sockel7 10 Geschrieben 13. Juni 2011 Melden Teilen Geschrieben 13. Juni 2011 Hallo, ich bin der neue hier im Forum. :) ich möchte gleich mal vorweg schicken, das ich den Beruf des Admins nicht gelernt habe. Sonder eher in diesen Job reingerutscht bin. Also bitte habt etwas nachsicht mit mir. nur flott zu meinem Problem. Ich habe vor kurzem 3 Server in unterschiedlichen Städten übernommen. Nun ist es so, das ich meinen vorgänger aus den Systemen verbannen muss. Ich muss ausschließen können , das dieser noch weiteren zugriff auf die Rechner hat. Nach einem Telefonat hat er mir demonstriert, das er diesen immernoch hat. !!!! nun mal meine ****e frage ! Wie kann ich erkennen, wer wann was auf dem Server gemacht hat. Über welche Sicherheitslücke er das geschaft hat. Wenn ich ihn richtig verstanden habe, hat er wohl über RDP auf den Desktop zugegriffen obwohl ich alle Admin Passwörter geändert habe. Wo kann ich das sehen wie und über welche lücke er das gemacht hat. Die ereignissanzeige hillft mir nicht viel. Gibts evtl. eine Software die sowas verständlich protokolliert ? hilft dann eine Hardwarefirewall ? Bitte im Hilfe. Vielen Dank schon mal im vorraus an alle die mir helfen wollen. Übrigens alles Server neu installieren ist keine Option :) Link zu diesem Kommentar
Dukel 457 Geschrieben 13. Juni 2011 Melden Teilen Geschrieben 13. Juni 2011 Wenn du ganz sicher gehen willst installiere die Kisten neu. Ich würde außerdem schauen, ob andere User außer der Admin Adminrechte besitzen. Link zu diesem Kommentar
XP-Fan 219 Geschrieben 13. Juni 2011 Melden Teilen Geschrieben 13. Juni 2011 Hallo und herzlich Willkommen an Board, du schreibst du hast 3 Server übernommen. Was ist darunter zu verstehen ? Link zu diesem Kommentar
sockel7 10 Geschrieben 13. Juni 2011 Autor Melden Teilen Geschrieben 13. Juni 2011 3 Server bedeutet, Die Firma hat drei Standpunkte. Jeweils eine andere Stadt. Da steht immer ein eigener Server drin. Neuinstallation kommt "erstmal" nicht in Frage. Adminrechte habe nur ich mit meinem ACC. Alle anderen sind deaktiviert. Mein EX Kollege meinte noch das ich zu viele Ports offen habe und man könnte darüber einbrechen. Das ist mir klar, aber wie kann ich das erkennen das einer drin war ? und was hat er gemacht ? Daten geladen irgendwas verstellt, usw. Gruß Link zu diesem Kommentar
lefg 276 Geschrieben 13. Juni 2011 Melden Teilen Geschrieben 13. Juni 2011 Hallo, er könnte eine Backdor eingerichtet haben, ganz einfach Teamviever-Server. Ist der Ex raus aus der Firma oder nur aus der IT? Gibt es bei euch ein von Internet zugängliches Mitarbeiterportal? Kann er vom Internet über die Router einbrechen? Ich empfehle, spreche ganz schnell mit der Leitung, weiter einen fachkundigen Dienstleister holen. Link zu diesem Kommentar
sockel7 10 Geschrieben 13. Juni 2011 Autor Melden Teilen Geschrieben 13. Juni 2011 EX ist ganz raus aus der Firma. Teamviewer läuft nicht... nicht das das ich kenne. Mitarbeiterportal ? fast alle können ins internet. Das Gespräch mit der Leitung steht eh für morgen an. Das mach ich so oder so. Aber ich wollte auch evtl. Beweise sichern wie er es geschaft hat. Desweiteren muss ich wissen wie ich eine Wiederholung ausschließen kann. Über den Router einbrechen ? kann ich nicht beantworten. Sind einfache Fritzboxen. Gruß Link zu diesem Kommentar
lefg 276 Geschrieben 13. Juni 2011 Melden Teilen Geschrieben 13. Juni 2011 .....Sind einfache Fritzboxen.Gruß Nun, dann schau doch mal auf die Konfiguration der Boxen! Mache einen Reset auf die Werkseinstellungen, tausche die Dinger gegen unverdächtige Geräte aus. Du kennst den Teamviever Server? Falls er ein Geschickter ist, dann wirst Du einen Teamviever nicht mal erkennen. Es kann aber auch eine andere Backdor sein. Hat der ExKollege tatsächlich dir bewiesen, dass er noch bei euch reinkommt, oder hat er dir nur Angst gemacht? OK, sopreche mit der Leitung, die sollen über das Bestellen der Forensiker entscheiden, eventuell über eine Strafanzeige. Link zu diesem Kommentar
lefg 276 Geschrieben 13. Juni 2011 Melden Teilen Geschrieben 13. Juni 2011 .....Mitarbeiterportal ? fast alle können ins internet...... Das ist nicht damit gemeint. Über das Mitarbeiterportal unserer Firma ist von unseren Mitarbeitern aus dem Intranet und dem Internet erreichbar, aus dem Internet per VPN. Hat der Ex möglicherweise eine VPN-Verbindung eingerichtet? Die tunneld nämlich durch unter den Firewalls der Fritzboxen. Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Juni 2011 Melden Teilen Geschrieben 13. Juni 2011 ich möchte gleich mal vorweg schicken, das ich den Beruf des Admins nicht gelernt habe. Sonder eher in diesen Job reingerutscht bin. Also bitte habt etwas nachsicht mit mir. Wir haben Nachsicht mit dir weshalb wir auch versucht haben dir zu helfen. Da du so wie es aussieht und wie du selbst sagst nur ruimentäres Verständnis der Technoligien hast. Zudem gibt es da jemanden der euch nicht wohl gesonnen ist aber offensichtlich deutlich mehr Ahnung als du hast. Das ist eine so gefährliche Kombination dass dir mehrfach ans Herz gelegt wurde einen Fachmann hinzu zu ziehen. Dem ist nichts hinzuzufügen und da wir nicht mitverantwortlich sein wollen wenn jemand dir deine Server zerschießt endet unser Support hier. Alles was wir für dich tun können haben wir bereits getan. Wenn du die Server neu installiert hast oder ein Fachmann die Server sauber dicht gemacht hat (was AFAIK nur durch eine Neuinstallation realistich machbar ist) helfen wir dir gerne weiter. Dieser beitrag ist geschlossen. Vielen Dank für dein Verständnis. Link zu diesem Kommentar
Empfohlene Beiträge