http://forum.geizhals.at/feed.jsp?id=885305 Geizhals-Forum http://forum.geizhals.at/t885305,7742822.html#7742822 You're welcome.<br/> Thu, 12 Jan 2017 22:53:35 GMT http://forum.geizhals.at/t885305,7742822.html#7742822 Srv-02 2017-01-12T22:53:35Z http://forum.geizhals.at/t885305,7742790.html#7742790 Vielen Dank, das könnts gewesen sein. hab jetzt die authentication mal abgedreht<br/> Thu, 12 Jan 2017 21:08:19 GMT http://forum.geizhals.at/t885305,7742790.html#7742790 zeddicus 2017-01-12T21:08:19Z http://forum.geizhals.at/t885305,7742723.html#7742723 Das ist zu 100% der IIS bei dem du NTLM (Integrierte Authentifizierung) auf einer Instanz erlaubst. Du wirst bestimmt unter dem selben Timestamp einen Zugriff in den IIS Logs finden.<br><br>Default unter: C:\inetpub\LogFiles\logs\W3SVCx\*.log<br/> Thu, 12 Jan 2017 18:21:27 GMT http://forum.geizhals.at/t885305,7742723.html#7742723 Srv-02 2017-01-12T18:21:27Z http://forum.geizhals.at/t885305,7742705.html#7742705 Hm, muss ich mal schaun ob ich beim IIS was mit Authentifizierung laufen hab. (Ist mein webserver).<br><br>ich schau nachher mal rauf wo ich überall raushorch, bin grad mobil unterwegs <br/> Thu, 12 Jan 2017 17:55:45 GMT http://forum.geizhals.at/t885305,7742705.html#7742705 zeddicus 2017-01-12T17:55:45Z http://forum.geizhals.at/t885305,7742680.html#7742680 Das kann jeder Port sein auf dem du einen Listener hast, meistens Web Server mit Integrierter Authentifizierung oder direkt 1423.<br><br>Poste mal was du bei netstat rausbekommst (als Administrator), gern auch per PM.<br/> Thu, 12 Jan 2017 16:37:28 GMT http://forum.geizhals.at/t885305,7742680.html#7742680 Srv-02 2017-01-12T16:37:28Z http://forum.geizhals.at/t885305,7742272.html#7742272 <a href="https://www.abuseipdb.com/check/23.27.127.246" rel="noopener" target="_blank">https:/<wbr/>/<wbr/>www.abuseipdb.com/<wbr/>check/<wbr/>23.27.127.246</a> <br/> Thu, 12 Jan 2017 08:47:41 GMT http://forum.geizhals.at/t885305,7742272.html#7742272 mko 2017-01-12T08:47:41Z http://forum.geizhals.at/t885305,7742231.html#7742231 Mir fällt momentan nur Wireshark oder mit Tracen ein.<br>Ob man das Audit Log dafür höher drehen kann, weiß ich grad nicht.<br/> Thu, 12 Jan 2017 08:02:10 GMT http://forum.geizhals.at/t885305,7742231.html#7742231 tridh 2017-01-12T08:02:10Z http://forum.geizhals.at/t885305,7742227.html#7742227 Bei mir versucht offensichtlich wer, sich einzuloggen:<br><br><img src="http://i.imgur.com/dAR4z5a.png"/><img/><br><br><br>Die Frage ist: Über wo probiert er das? RDP Port ist nur fürs VPN freigegeben. Seh ich irgendwo genauer wo der rein wollte?<br/> Thu, 12 Jan 2017 07:57:59 GMT http://forum.geizhals.at/t885305,7742227.html#7742227 zeddicus 2017-01-12T07:57:59Z http://forum.geizhals.at/t885305,7742229.html#7742229 Bei mir versucht offensichtlich wer, sich einzuloggen:<br><br><img src="http://i.imgur.com/dAR4z5a.png"/><img/><br><br><br>Die Frage ist: Über wo probiert er das? RDP Port ist nur fürs VPN freigegeben. Seh ich irgendwo genauer wo der rein wollte? Ich seh ja nur den Source Port, der Destination Port wär wesentlich interessanter<br/> Thu, 12 Jan 2017 07:57:59 GMT http://forum.geizhals.at/t885305,7742229.html#7742229 zeddicus 2017-01-12T07:57:59Z