Powershell skript für überwachung von Änderungen

[lkay2017 0]

Moin,

ich würde gerne ein Skript erstellen um mir fix anzeigen zu lassen:

Welcher User in einem Zeitraum von X welche Dateien verändert hat.

 

Hintergrund:

ich möchte rausfinden, welche Daten durch das Adminkonto verändert wurden in einem Zeitraum von 14 Tagen.

Mein Server wurde gekapert und ich möchte gerne sicherstellen das nicht noch mehr Schaden vorgenommen wurde. 

Woher der Angreifer kam ist schon bekannt, die Frage ist nur was er gemacht hat. Scheint alles normal zu sein.

Es wurde lediglich Firefox in der englischen Version installiert -ohne Plugins. Die  Ereignisanzeige wurde brav zurückgesetzt..

 

[NilsK 2.934]

Moin,

 

noch mal langsam. Du willst einen Report haben über Änderungen in der Vergangenheit? Oder willst du überwachen, was ab jetzt passiert?

 

Gruß, Nils

[mba 133]

Dein Sever steht im Internet? Rootserver?

[lkay2017 0]

moin Nils,

ich würde gerne sehen was in der Vergangenheit passiert ist. Quasi in den letzten 14 Tagen. Das Adminkonto "Administrator" wurde eigentlich nie benutzt.

Jeder User der Rechte benötigt hat sie bekommen. somit wurde der Account nicht genutzt. War aber auch nicht deaktiviert.. :(

nun habe ich rausgefunden das sich jemand mit dem Konto verbunden hatte und knapp 7 Std damit rumgespielt hat.

 

Mich würde halt mal interessieren was ein Fremder 7 Std auf meinem Server macht. Was er verändert hat oder für Daten geschrieben hat.

 

Großartig nachvollziehen kann ich nicht was alles gemacht wurde. Die Ereignis Protokolle wurden gesäubert.. Lediglich konnte ich nachvollziehen das eine englische Version vom Firefox installiert wurde.

@mba mein Server steht zuhause bei mir und ist mit dem Internet verbunden. Ich hoste da quasi Daten für mich, Familie und bekannte drauf.

diesmal also rein privat..

[MurdocX 949]

Und logischerweise war der RDP-Port ins Internet veröffentlicht, oder?

[Dukel 454]

Und du glaubst das du alles findest was der Angreifer gemacht hat? Nimm den Server vom Netz und installiere ihn neu!

 

Wenn du _wirklich_ wissen willst, was gemacht wurde dann brauchst du entsprechende Forensik Tools und kein Powershell Script.

Wenn der Angreifer etwas besser war kann er seine Aktionen so verschleiern, dass die normalen Bordmittel die Änderungen nicht anzeigen.

[NilsK 2.934]

Moin,

 

Dukel hat völlig Recht. Nimm den Server vom Netz. Sichere, was du an Daten sichern kannst. Lösche alles und installiere den Server neu. Wenn jemand das Eventlog löscht, wird er einen Grund dazu haben. Du kannst dem System nicht mehr trauen. Es sofort vom Netz zu nehmen, ist daher auch ein Gebot der Verantwortung allen anderen gegenüber.

 

Die gesicherten Daten prüfst du mit aktuellen Malwarescannern, bevor du irgendwas anderes damit machst.

 

Gruß, Nils

[lkay2017 0]

jut, hab ihm gerade die nw karte genommen und wenn ich zuhause bin werd ich ihn übers wochenende neu machen.. schade.. ;)

[Piranha 18]

Und was unternimmst du das dies nicht nochmals passiert? ;)

[Sunny61 806]

Natürlich diesmal den Administrator deaktivieren, reicht das nicht? :)

[lefg 276]

Es konnte sich jemand mit dem Administratorkonto anmelden, kannte der das Kennwort, wie kam der dazu?

[lkay2017 0]

Ich bin mit nicht ganz sicher ob der jemand Insider ist und das Kennwort kannte oder irgendeine Lücke genutzt hatte. Normalerweise deaktiviere ich den Administrator und erstelle User mit deren Privilegien... 

@Piranha avira reicht doch oder meinst du nicht? -> ich habe eine Sophos Firewall dahinter... Server Protection & Eset läuft ebenfalls. Updates sind meist up to date.. 

[Piranha 18]

Was hat Avira damit zu tun?!