere en
misforstaaelse. Kan event viewer ikke registrere, hvorfra logons kommer?

--
Jesper

Kan man forstaa kvinder med en babelfisk?? - JL

Flemming Riis (24-07-2001)
Kommentar
Fra : Flemming Riis


Dato : 24-07-01 13:01

"Jesper Louis Andersen" <jlouis@brok.diku.dk> wrote in message
news:slrn9lqn73.2bl.jlouis@brok.diku.dk

> Et rigtigt godt bud ville vaere eleverne. Et andet godt bud vil vaere en
> misforstaaelse. Kan event viewer ikke registrere, hvorfra logons kommer?

Det ville være for brugbart nej vi nøjes med at skrive maskine navn <suk>



Jesper Louis Anderse~ (24-07-2001)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 24-07-01 20:59

On Tue, 24 Jul 2001 14:00:30 +0200, Flemming Riis <flemming@riis.nu> wrote:
> "Jesper Louis Andersen" <jlouis@brok.diku.dk> wrote in message
> news:slrn9lqn73.2bl.jlouis@brok.diku.dk
>
>> Et rigtigt godt bud ville vaere eleverne. Et andet godt bud vil vaere en
>> misforstaaelse. Kan event viewer ikke registrere, hvorfra logons kommer?
>
> Det ville være for brugbart nej vi nøjes med at skrive maskine navn <suk>

Vaer opmaerksom paa at knaegte i 8/9nde klasse sagtens kan hacke en server hvis
de leder laenge nok paa nettet. Og her taler jeg er erfaring...


--
Jesper

Kan man forstaa kvinder med en babelfisk?? - JL

Ole Helms (24-07-2001)
Kommentar
Fra : Ole Helms


Dato : 24-07-01 23:24


"Jesper Louis Andersen" <jlouis@brok.diku.dk> skrev i en meddelelse
news:slrn9lrkrr.72c.jlouis@brok.diku.dk...
> On Tue, 24 Jul 2001 14:00:30 +0200, Flemming Riis <flemming@riis.nu>
wrote:
> > "Jesper Louis Andersen" <jlouis@brok.diku.dk> wrote in message
> > news:slrn9lqn73.2bl.jlouis@brok.diku.dk
> >
> >> Et rigtigt godt bud ville vaere eleverne. Et andet godt bud vil vaere
en
> >> misforstaaelse. Kan event viewer ikke registrere, hvorfra logons
kommer?
> >
> > Det ville være for brugbart nej vi nøjes med at skrive maskine navn
<suk>
>
> Vaer opmaerksom paa at knaegte i 8/9nde klasse sagtens kan hacke en server
hvis
> de leder laenge nok paa nettet. Og her taler jeg er erfaring...

Hej Flemming og Jesper.
Tak for jeres bud.
Nej det er helt sikkert ikke vores kursister. Vi er en specialskole for
voksne handicappede. Et par kolleger, foruden mig selv, kobler sig
regelmæssigt på vores net hjemmefra - og det er ikke dem, der optræder under
alle de besynderlige navne som eksempelvis daffy7 og lignende.
Jeg synes blot, at der er foruroligende mange forsøg på logon, som serveren
af gode grunde afviser. Jeg tænkte så, om diverse ping/scannerprogrammer
ville afsætte spor som forsøg på logon. Men måske er det alligevel reelle
forsøg på uautoriseret logon?
I EventViewer mener jeg kun at kunne se brugernavn, computernavn og domæne.
--
Venlig hilsen
Ole Helms



Alex Holst (25-07-2001)
Kommentar
Fra : Alex Holst


Dato : 25-07-01 05:04

Ole Helms <ohelms@vip.cybercity.dk> wrote:
> regelmæssigt på vores net hjemmefra - og det er ikke dem, der optræder under
> alle de besynderlige navne som eksempelvis daffy7 og lignende.

Det lyder som en brute force password cracker. Hvad forsoeges der logges ind
via? NetBIOS? FTP?

> Jeg synes blot, at der er foruroligende mange forsøg på logon, som serveren
> af gode grunde afviser. Jeg tænkte så, om diverse ping/scannerprogrammer
> ville afsætte spor som forsøg på logon. Men måske er det alligevel reelle
> forsøg på uautoriseret logon?
> I EventViewer mener jeg kun at kunne se brugernavn, computernavn og domæne.

Overvej at installere windump eller en anden packet sniffer. Lad den koere
natten over mens den skriver trafik til den bestemte port i en logfil. Det
vil give dig en bunke IP adresser at arbejde med.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Jens (25-07-2001)
Kommentar
Fra : Jens


Dato : 25-07-01 23:29

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9lsh98.1gqd.a@C-Tower.Area51.DK...
>
> Overvej at installere windump eller en anden packet sniffer. Lad den koere
> natten over mens den skriver trafik til den bestemte port i en logfil. Det
> vil give dig en bunke IP adresser at arbejde med.

Hvis man f.eks. har WinDump kørende og den sniffer på port 80 (http) trafik,
kan selve web serveren så stadig stå og svare brugeren samtidigt ? Sådan at
man kan få logget samtlige tilgange til webserveren ? (Ved godt at
webserveren selv kan logge IP-adresser osv.)

Jens



Alex Holst (26-07-2001)
Kommentar
Fra : Alex Holst


Dato : 26-07-01 00:13

Jens <jjonsson@_NOSPAM_get2net.dk> wrote:
> "Alex Holst" <a@area51.dk> skrev i en meddelelse
> news:slrn9lsh98.1gqd.a@C-Tower.Area51.DK...
>>
>> Overvej at installere windump eller en anden packet sniffer. Lad den koere
>> natten over mens den skriver trafik til den bestemte port i en logfil. Det
>> vil give dig en bunke IP adresser at arbejde med.
>
> Hvis man f.eks. har WinDump kørende og den sniffer på port 80 (http) trafik,
> kan selve web serveren så stadig stå og svare brugeren samtidigt ? Sådan at
> man kan få logget samtlige tilgange til webserveren ? (Ved godt at
> webserveren selv kan logge IP-adresser osv.)

Ja, det forhindrer WinDump skam ikke. Jeg ser dog ikke en grund til at
sniffe web trafik paa sin egen maskine medmindre man leder efter exploits
der bliver smidt efter den.

Det er mest brugbart i scenarioer hvor IP adressen ikke er tilgaengelig,
f.eks. ved NetBIOS login forsoeg fra ukendte maskiner.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Jens (26-07-2001)
Kommentar
Fra : Jens


Dato : 26-07-01 00:32


"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9lukjq.1mrc.a@C-Tower.Area51.DK...
>
> > Hvis man f.eks. har WinDump kørende og den sniffer på port 80 (http)
trafik,
> > kan selve web serveren så stadig stå og svare brugeren samtidigt ? Sådan
at
> > man kan få logget samtlige tilgange til webserveren ? (Ved godt at
> > webserveren selv kan logge IP-adresser osv.)
>
> Ja, det forhindrer WinDump skam ikke. Jeg ser dog ikke en grund til at
> sniffe web trafik paa sin egen maskine medmindre man leder efter exploits
> der bliver smidt efter den.
>
> Det er mest brugbart i scenarioer hvor IP adressen ikke er tilgaengelig,
> f.eks. ved NetBIOS login forsoeg fra ukendte maskiner.

Det var lige netop i sådanne situationer jeg tænkte på, havde bare lidt
lettere ved at forklare ved nævnte eksempel.

Fint, jeg vil igang med at sniffe!

Jens



Ole Helms (26-07-2001)
Kommentar
Fra : Ole Helms


Dato : 26-07-01 02:32


"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9lsh98.1gqd.a@C-Tower.Area51.DK...
> Det lyder som en brute force password cracker. Hvad forsoeges der logges
ind
> via? NetBIOS? FTP?

Jeg er stadig kun en novice. Jeg antager, at det må være NetBIOS .
FTP-service er ikke aktiveret. De fleste poster for logon-failure er
enkeltstående,
nogle få 2-3 umiddelbart efter hinanden. Vi kobler selv op hjemmefra vha.
lmhosts og Windowslogon til egen klient, men burde nok overveje en
VPN-løsning.

--
Venlig hilsen
Ole Helms






Jens (26-07-2001)
Kommentar
Fra : Jens


Dato : 26-07-01 06:51

"Ole Helms" <ohelms@vip.cybercity.dk> skrev i en meddelelse
news:9jnrtb$1mtq$2@news.cybercity.dk...
>
> "Alex Holst" <a@area51.dk> skrev i en meddelelse
> news:slrn9lsh98.1gqd.a@C-Tower.Area51.DK...
> > Det lyder som en brute force password cracker. Hvad forsoeges der logges
> ind
> > via? NetBIOS? FTP?
>
> Jeg er stadig kun en novice. Jeg antager, at det må være NetBIOS .
> FTP-service er ikke aktiveret. De fleste poster for logon-failure er
> enkeltstående, nogle få 2-3 umiddelbart efter hinanden.

Logon er vist så hut jeg visker NetBIOS relateret på en NT 4.

> Vi kobler selv op hjemmefra vha. lmhosts og Windowslogon til egen klient,
men burde nok overveje en VPN-løsning.

Overveje ? Få lavet en sådan løsning med det samme, det lyder som om at
jeres server står pivåben!
Har i ingen firewall eller router der lukker af for udefra kommende trafik ?

Jens



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste