Guten Tag an alle!
Die Vorgeschichte:
Heute früh hab ich mal einen Blick in die Statistiken von WebTemp (Programm zum Aufzeichnen von zB. CPU Last, Netzwerkauslastung, Temperaturen usw.) geworfen. Dabei ist mir Netzwerkaktivität aufgefallen die ich erst mal nicht zuordnen kann, von ca. Mitternacht bis 6 Uhr (da legt sich der Server nach dem Sichern wieder schlafen) In diesen 6 Stunden hatte ich (anscheinend) knapp 600kb/sec Upload ??irgendwohin?? Weder der Mediacenter noch mein Notebook waren während der Zeit aktiv!
In der Ereignisanzeige unter WIndows Protokolle -> Sicherheit fielen mir dann Einträge bei "Überwachung gescheitert" auf, Ereignis ID 4625 -> siehe Bild im Anhang.
Hier ist die Beschreibung des Ereignisses:
-------------------------------------------------------------------------------------------------------------------------------
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 10
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Admin
Kontodomäne: SERVER
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064
Prozessinformationen:
Aufrufprozess-ID: 0x3690
Aufrufprozessname: C:\Windows\System32\winlogon.exe
Netzwerkinformationen:
Arbeitsstationsname: SERVER
Quellnetzwerkadresse: 193.192.58.29
Quellport: 63948
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: User32
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
-------------------------------------------------------------------------------------------------------------------------------
Ich hab die oben angegebene IP (193.192.58.29) mal in Firefox eingegeben...
WAS WOLLEN DIE VON MEINEM SERVER????
muss ich nun befürchten, dass mir Daten geklaut wurden? Wenn ja, kann ich irgendwie herausfinden um welche Dateien es sich gehandelt hat?
PS: der WLAN Router ist abgesichert und über LAN kann wohl niemand "Fremder" Zugriff haben!
Ich bitte euch im Hilfe damit ich das nächste Nacht nicht wieder passiert!
lg reandy
Wollte mich in der Nacht jemand "hacken"?
- reandy
- Foren-Mitglied
- Beiträge: 111
- Registriert: 4. Jan 2011, 21:21
- Wohnort: Innsbruck
Wollte mich in der Nacht jemand "hacken"?
- Dateianhänge
-
- Clipboard01.jpg (130.22 KiB) 5078 mal betrachtet
WHS 2011
Mainboard: Supermicro X7SPA-H
RAM: 4GB DDR2 Kingston SO-DIMM
HDDs: 320 GB Seagate @ System & 6 TB Samsung HD204UI @ Daten
Gehäuse: Chenbro ES34069 (120W NT)
AddIns: LightsOut, Awieco DriveInfo, (Drive Bender 1.2.2.0)
sonstiges: Webtemp, Teamviewer, Allway Sync
Verbrauch: < 32W im Normalbetrieb
Mainboard: Supermicro X7SPA-H
RAM: 4GB DDR2 Kingston SO-DIMM
HDDs: 320 GB Seagate @ System & 6 TB Samsung HD204UI @ Daten
Gehäuse: Chenbro ES34069 (120W NT)
AddIns: LightsOut, Awieco DriveInfo, (Drive Bender 1.2.2.0)
sonstiges: Webtemp, Teamviewer, Allway Sync
Verbrauch: < 32W im Normalbetrieb
-
- Moderator
- Beiträge: 3078
- Registriert: 9. Jun 2008, 16:25
- Wohnort: im nasskalten Norden
Re: Wollte mich in der Nacht jemand "hacken"?
Hallo.
Was mir ins Auge sticht ist der Username "Admin".
Diesen gibt es von Haus aus nicht beim WHS.
Die IP-Adresse scheint ein Minecraft-Server zu sein, der (ganz nebenbei) in Deutschland steht.
Keine Ahnung warum der Client (???) nach Hause telefoniert.
Allerdings stellt sich mir schon die Frage, warum man sich soetwas überhaupt auf dem eigenen Server installiert?!?
Ich schick Dir mal den Link zur URL der Seite und dem angeschlossenem Forum per PN.
Vielleicht kannst Du dort mehr in Erfahrung bringen...
Gruß
sTunTe
Was mir ins Auge sticht ist der Username "Admin".
Diesen gibt es von Haus aus nicht beim WHS.
Die IP-Adresse scheint ein Minecraft-Server zu sein, der (ganz nebenbei) in Deutschland steht.
Keine Ahnung warum der Client (???) nach Hause telefoniert.
Allerdings stellt sich mir schon die Frage, warum man sich soetwas überhaupt auf dem eigenen Server installiert?!?
Ich schick Dir mal den Link zur URL der Seite und dem angeschlossenem Forum per PN.
Vielleicht kannst Du dort mehr in Erfahrung bringen...
Gruß
sTunTe
- reandy
- Foren-Mitglied
- Beiträge: 111
- Registriert: 4. Jan 2011, 21:21
- Wohnort: Innsbruck
Re: Wollte mich in der Nacht jemand "hacken"?
Danke für die Antwort!
Was mir noch aufgefallen ist, dass von der genannten IP Adresse viele (?alle?) Ports ""gescannt" wurden, dies ist zwar von meinem Router aus deaktiviert aber wer weiß was möglich ist.
Ich werd die Ereignisanzeige noch etwas genauer unter die Lupe nehmen, mir sind da andere unbekannte IP Adressen untergekommen!
Es bleibt unter anderem noch die Frage ob da in Deutschland nun jemand mit einem Teil (160-200MB) meiner Daten rumrennt oder nicht!?
Danke
reandy
Das hab ich mir auch gedacht, so einen Usernamen gibt es bei mir nicht!Was mir ins Auge sticht ist der Username "Admin".
Das mit dem Minecraft Serer hab ich bereits herausgefunden, aber mit solchen Sachen hab ich nix zu tun! Ich kenne weder Minecraft noch hab ich einen Client!Keine Ahnung warum der Client (???) nach Hause telefoniert.
Danke ich werd mich erkundigenIch schick Dir mal den Link zur URL der Seite und dem angeschlossenem Forum per PN.
Was mir noch aufgefallen ist, dass von der genannten IP Adresse viele (?alle?) Ports ""gescannt" wurden, dies ist zwar von meinem Router aus deaktiviert aber wer weiß was möglich ist.
Ich werd die Ereignisanzeige noch etwas genauer unter die Lupe nehmen, mir sind da andere unbekannte IP Adressen untergekommen!
Es bleibt unter anderem noch die Frage ob da in Deutschland nun jemand mit einem Teil (160-200MB) meiner Daten rumrennt oder nicht!?
Danke
reandy
WHS 2011
Mainboard: Supermicro X7SPA-H
RAM: 4GB DDR2 Kingston SO-DIMM
HDDs: 320 GB Seagate @ System & 6 TB Samsung HD204UI @ Daten
Gehäuse: Chenbro ES34069 (120W NT)
AddIns: LightsOut, Awieco DriveInfo, (Drive Bender 1.2.2.0)
sonstiges: Webtemp, Teamviewer, Allway Sync
Verbrauch: < 32W im Normalbetrieb
Mainboard: Supermicro X7SPA-H
RAM: 4GB DDR2 Kingston SO-DIMM
HDDs: 320 GB Seagate @ System & 6 TB Samsung HD204UI @ Daten
Gehäuse: Chenbro ES34069 (120W NT)
AddIns: LightsOut, Awieco DriveInfo, (Drive Bender 1.2.2.0)
sonstiges: Webtemp, Teamviewer, Allway Sync
Verbrauch: < 32W im Normalbetrieb
© Home Server Blog · Streamline theme by StudioPress ·