• Status: Solved
  • Priority: Medium
  • Security: Public
  • Views: 1271
  • Last Modified:

Securty login attemts

I have a customer with a MS SBS 2003 server that has over 18000 attempts for a login from the administrator account from port 1589

I am also getting 500 attempts at port 1686

I just went through some more logs and there are tons of different ports being attacked from various ip's from around the world .

My other SBS servers don't have these logs .

Any ideas?
0
pgm554
Asked:
pgm554
1 Solution
 
Dirk KotteSECommented:
look for the listener-proccess with "netstat -ano"
followed by an process-id search within the taskmanager.

should thos proccess listen to external?

the SBS2003 includes the ISA..!?
possible there are configuration errors?

0
 
pgm554Author Commented:
here's what I have.

No ISA running






 UDP    0.0.0.0:53253          *:*                                    1632
  UDP    0.0.0.0:53277          *:*                                    1632
  UDP    0.0.0.0:53278          *:*                                    1632
  UDP    0.0.0.0:53310          *:*                                    1632
  UDP    0.0.0.0:53316          *:*                                    1632
  UDP    0.0.0.0:53317          *:*                                    1632
  UDP    0.0.0.0:53335          *:*                                    1632
  UDP    0.0.0.0:53339          *:*                                    1632
  UDP    0.0.0.0:53368          *:*                                    1632
  UDP    0.0.0.0:53405          *:*                                    1632
  UDP    0.0.0.0:53472          *:*                                    1632
  UDP    0.0.0.0:53538          *:*                                    1632
  UDP    0.0.0.0:53591          *:*                                    1632
  UDP    0.0.0.0:53652          *:*                                    1632
  UDP    0.0.0.0:53737          *:*                                    1632
  UDP    0.0.0.0:53800          *:*                                    1632
  UDP    0.0.0.0:53842          *:*                                    1632
  UDP    0.0.0.0:53863          *:*                                    1632
  UDP    0.0.0.0:53869          *:*                                    1632
  UDP    0.0.0.0:53874          *:*                                    1632
  UDP    0.0.0.0:53880          *:*                                    1632
  UDP    0.0.0.0:53917          *:*                                    1632
  UDP    0.0.0.0:53936          *:*                                    1632
  UDP    0.0.0.0:53943          *:*                                    1632
  UDP    0.0.0.0:53978          *:*                                    1632
  UDP    0.0.0.0:53980          *:*                                    1632
  UDP    0.0.0.0:53985          *:*                                    1632
  UDP    0.0.0.0:54018          *:*                                    1632
  UDP    0.0.0.0:54066          *:*                                    1632
  UDP    0.0.0.0:54119          *:*                                    1632
  UDP    0.0.0.0:54130          *:*                                    1632
  UDP    0.0.0.0:54131          *:*                                    1632
  UDP    0.0.0.0:54132          *:*                                    1632
  UDP    0.0.0.0:54148          *:*                                    1632
  UDP    0.0.0.0:54229          *:*                                    1632
  UDP    0.0.0.0:54257          *:*                                    1632
  UDP    0.0.0.0:54318          *:*                                    1632
  UDP    0.0.0.0:54337          *:*                                    1632
  UDP    0.0.0.0:54343          *:*                                    1632
  UDP    0.0.0.0:54353          *:*                                    1632
  UDP    0.0.0.0:54424          *:*                                    1632
  UDP    0.0.0.0:54432          *:*                                    1632
  UDP    0.0.0.0:54462          *:*                                    1632
  UDP    0.0.0.0:54480          *:*                                    1632
  UDP    0.0.0.0:54485          *:*                                    1632
  UDP    0.0.0.0:54487          *:*                                    1632
  UDP    0.0.0.0:54506          *:*                                    1632
  UDP    0.0.0.0:54534          *:*                                    1632
  UDP    0.0.0.0:54605          *:*                                    1632
  UDP    0.0.0.0:54612          *:*                                    1632
  UDP    0.0.0.0:54639          *:*                                    1632
  UDP    0.0.0.0:54640          *:*                                    1632
  UDP    0.0.0.0:54671          *:*                                    1632
  UDP    0.0.0.0:54697          *:*                                    1632
  UDP    0.0.0.0:54742          *:*                                    1632
  UDP    0.0.0.0:54758          *:*                                    1632
  UDP    0.0.0.0:54771          *:*                                    1632
  UDP    0.0.0.0:54777          *:*                                    1632
  UDP    0.0.0.0:54809          *:*                                    1632
  UDP    0.0.0.0:54814          *:*                                    1632
  UDP    0.0.0.0:54849          *:*                                    1632
  UDP    0.0.0.0:54895          *:*                                    1632
  UDP    0.0.0.0:54908          *:*                                    1632
  UDP    0.0.0.0:54976          *:*                                    1632
  UDP    0.0.0.0:54977          *:*                                    1632
  UDP    0.0.0.0:55032          *:*                                    1632
  UDP    0.0.0.0:55056          *:*                                    1632
  UDP    0.0.0.0:55057          *:*                                    1632
  UDP    0.0.0.0:55078          *:*                                    1632
  UDP    0.0.0.0:55110          *:*                                    1632
  UDP    0.0.0.0:55119          *:*                                    1632
  UDP    0.0.0.0:55126          *:*                                    1632
  UDP    0.0.0.0:55165          *:*                                    1632
  UDP    0.0.0.0:55179          *:*                                    1632
  UDP    0.0.0.0:55222          *:*                                    1632
  UDP    0.0.0.0:55227          *:*                                    1632
  UDP    0.0.0.0:55238          *:*                                    1632
  UDP    0.0.0.0:55244          *:*                                    1632
  UDP    0.0.0.0:55293          *:*                                    1632
  UDP    0.0.0.0:55295          *:*                                    1632
  UDP    0.0.0.0:55307          *:*                                    1632
  UDP    0.0.0.0:55311          *:*                                    1632
  UDP    0.0.0.0:55336          *:*                                    1632
  UDP    0.0.0.0:55341          *:*                                    1632
  UDP    0.0.0.0:55398          *:*                                    1632
  UDP    0.0.0.0:55465          *:*                                    1632
  UDP    0.0.0.0:55466          *:*                                    1632
  UDP    0.0.0.0:55492          *:*                                    1632
  UDP    0.0.0.0:55538          *:*                                    1632
  UDP    0.0.0.0:55551          *:*                                    1632
  UDP    0.0.0.0:55561          *:*                                    1632
  UDP    0.0.0.0:55601          *:*                                    1632
  UDP    0.0.0.0:55662          *:*                                    1632
  UDP    0.0.0.0:55665          *:*                                    1632
  UDP    0.0.0.0:55674          *:*                                    1632
  UDP    0.0.0.0:55758          *:*                                    1632
  UDP    0.0.0.0:55781          *:*                                    1632
  UDP    0.0.0.0:55839          *:*                                    1632
  UDP    0.0.0.0:55842          *:*                                    1632
  UDP    0.0.0.0:55854          *:*                                    1632
  UDP    0.0.0.0:55877          *:*                                    1632
  UDP    0.0.0.0:55914          *:*                                    1632
  UDP    0.0.0.0:55964          *:*                                    1632
  UDP    0.0.0.0:55966          *:*                                    1632
  UDP    0.0.0.0:55986          *:*                                    1632
  UDP    0.0.0.0:56001          *:*                                    1632
  UDP    0.0.0.0:56013          *:*                                    1632
  UDP    0.0.0.0:56072          *:*                                    1632
  UDP    0.0.0.0:56113          *:*                                    1632
  UDP    0.0.0.0:56125          *:*                                    1632
  UDP    0.0.0.0:56185          *:*                                    1632
  UDP    0.0.0.0:56217          *:*                                    1632
  UDP    0.0.0.0:56247          *:*                                    1632
  UDP    0.0.0.0:56251          *:*                                    1632
  UDP    0.0.0.0:56271          *:*                                    1632
  UDP    0.0.0.0:56296          *:*                                    1632
  UDP    0.0.0.0:56298          *:*                                    1632
  UDP    0.0.0.0:56320          *:*                                    1632
  UDP    0.0.0.0:56367          *:*                                    1632
  UDP    0.0.0.0:56377          *:*                                    1632
  UDP    0.0.0.0:56407          *:*                                    1632
  UDP    0.0.0.0:56426          *:*                                    1632
  UDP    0.0.0.0:56430          *:*                                    1632
  UDP    0.0.0.0:56435          *:*                                    1632
  UDP    0.0.0.0:56443          *:*                                    1632
  UDP    0.0.0.0:56505          *:*                                    1632
  UDP    0.0.0.0:56534          *:*                                    1632
  UDP    0.0.0.0:56546          *:*                                    1632
  UDP    0.0.0.0:56547          *:*                                    1632
  UDP    0.0.0.0:56590          *:*                                    1632
  UDP    0.0.0.0:56666          *:*                                    1632
  UDP    0.0.0.0:56730          *:*                                    1632
  UDP    0.0.0.0:56737          *:*                                    1632
  UDP    0.0.0.0:56764          *:*                                    1632
  UDP    0.0.0.0:56807          *:*                                    1632
  UDP    0.0.0.0:56837          *:*                                    1632
  UDP    0.0.0.0:56903          *:*                                    1632
  UDP    0.0.0.0:57007          *:*                                    1632
  UDP    0.0.0.0:57080          *:*                                    1632
  UDP    0.0.0.0:57088          *:*                                    1632
  UDP    0.0.0.0:57164          *:*                                    1632
  UDP    0.0.0.0:57199          *:*                                    1632
  UDP    0.0.0.0:57244          *:*                                    1632
  UDP    0.0.0.0:57253          *:*                                    1632
  UDP    0.0.0.0:57317          *:*                                    1632
  UDP    0.0.0.0:57328          *:*                                    1632
  UDP    0.0.0.0:57329          *:*                                    1632
  UDP    0.0.0.0:57362          *:*                                    1632
  UDP    0.0.0.0:57367          *:*                                    1632
  UDP    0.0.0.0:57384          *:*                                    1632
  UDP    0.0.0.0:57420          *:*                                    1632
  UDP    0.0.0.0:57465          *:*                                    1632
  UDP    0.0.0.0:57474          *:*                                    1632
  UDP    0.0.0.0:57491          *:*                                    1632
  UDP    0.0.0.0:57510          *:*                                    1632
  UDP    0.0.0.0:57523          *:*                                    1632
  UDP    0.0.0.0:57576          *:*                                    1632
  UDP    0.0.0.0:57615          *:*                                    1632
  UDP    0.0.0.0:57650          *:*                                    1632
  UDP    0.0.0.0:57670          *:*                                    1632
  UDP    0.0.0.0:57680          *:*                                    1632
  UDP    0.0.0.0:57707          *:*                                    1632
  UDP    0.0.0.0:57753          *:*                                    1632
  UDP    0.0.0.0:57775          *:*                                    1632
  UDP    0.0.0.0:57800          *:*                                    1632
  UDP    0.0.0.0:57804          *:*                                    1632
  UDP    0.0.0.0:57819          *:*                                    1632
  UDP    0.0.0.0:57831          *:*                                    1632
  UDP    0.0.0.0:57846          *:*                                    1632
  UDP    0.0.0.0:57852          *:*                                    1632
  UDP    0.0.0.0:57864          *:*                                    1632
  UDP    0.0.0.0:57948          *:*                                    1632
  UDP    0.0.0.0:57956          *:*                                    1632
  UDP    0.0.0.0:57963          *:*                                    1632
  UDP    0.0.0.0:57965          *:*                                    1632
  UDP    0.0.0.0:58004          *:*                                    1632
  UDP    0.0.0.0:58022          *:*                                    1632
  UDP    0.0.0.0:58031          *:*                                    1632
  UDP    0.0.0.0:58067          *:*                                    1632
  UDP    0.0.0.0:58079          *:*                                    1632
  UDP    0.0.0.0:58100          *:*                                    1632
  UDP    0.0.0.0:58102          *:*                                    1632
  UDP    0.0.0.0:58111          *:*                                    1632
  UDP    0.0.0.0:58157          *:*                                    1632
  UDP    0.0.0.0:58172          *:*                                    1632
  UDP    0.0.0.0:58173          *:*                                    1632
  UDP    0.0.0.0:58181          *:*                                    1632
  UDP    0.0.0.0:58211          *:*                                    1632
  UDP    0.0.0.0:58212          *:*                                    1632
  UDP    0.0.0.0:58244          *:*                                    1632
  UDP    0.0.0.0:58262          *:*                                    1632
  UDP    0.0.0.0:58265          *:*                                    1632
  UDP    0.0.0.0:58266          *:*                                    1632
  UDP    0.0.0.0:58270          *:*                                    1632
  UDP    0.0.0.0:58293          *:*                                    1632
  UDP    0.0.0.0:58299          *:*                                    1632
  UDP    0.0.0.0:58364          *:*                                    1632
  UDP    0.0.0.0:58391          *:*                                    1632
  UDP    0.0.0.0:58409          *:*                                    1632
  UDP    0.0.0.0:58433          *:*                                    1632
  UDP    0.0.0.0:58435          *:*                                    1632
  UDP    0.0.0.0:58446          *:*                                    1632
  UDP    0.0.0.0:58515          *:*                                    1632
  UDP    0.0.0.0:58565          *:*                                    1632
  UDP    0.0.0.0:58585          *:*                                    1632
  UDP    0.0.0.0:58598          *:*                                    1632
  UDP    0.0.0.0:58602          *:*                                    1632
  UDP    0.0.0.0:58622          *:*                                    1632
  UDP    0.0.0.0:58629          *:*                                    1632
  UDP    0.0.0.0:58671          *:*                                    1632
  UDP    0.0.0.0:58672          *:*                                    1632
  UDP    0.0.0.0:58740          *:*                                    1632
  UDP    0.0.0.0:58745          *:*                                    1632
  UDP    0.0.0.0:58775          *:*                                    1632
  UDP    0.0.0.0:58777          *:*                                    1632
  UDP    0.0.0.0:58816          *:*                                    1632
  UDP    0.0.0.0:58849          *:*                                    1632
  UDP    0.0.0.0:58894          *:*                                    1632
  UDP    0.0.0.0:58913          *:*                                    1632
  UDP    0.0.0.0:58942          *:*                                    1632
  UDP    0.0.0.0:58964          *:*                                    1632
  UDP    0.0.0.0:58975          *:*                                    1632
  UDP    0.0.0.0:59020          *:*                                    1632
  UDP    0.0.0.0:59041          *:*                                    1632
  UDP    0.0.0.0:59044          *:*                                    1632
  UDP    0.0.0.0:59052          *:*                                    1632
  UDP    0.0.0.0:59077          *:*                                    1632
  UDP    0.0.0.0:59120          *:*                                    1632
  UDP    0.0.0.0:59137          *:*                                    1632
  UDP    0.0.0.0:59218          *:*                                    1632
  UDP    0.0.0.0:59258          *:*                                    1632
  UDP    0.0.0.0:59283          *:*                                    1632
  UDP    0.0.0.0:59303          *:*                                    1632
  UDP    0.0.0.0:59305          *:*                                    1632
  UDP    0.0.0.0:59313          *:*                                    1632
  UDP    0.0.0.0:59331          *:*                                    1632
  UDP    0.0.0.0:59335          *:*                                    1632
  UDP    0.0.0.0:59349          *:*                                    1632
  UDP    0.0.0.0:59383          *:*                                    1632
  UDP    0.0.0.0:59451          *:*                                    1632
  UDP    0.0.0.0:59470          *:*                                    1632
  UDP    0.0.0.0:59515          *:*                                    1632
  UDP    0.0.0.0:59525          *:*                                    1632
  UDP    0.0.0.0:59547          *:*                                    1632
  UDP    0.0.0.0:59617          *:*                                    1632
  UDP    0.0.0.0:59632          *:*                                    1632
  UDP    0.0.0.0:59693          *:*                                    1632
  UDP    0.0.0.0:59700          *:*                                    1632
  UDP    0.0.0.0:59703          *:*                                    1632
  UDP    0.0.0.0:59739          *:*                                    1632
  UDP    0.0.0.0:59740          *:*                                    1632
  UDP    0.0.0.0:59753          *:*                                    1632
  UDP    0.0.0.0:59788          *:*                                    1632
  UDP    0.0.0.0:59793          *:*                                    1632
  UDP    0.0.0.0:59820          *:*                                    1632
  UDP    0.0.0.0:59875          *:*                                    1632
  UDP    0.0.0.0:59895          *:*                                    1632
  UDP    0.0.0.0:59911          *:*                                    1632
  UDP    127.0.0.1:53           *:*                                    1632
  UDP    127.0.0.1:123          *:*                                    832
  UDP    127.0.0.1:1036         *:*                                    1632
  UDP    127.0.0.1:1048         *:*                                    2264
  UDP    127.0.0.1:1063         *:*                                    2228
  UDP    127.0.0.1:1085         *:*                                    212
  UDP    127.0.0.1:1087         *:*                                    2436
  UDP    127.0.0.1:1093         *:*                                    1160
  UDP    127.0.0.1:1122         *:*                                    160
  UDP    127.0.0.1:1137         *:*                                    3900
  UDP    127.0.0.1:1155         *:*                                    4248
  UDP    127.0.0.1:1219         *:*                                    1172
  UDP    127.0.0.1:1221         *:*                                    348
  UDP    127.0.0.1:1241         *:*                                    4156
  UDP    127.0.0.1:1248         *:*                                    860
  UDP    127.0.0.1:1249         *:*                                    860
  UDP    127.0.0.1:1250         *:*                                    5780
  UDP    127.0.0.1:1264         *:*                                    5228
  UDP    127.0.0.1:1273         *:*                                    1592
  UDP    127.0.0.1:1279         *:*                                    6916
  UDP    127.0.0.1:1284         *:*                                    6916
  UDP    127.0.0.1:1452         *:*                                    860
  UDP    127.0.0.1:2065         *:*                                    1748
  UDP    127.0.0.1:3456         *:*                                    2228
  UDP    127.0.0.1:3457         *:*                                    2228
  UDP    127.0.0.1:27082        *:*                                    1632
  UDP    192.168.0.5:53         *:*                                    1632
  UDP    192.168.0.5:67         *:*                                    212
  UDP    192.168.0.5:68         *:*                                    212
  UDP    192.168.0.5:88         *:*                                    408
  UDP    192.168.0.5:123        *:*                                    832
  UDP    192.168.0.5:137        *:*                                    4
  UDP    192.168.0.5:138        *:*                                    4
  UDP    192.168.0.5:389        *:*                                    408
  UDP    192.168.0.5:464        *:*                                    408
  UDP    192.168.0.5:2535       *:*                                    212
  UDP    192.168.0.105:88       *:*                                    408
  UDP    192.168.0.105:123      *:*                                    832
  UDP    192.168.0.105:389      *:*                                    408
  UDP    192.168.0.105:464      *:*                                    408

0
 
pgm554Author Commented:
Here's some of the security log files:
Logon Failure:
       Reason:      Unknown user name or bad password
       User Name:      Admin
       Domain:      
       Logon Type:      10
       Logon Process:      User32
       Authentication Package:      Negotiate
       Workstation Name:      
       Caller User Name:      
       Caller Domain:      
       Caller Logon ID:      (0x0,0x3E7)
       Caller Process ID:      12088
       Transited Services:      -
       Source Network Address:      87.98.138.96
       Source Port:      3339
Logon Failure:
       Reason:      Unknown user name or bad password
       User Name:      Admin
       Domain:      
       Logon Type:      10
       Logon Process:      User32
       Authentication Package:      Negotiate
       Workstation Name:      N
       Caller User Name:      
       Caller Domain:      L
       Caller Logon ID:      (0x0,0x3E7)
       Caller Process ID:      10480
       Transited Services:      -
       Source Network Address:      66.208.239.46
       Source Port:      4490
Logon Failure:
       Reason:      Unknown user name or bad password
       User Name:      Administrator
       Domain:      
       Logon Type:      10
       Logon Process:      User32
       Authentication Package:      Negotiate
       Workstation Name:      
       Caller User Name:      
       Caller Domain:      
       Caller Logon ID:      (0x0,0x3E7)
       Caller Process ID:      620
       Transited Services:      -
       Source Network Address:      173.162.137.65
       Source Port:      51176
Logon Failure:
       Reason:      Unknown user name or bad password
       User Name:      xerox
       Domain:      
       Logon Type:      10
       Logon Process:      User32
       Authentication Package:      Negotiate
       Workstation Name:      
       Caller User Name:      
       Caller Domain:      
       Caller Logon ID:      (0x0,0x3E7)
       Caller Process ID:      12012
       Transited Services:      -
       Source Network Address:      61.164.148.18
       Source Port:      3148
Logon Failure:
       Reason:      Unknown user name or bad password
       User Name:      Thomas
       Domain:      
       Logon Type:      10
       Logon Process:      User32
       Authentication Package:      Negotiate
       Workstation Name:      
       Caller User Name:      
       Caller Domain:      
       Caller Logon ID:      (0x0,0x3E7)
       Caller Process ID:      3392
       Transited Services:      -
       Source Network Address:      173.220.57.235
       Source Port:      2731
0
A Cyber Security RX to Protect Your Organization

Join us on December 13th for a webinar to learn how medical providers can defend against malware with a cyber security "Rx" that supports a healthy technology adoption plan for every healthcare organization.

 
Dirk KotteSECommented:
how can external users reach your server?
you are using an external router / firewall?
do you have port forwarding to your SBS? Which ports?

Do you publish some services to the internet (like RDP,WWW,...)
0
 
Dirk KotteSECommented:
at the first listing the proccess with id 1632 has many open ports.
within the proccess list from taskmanager ad the column proccess-id and look for the corresponding proccss.
0
 
pgm554Author Commented:
External router with these ports forwarded:

1   SMTP  
 2   vpn
 3   HTTP  
 4   ssl
 5   termsvc  
 6   remote
 7   companyweb

I don't see a PID associated with port 1632 in the netstat -ano window
0
 
pgm554Author Commented:
I don't see anything like this
Port-Information-sm-1-.png
0
 
Dirk KotteSECommented:
1632 is the ProccessID !
0
 
pgm554Author Commented:
dns.exe
0
 
Dirk KotteSECommented:
many dns-requests are ok.

i think it is not the best idea to publish services with domain-logon to the internet.
the administrator-account dont have a security lock - so it is possible to run a brute force attack against this account.
with RDP and Win2003 this con be used to search the administrator-account.
(rename the default domain-admin account make it more difficould for the attacker)
the most times recommend our customers the usage of 2 factor authentication - thes protect the domain account against recognition and DOS (many different access-request from outside can lock the domain-account).
0
 
pand0ra_usaCommented:
So the server is under attack. Have you done an external port scan to verify those are the only ports open to the internet? Also, just curious but why is TS being forwarded (this is a bad idea to have this port open)?  What do you mean by the "remote" port being forwarded?
0
 
bbaoIT ConsultantCommented:
no wondering so many ports are exposed to the internet as the server is a SBS by design, though such an approach is highly not recommended.

instead of the protocol names, can you clarify the port numbers for all ports being forwarded??
0
 
pgm554Author Commented:
I'm probably just going to put a unified threat management device up as it looks as if the attacks are just a robo script kiddie looking for a back door in.

I don't see these attacks on any other of my customer sites,so I'll just call it a day.
0
 
pgm554Author Commented:
No definitive solution was given and it appears as if there is no black and white answer.

Just close question please.
0

Featured Post

What does it mean to be "Always On"?

Is your cloud always on? With an Always On cloud you won't have to worry about downtime for maintenance or software application code updates, ensuring that your bottom line isn't affected.

Tackle projects and never again get stuck behind a technical roadblock.
Join Now