|
| Forsøg på logon? NT4 Event Viewer Fra : Ole Helms |
Dato : 24-07-01 08:33 |
|
Hej.
Jeg håber, det er den rigtige gruppe.
Vi har på vores skole et netværk med en NT4 server. Event Viewer har jeg sat til at logge fejlslagne forsøg på logon. Til min store
overraskelse opdager jeg, at der dagligt er flere forsøg på logon, som serveren har afvist.
Er der virkelig tale om forsøg på logon eller registrerer Event Viewer også aktivitet som ping eller tilsvarende som logonforsøg?
--
Venlig hilsen
Ole Helms
| |
Ole Helms (24-07-2001)
| Kommentar Fra : Ole Helms |
Dato : 24-07-01 08:57 |
|
>Til min store overraskelse opdager jeg, at der dagligt er flere forsøg på
logon, som serveren har afvist.
Jeg vist lige tilføje, at serveren forventeligt og korrekt har afvist
brugernavne, som ikke er oprettet i UserManager. Computernavnene tyder
bestemt heller ikke på, at det er vore brugere, der prøver at logge på
hjemmefra.
--
Venlig hilsen
Ole Helms
| |
Jesper Louis Anderse~ (24-07-2001)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 24-07-01 12:33 |
|
On Tue, 24 Jul 2001 09:56:31 +0200, Ole Helms <ohelms@vip.cybercity.dk> wrote:
>>Til min store overraskelse opdager jeg, at der dagligt er flere forsøg på
> logon, som serveren har afvist.
>
> Jeg vist lige tilføje, at serveren forventeligt og korrekt har afvist
> brugernavne, som ikke er oprettet i UserManager. Computernavnene tyder
> bestemt heller ikke på, at det er vore brugere, der prøver at logge på
> hjemmefra.
Et rigtigt godt bud ville vaere eleverne. Et andet godt bud vil vaere en
misforstaaelse. Kan event viewer ikke registrere, hvorfra logons kommer?
--
Jesper
Kan man forstaa kvinder med en babelfisk?? - JL
| |
Flemming Riis (24-07-2001)
| Kommentar Fra : Flemming Riis |
Dato : 24-07-01 13:01 |
|
"Jesper Louis Andersen" <jlouis@brok.diku.dk> wrote in message
news:slrn9lqn73.2bl.jlouis@brok.diku.dk
> Et rigtigt godt bud ville vaere eleverne. Et andet godt bud vil vaere en
> misforstaaelse. Kan event viewer ikke registrere, hvorfra logons kommer?
Det ville være for brugbart nej vi nøjes med at skrive maskine navn <suk>
| |
Jesper Louis Anderse~ (24-07-2001)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 24-07-01 20:59 |
|
On Tue, 24 Jul 2001 14:00:30 +0200, Flemming Riis <flemming@riis.nu> wrote:
> "Jesper Louis Andersen" <jlouis@brok.diku.dk> wrote in message
> news:slrn9lqn73.2bl.jlouis@brok.diku.dk
>
>> Et rigtigt godt bud ville vaere eleverne. Et andet godt bud vil vaere en
>> misforstaaelse. Kan event viewer ikke registrere, hvorfra logons kommer?
>
> Det ville være for brugbart nej vi nøjes med at skrive maskine navn <suk>
Vaer opmaerksom paa at knaegte i 8/9nde klasse sagtens kan hacke en server hvis
de leder laenge nok paa nettet. Og her taler jeg er erfaring...
--
Jesper
Kan man forstaa kvinder med en babelfisk?? - JL
| |
Ole Helms (24-07-2001)
| Kommentar Fra : Ole Helms |
Dato : 24-07-01 23:24 |
|
"Jesper Louis Andersen" <jlouis@brok.diku.dk> skrev i en meddelelse
news:slrn9lrkrr.72c.jlouis@brok.diku.dk...
> On Tue, 24 Jul 2001 14:00:30 +0200, Flemming Riis <flemming@riis.nu>
wrote:
> > "Jesper Louis Andersen" <jlouis@brok.diku.dk> wrote in message
> > news:slrn9lqn73.2bl.jlouis@brok.diku.dk
> >
> >> Et rigtigt godt bud ville vaere eleverne. Et andet godt bud vil vaere
en
> >> misforstaaelse. Kan event viewer ikke registrere, hvorfra logons
kommer?
> >
> > Det ville være for brugbart nej vi nøjes med at skrive maskine navn
<suk>
>
> Vaer opmaerksom paa at knaegte i 8/9nde klasse sagtens kan hacke en server
hvis
> de leder laenge nok paa nettet. Og her taler jeg er erfaring...
Hej Flemming og Jesper.
Tak for jeres bud.
Nej det er helt sikkert ikke vores kursister. Vi er en specialskole for
voksne handicappede. Et par kolleger, foruden mig selv, kobler sig
regelmæssigt på vores net hjemmefra - og det er ikke dem, der optræder under
alle de besynderlige navne som eksempelvis daffy7 og lignende.
Jeg synes blot, at der er foruroligende mange forsøg på logon, som serveren
af gode grunde afviser. Jeg tænkte så, om diverse ping/scannerprogrammer
ville afsætte spor som forsøg på logon. Men måske er det alligevel reelle
forsøg på uautoriseret logon?
I EventViewer mener jeg kun at kunne se brugernavn, computernavn og domæne.
--
Venlig hilsen
Ole Helms
| |
Alex Holst (25-07-2001)
| Kommentar Fra : Alex Holst |
Dato : 25-07-01 05:04 |
|
Ole Helms <ohelms@vip.cybercity.dk> wrote:
> regelmæssigt på vores net hjemmefra - og det er ikke dem, der optræder under
> alle de besynderlige navne som eksempelvis daffy7 og lignende.
Det lyder som en brute force password cracker. Hvad forsoeges der logges ind
via? NetBIOS? FTP?
> Jeg synes blot, at der er foruroligende mange forsøg på logon, som serveren
> af gode grunde afviser. Jeg tænkte så, om diverse ping/scannerprogrammer
> ville afsætte spor som forsøg på logon. Men måske er det alligevel reelle
> forsøg på uautoriseret logon?
> I EventViewer mener jeg kun at kunne se brugernavn, computernavn og domæne.
Overvej at installere windump eller en anden packet sniffer. Lad den koere
natten over mens den skriver trafik til den bestemte port i en logfil. Det
vil give dig en bunke IP adresser at arbejde med.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Jens (25-07-2001)
| Kommentar Fra : Jens |
Dato : 25-07-01 23:29 |
|
"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9lsh98.1gqd.a@C-Tower.Area51.DK...
>
> Overvej at installere windump eller en anden packet sniffer. Lad den koere
> natten over mens den skriver trafik til den bestemte port i en logfil. Det
> vil give dig en bunke IP adresser at arbejde med.
Hvis man f.eks. har WinDump kørende og den sniffer på port 80 (http) trafik,
kan selve web serveren så stadig stå og svare brugeren samtidigt ? Sådan at
man kan få logget samtlige tilgange til webserveren ? (Ved godt at
webserveren selv kan logge IP-adresser osv.)
Jens
| |
Alex Holst (26-07-2001)
| Kommentar Fra : Alex Holst |
Dato : 26-07-01 00:13 |
|
Jens <jjonsson@_NOSPAM_get2net.dk> wrote:
> "Alex Holst" <a@area51.dk> skrev i en meddelelse
> news:slrn9lsh98.1gqd.a@C-Tower.Area51.DK...
>>
>> Overvej at installere windump eller en anden packet sniffer. Lad den koere
>> natten over mens den skriver trafik til den bestemte port i en logfil. Det
>> vil give dig en bunke IP adresser at arbejde med.
>
> Hvis man f.eks. har WinDump kørende og den sniffer på port 80 (http) trafik,
> kan selve web serveren så stadig stå og svare brugeren samtidigt ? Sådan at
> man kan få logget samtlige tilgange til webserveren ? (Ved godt at
> webserveren selv kan logge IP-adresser osv.)
Ja, det forhindrer WinDump skam ikke. Jeg ser dog ikke en grund til at
sniffe web trafik paa sin egen maskine medmindre man leder efter exploits
der bliver smidt efter den.
Det er mest brugbart i scenarioer hvor IP adressen ikke er tilgaengelig,
f.eks. ved NetBIOS login forsoeg fra ukendte maskiner.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Jens (26-07-2001)
| Kommentar Fra : Jens |
Dato : 26-07-01 00:32 |
|
"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9lukjq.1mrc.a@C-Tower.Area51.DK...
>
> > Hvis man f.eks. har WinDump kørende og den sniffer på port 80 (http)
trafik,
> > kan selve web serveren så stadig stå og svare brugeren samtidigt ? Sådan
at
> > man kan få logget samtlige tilgange til webserveren ? (Ved godt at
> > webserveren selv kan logge IP-adresser osv.)
>
> Ja, det forhindrer WinDump skam ikke. Jeg ser dog ikke en grund til at
> sniffe web trafik paa sin egen maskine medmindre man leder efter exploits
> der bliver smidt efter den.
>
> Det er mest brugbart i scenarioer hvor IP adressen ikke er tilgaengelig,
> f.eks. ved NetBIOS login forsoeg fra ukendte maskiner.
Det var lige netop i sådanne situationer jeg tænkte på, havde bare lidt
lettere ved at forklare ved nævnte eksempel.
Fint, jeg vil igang med at sniffe!
Jens
| |
Ole Helms (26-07-2001)
| Kommentar Fra : Ole Helms |
Dato : 26-07-01 02:32 |
|
"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9lsh98.1gqd.a@C-Tower.Area51.DK...
> Det lyder som en brute force password cracker. Hvad forsoeges der logges
ind
> via? NetBIOS? FTP?
Jeg er stadig kun en novice. Jeg antager, at det må være NetBIOS .
FTP-service er ikke aktiveret. De fleste poster for logon-failure er
enkeltstående,
nogle få 2-3 umiddelbart efter hinanden. Vi kobler selv op hjemmefra vha.
lmhosts og Windowslogon til egen klient, men burde nok overveje en
VPN-løsning.
--
Venlig hilsen
Ole Helms
| |
Jens (26-07-2001)
| Kommentar Fra : Jens |
Dato : 26-07-01 06:51 |
|
"Ole Helms" <ohelms@vip.cybercity.dk> skrev i en meddelelse
news:9jnrtb$1mtq$2@news.cybercity.dk...
>
> "Alex Holst" <a@area51.dk> skrev i en meddelelse
> news:slrn9lsh98.1gqd.a@C-Tower.Area51.DK...
> > Det lyder som en brute force password cracker. Hvad forsoeges der logges
> ind
> > via? NetBIOS? FTP?
>
> Jeg er stadig kun en novice. Jeg antager, at det må være NetBIOS .
> FTP-service er ikke aktiveret. De fleste poster for logon-failure er
> enkeltstående, nogle få 2-3 umiddelbart efter hinanden.
Logon er vist så hut jeg visker NetBIOS relateret på en NT 4.
> Vi kobler selv op hjemmefra vha. lmhosts og Windowslogon til egen klient,
men burde nok overveje en VPN-løsning.
Overveje ? Få lavet en sådan løsning med det samme, det lyder som om at
jeres server står pivåben!
Har i ingen firewall eller router der lukker af for udefra kommende trafik ?
Jens
| |
|
|