lkay2017 0 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Moin, ich würde gerne ein Skript erstellen um mir fix anzeigen zu lassen: Welcher User in einem Zeitraum von X welche Dateien verändert hat. Hintergrund: ich möchte rausfinden, welche Daten durch das Adminkonto verändert wurden in einem Zeitraum von 14 Tagen. Mein Server wurde gekapert und ich möchte gerne sicherstellen das nicht noch mehr Schaden vorgenommen wurde. Woher der Angreifer kam ist schon bekannt, die Frage ist nur was er gemacht hat. Scheint alles normal zu sein. Es wurde lediglich Firefox in der englischen Version installiert -ohne Plugins. Die Ereignisanzeige wurde brav zurückgesetzt.. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Moin, noch mal langsam. Du willst einen Report haben über Änderungen in der Vergangenheit? Oder willst du überwachen, was ab jetzt passiert? Gruß, Nils Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Dein Sever steht im Internet? Rootserver? Zitieren Link zu diesem Kommentar
lkay2017 0 Geschrieben 13. Juni 2017 Autor Melden Teilen Geschrieben 13. Juni 2017 moin Nils, ich würde gerne sehen was in der Vergangenheit passiert ist. Quasi in den letzten 14 Tagen. Das Adminkonto "Administrator" wurde eigentlich nie benutzt. Jeder User der Rechte benötigt hat sie bekommen. somit wurde der Account nicht genutzt. War aber auch nicht deaktiviert.. :( nun habe ich rausgefunden das sich jemand mit dem Konto verbunden hatte und knapp 7 Std damit rumgespielt hat. Mich würde halt mal interessieren was ein Fremder 7 Std auf meinem Server macht. Was er verändert hat oder für Daten geschrieben hat. Großartig nachvollziehen kann ich nicht was alles gemacht wurde. Die Ereignis Protokolle wurden gesäubert.. Lediglich konnte ich nachvollziehen das eine englische Version vom Firefox installiert wurde. @mba mein Server steht zuhause bei mir und ist mit dem Internet verbunden. Ich hoste da quasi Daten für mich, Familie und bekannte drauf. diesmal also rein privat.. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Und logischerweise war der RDP-Port ins Internet veröffentlicht, oder? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Und du glaubst das du alles findest was der Angreifer gemacht hat? Nimm den Server vom Netz und installiere ihn neu! Wenn du _wirklich_ wissen willst, was gemacht wurde dann brauchst du entsprechende Forensik Tools und kein Powershell Script. Wenn der Angreifer etwas besser war kann er seine Aktionen so verschleiern, dass die normalen Bordmittel die Änderungen nicht anzeigen. 1 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Moin, Dukel hat völlig Recht. Nimm den Server vom Netz. Sichere, was du an Daten sichern kannst. Lösche alles und installiere den Server neu. Wenn jemand das Eventlog löscht, wird er einen Grund dazu haben. Du kannst dem System nicht mehr trauen. Es sofort vom Netz zu nehmen, ist daher auch ein Gebot der Verantwortung allen anderen gegenüber. Die gesicherten Daten prüfst du mit aktuellen Malwarescannern, bevor du irgendwas anderes damit machst. Gruß, Nils Zitieren Link zu diesem Kommentar
lkay2017 0 Geschrieben 13. Juni 2017 Autor Melden Teilen Geschrieben 13. Juni 2017 jut, hab ihm gerade die nw karte genommen und wenn ich zuhause bin werd ich ihn übers wochenende neu machen.. schade.. ;) Zitieren Link zu diesem Kommentar
Piranha 18 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Und was unternimmst du das dies nicht nochmals passiert? ;) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Natürlich diesmal den Administrator deaktivieren, reicht das nicht? :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Juni 2017 Melden Teilen Geschrieben 13. Juni 2017 Es konnte sich jemand mit dem Administratorkonto anmelden, kannte der das Kennwort, wie kam der dazu? Zitieren Link zu diesem Kommentar
lkay2017 0 Geschrieben 21. Juni 2017 Autor Melden Teilen Geschrieben 21. Juni 2017 Ich bin mit nicht ganz sicher ob der jemand Insider ist und das Kennwort kannte oder irgendeine Lücke genutzt hatte. Normalerweise deaktiviere ich den Administrator und erstelle User mit deren Privilegien... @Piranha avira reicht doch oder meinst du nicht? -> ich habe eine Sophos Firewall dahinter... Server Protection & Eset läuft ebenfalls. Updates sind meist up to date.. Zitieren Link zu diesem Kommentar
Piranha 18 Geschrieben 21. Juni 2017 Melden Teilen Geschrieben 21. Juni 2017 Was hat Avira damit zu tun?! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.