Hallo,

ich habe ein schwerwiegendes Problem,
mein Monitoring Tool hat mir gemeldet das seit dem 26.03.17 massenweisen (ca. 20.000-30.000 pro Tag) fehlerhafte Anmeldungen in meinem Netzwerk erfolgen.
Das ganze wird auf meinen beiden Domänencontroller auch fleißig mitgeloggt in den Sicherheitsprotokollen, jedoch ist die Quelle dabei nicht ersichtlich weil dort immer andere Clients und Server drin stehen.
Die gesamte Netzwerk Umgebung umfasst ca. 30 Clients (Win 7 PCs + Win10), 16 virtuelle Maschinen auf ESXi 5.5 Host (Betriebssysteme sind im Einsatz: Server 2008R2, 2012R2, CentOS, Win7)
Ich habe schon auf alle Server und Clients einen Vollscan mit meinem Virenscanner gemacht. Es wurde nirgendwo was gefunden.
Die Anmeldenamen, mit denen falsch Anmeldungen im Netzwerk getätigt werden, sind fiktiv und ändern sich ständig. Wie diese aussehen, seht ihr anhand des beigefügten Screenshots.

RDP Ports von extern habe ich nicht offen.
Von extern leite ich nur FTP und http auf interne Systeme weiter. Das sind beides Linux Maschinen.
Ich werde die Ports heute temporär auch dicht machen um zu schauen ob der Angriff von intern oder extern kommt - ich vermute aber eher von intern.

Ich weiß absolut nicht weiter wie ich das ganze eingrenzen soll, woher die Anmeldeversuche stammen.

Hier ist ein Auszug von den Sicherheitslogs meines Domänencontroller:

- <Event xmlns="hxxp://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2017-03-29T09:40:45.223671500Z" />
<EventRecordID>35479642</EventRecordID>
<Correlation />
<Execution ProcessID="504" ThreadID="5360" />
<Channel>Security</Channel>
<Computer>DC2.domäne.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName" />
<Data Name="Workstation">\\DFG-1</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>




- <Event xmlns="hxxp://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2017-03-29T14:11:56.065766000Z" />
<EventRecordID>61671983</EventRecordID>
<Correlation />
<Execution ProcessID="488" ThreadID="392" />
<Channel>Security</Channel>
<Computer>DC1.domäne.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">LOCALHOST$</Data>
<Data Name="Workstation">LOCALHOST</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>


Wie kann ich die Sache eingrenzen?

Ich glaube nicht, dass eine klassische Bereinigung mit MBAR und Co zu etwas führen wird und verschiebe daher mal in den Diskussionsbereich.