Userkonto verstecken

[Damian 1.530]

Ich hab eine Frage an alle W2k-Gurus hier im Forum!

 

Wie ist es möglich, auf einem W2k-DC ein Userkonto einzurichten und dann so zu verstecken, dass es mit normalen Bordmitteln weder angezeigt noch bearbeitet werden kann? :shock:

 

Aktueller Grund: ein W2k-DC wurde geknackt (wie, ist noch nicht ganz klar) und ein User X (sehr sinnig :mad: ) eingerichtet. Dieses Konto habe ich erst entdeckt, nachdem ich einen Security-Scanner (GFI LanGuard) eingesetzt habe.

 

Wie ist sowas möglich? Wenn dieses Thema für ein öffentliches Posting zu heiß ist, können mir Infos auch per Mail zugeschickt werden. Vielleicht weiß jemand eine Webseite, wo darauf eingegangen wird.

 

Vielen Dank im Vorraus.

 

Damian

[Roi Danton 10]

Moin,

 

auf einem DC sollte es nicht möglich sein ein Konto zu erzeugen, da der DC "NUR NOCH" mit Domain-Accounts arbeitet.

Kann es nicht sein, das dieser USER X nicht in irgend einer OU verschütt gegangen ist ???

 

Gruß,

 

Roi Danton

[Birger 10]

@ Roi

Bist Du sicher das es nicht möglich ist ein Lokales User Kto auf einem DC einzurichten?

Ich habe es so verstanden das der DC geknackt ist und auf dem DC ein Lokales Kto angelegt worden ist, kein neues Userkto in der Domäne sondern Lokal auf dem DC.

 

Was aber noch immer nicht klärt wie oder warum man das Kto nicht sehen kann.

 

@ Damian

Wenn Du darüber nähere Infos bekommst die hier nicht Öffentlich stehen würde ich mich freuen wenn Du mir darüber mal eine Mail senden kannst bzw eine PM.

 

Bist Du sicher das es ein Userkto ist, kann es nicht eine art Systemkto. sein? Also ein Kto das von irgend einem Dienst benötigt wird.

Zumindest unter Linux gibt es so etwas, das bestimmte Dienste oder Produkte eigene Konten anlegen.

mfg Birger

[Roi Danton 10]

Ja ich bin sicher, dass kein lokales Konto auf einem DC erzeugt werden kann.

Wenn Du einen Server zum DC promotest, werden alle lokalen kennungen und gruppen in domänen gruppen umgewandelt.

Ich wüste nicht wie man ein lokales Konto erzeugen soll.

 

Ein Gedankengang ist es natürlich...

Wenn ich ein Konto erzeugen könnte, würde man es natürlich nicht sehen... Da das ADS so etwas ja nicht vorsieht.

 

Aber wie gesagt daran kann ich nicht recht glauben.

Wie das Technisch genau abläuft weiss ich nicht aber die SAM des DC´s wird ja immer noch die selbe sein, nur das die jetzt mit anderen DC geteilt wird.

Ich denke nicht das der DC noch über eine zweite "nur" lokale SAM verfügt.

 

Gruß,

Roi Danton

[Damian 1.530]

Dieses Konto "X" wurde vom Scanner in der Liste der Domänenkonten angezeigt. Ich bin auch der Meinung von Roi Danton, dass auf einem DC keine lokalen Konten mehr geführt werden.

 

OU´s sind auf dem DC nicht definiert, dahin kann das Konto nicht verschwinden. :wink2:

 

Zur Zeit hab ich keinen Zugriff auf den DC, ein Kollege versucht sich daran. Ich werde ihn jetzt mal kontaktieren und fragen, ob er weitere Infos für mich hat. Ich werde mich auf jeden Fall noch mal melden, das Thema ist einfach zu tricky.

 

Damian

[Damian 1.530]

Nachtrag!

 

Mein Kollege konnte auf dem DC keine verdächtigen Einträge finden, zumindest nicht mit Bordmitteln.

 

Ich werde mich morgen selber an den Server setzen und versuchen, etwas heraus zu finden. Wer interessiert ist, sollte gegen Mittag noch einmal in diesen Thread schauen.

 

Damian

[Jim di Griz 13]

koennte es ein Maschinenbenutzeraccount sein?

 

zu jedem Rechner legt 2000 einen benutzer computernamen$ an, der nicht sichtbar ist (es sei denn adsiedit.msc moeglicherweise)

 

ueber den account weiss ich nicht mehr, aber die option "trust for delegation" sollte er auch haben, das heisst der server "traut prozessen die auf dem client laufen"?

 

Ausserdem gab es zumindest unter NT tricky Sachen mit Ordnern, die nicht sichtbar/zugreifbar waren, weil sie wie bestimmte regkeys benannt wurden.

[Jim di Griz 13]

wenn schon eine attacke im raum steht: moeglicherweise reste eines versuchs, ein rechner/laptop? in die domäne zu integrieren?

[Damian 1.530]

Hey, interessanter Hinweis! :suspect:

Werde ich mir morgen mal genauer anschauen.

 

Man kann von dieser Cracker-Meute halten was man will, aber die Jungs sind auf zack. Soviel verschwendete Energie und Sachkenntnis...

 

Damian

[blub 115]

Damian,

Den besten, da unverfälschten Blick auf AD bekommst du über eine LDAP-Abfrage, also z.b. mit ldp.exe

Alle anderen Tools wie adsiedit, snap-ins etc. lassen sich austricksen z.B. mit accountname$.

 

Gruss

blub

[Damian 1.530]

Danke für den Tipp, das wird morgen bestimmt ein netter Tag. ;)

 

Damian

[Damian 1.530]

Nachtrag zur gestrigen Diskussionsrunde.

 

Auf dem DC war heute - oh Wunder - das ominöse Userkonto "X" ganz normal sichtbar und konnte genauso einfach gelöscht werden.

 

Ich habe keinen blassen Schimmer, was sich auf diesem System inzwischen geändert hat!

 

@ Jim di Griz

Auch Hinweise darauf, dass ein zusätzlicher Rechner in die Domäne eingebracht werden sollte, sind nicht zu finden. Sehr merkwürdig das.

 

Ich hoffe, das System ist jetzt soweit bereinigt, dass es weiter produktiv laufen kann. Dank nochmal an alle, die mit Tipps und Infos geholfen haben.

 

Damian

[Birger 10]

Hast Du mal in den LOG Files nachgeschaut bzw in der Ereignisanzeige.

Dort müßte doch etwas zu sehen sein was sich seit gestern verändert hat.

[Damian 1.530]

Nein, da stand nichts ungewöhnliches drin.

 

Auch das Konto selber gab nix her. Erstellt am Samstag gegen 9 Uhr 28, Userkennung "X", kein Homeverzeichnis, kein Profilpfad, rein garnichts. Nur die Standardwerte, noch nicht einmal Admin-Kennung.

 

Ich denke, das waren die Reste einer Trojaner-Attacke. Dieses Miststück "msblast.exe" samt Anhang und eine Datei namens AiPtXX.exe wurden von einem Trojanerscanner identifiziert. Der installierte Norton AV war mausetot.

 

Ich hab heute morgen den ganzen Schrott runtergeworfen und seit dem läuft das System ohne Probleme. Werde in den nächsten Tagen noch ein wachsames Auge drauf haben.

 

Mehr Infos habe ich leider nicht, sorry.

 

Damian