Wollte mich in der Nacht jemand "hacken"?

[reandy]

Guten Tag an alle!

Die Vorgeschichte:

Heute früh hab ich mal einen Blick in die Statistiken von WebTemp (Programm zum Aufzeichnen von zB. CPU Last, Netzwerkauslastung, Temperaturen usw.) geworfen. Dabei ist mir Netzwerkaktivität aufgefallen die ich erst mal nicht zuordnen kann, von ca. Mitternacht bis 6 Uhr (da legt sich der Server nach dem Sichern wieder schlafen) In diesen 6 Stunden hatte ich (anscheinend) knapp 600kb/sec Upload ??irgendwohin?? Weder der Mediacenter noch mein Notebook waren während der Zeit aktiv!

In der Ereignisanzeige unter WIndows Protokolle -> Sicherheit fielen mir dann Einträge bei "Überwachung gescheitert" auf, Ereignis ID 4625 -> siehe Bild im Anhang.

Hier ist die Beschreibung des Ereignisses:
-------------------------------------------------------------------------------------------------------------------------------
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Anmeldetyp: 10

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Admin
Kontodomäne: SERVER

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0x3690
Aufrufprozessname: C:\Windows\System32\winlogon.exe

Netzwerkinformationen:
Arbeitsstationsname: SERVER
Quellnetzwerkadresse: 193.192.58.29
Quellport: 63948

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: User32
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
-------------------------------------------------------------------------------------------------------------------------------
Ich hab die oben angegebene IP (193.192.58.29) mal in Firefox eingegeben...

WAS WOLLEN DIE VON MEINEM SERVER????

muss ich nun befürchten, dass mir Daten geklaut wurden? Wenn ja, kann ich irgendwie herausfinden um welche Dateien es sich gehandelt hat?

PS: der WLAN Router ist abgesichert und über LAN kann wohl niemand "Fremder" Zugriff haben!

Ich bitte euch im Hilfe damit ich das nächste Nacht nicht wieder passiert!

lg reandy

[sTunTe]

Hallo.

Was mir ins Auge sticht ist der Username "Admin".
Diesen gibt es von Haus aus nicht beim WHS.

Die IP-Adresse scheint ein Minecraft-Server zu sein, der (ganz nebenbei) in Deutschland steht.

Keine Ahnung warum der Client (???) nach Hause telefoniert.
Allerdings stellt sich mir schon die Frage, warum man sich soetwas überhaupt auf dem eigenen Server installiert?!?

Ich schick Dir mal den Link zur URL der Seite und dem angeschlossenem Forum per PN.
Vielleicht kannst Du dort mehr in Erfahrung bringen...

Gruß
sTunTe

[reandy]

Danke für die Antwort!

Was mir ins Auge sticht ist der Username "Admin".

Das hab ich mir auch gedacht, so einen Usernamen gibt es bei mir nicht!

Keine Ahnung warum der Client (???) nach Hause telefoniert.

Das mit dem Minecraft Serer hab ich bereits herausgefunden, aber mit solchen Sachen hab ich nix zu tun! Ich kenne weder Minecraft noch hab ich einen Client!

Ich schick Dir mal den Link zur URL der Seite und dem angeschlossenem Forum per PN.

Danke ich werd mich erkundigen

Was mir noch aufgefallen ist, dass von der genannten IP Adresse viele (?alle?) Ports ""gescannt" wurden, dies ist zwar von meinem Router aus deaktiviert aber wer weiß was möglich ist.
Ich werd die Ereignisanzeige noch etwas genauer unter die Lupe nehmen, mir sind da andere unbekannte IP Adressen untergekommen!

Es bleibt unter anderem noch die Frage ob da in Deutschland nun jemand mit einem Teil (160-200MB) meiner Daten rumrennt oder nicht!?

Danke
reandy