15
Wer war auf dem Server?
Wie finde ich heraus, wer letzte Nacht auf meinem Server war?
Hallo Community
Ich leide entweder unter Paranoia oder ich habe recht, und jemand war in der Nacht auf meinem Server. Es gibt zwei Indizien, die mich zu diesem Schluss kommen lassen.
1. Beim Anmelde-Fenster (welches ich mit Ctrl-Alt-Del öffenen muss) steht nur dann nicht Administrator beim Benutzernamen, wenn ich den Server neu gestartet habe oder via Remote-Desktop darauf zugegriffen habe.
2. Benutzer melden mir, dass einige Ordner auf die nur bestimmte Gruppen zugriff haben, weg sind. Die Ordner konnte ich natürlich mit dem Backup wiederherstellen.
Gibt es eine Möglichkeit, zu prüfen, ob jemand und wenn ja - wer auf dem Server war?
Im Beitrag 4914 wird TopLogger empfohlen, der funktioniert aber nur wenn er läuft (also nicht nachträglich) und vorallem loggd er keine Terminalserver oder VNC Zugriffe.
Hoffe jemand weiss mir zu Helfen!
LG
computermerlae
Ich leide entweder unter Paranoia oder ich habe recht, und jemand war in der Nacht auf meinem Server. Es gibt zwei Indizien, die mich zu diesem Schluss kommen lassen.
1. Beim Anmelde-Fenster (welches ich mit Ctrl-Alt-Del öffenen muss) steht nur dann nicht Administrator beim Benutzernamen, wenn ich den Server neu gestartet habe oder via Remote-Desktop darauf zugegriffen habe.
2. Benutzer melden mir, dass einige Ordner auf die nur bestimmte Gruppen zugriff haben, weg sind. Die Ordner konnte ich natürlich mit dem Backup wiederherstellen.
Gibt es eine Möglichkeit, zu prüfen, ob jemand und wenn ja - wer auf dem Server war?
Im Beitrag 4914 wird TopLogger empfohlen, der funktioniert aber nur wenn er läuft (also nicht nachträglich) und vorallem loggd er keine Terminalserver oder VNC Zugriffe.
Hoffe jemand weiss mir zu Helfen!
LG
computermerlae
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator gnarff am Sep 25, 2009 um 02:18:04 Uhr
Herzlichen Glueckwunsch zu diesem Thread! Ich verwarne hiermit folgende Forumsmitglieder wegen Ihrem ungebuehrlichem und unprofessionellem Verhalten, welches sie in Ihren Kommentaren demonstrierten:
1. greypeter
2. maddoc
3. seefan
Wenn Ihr nichts zu sagen habt, nichts wisst oder keine Lust habt zu helfen, dann empfehle ich euch besser zu schweigen.
Sollte das noch einmal vorkommen, werde ich dafuer sorgen, dass Ihr sanktioniert werdet.
Nur weil jemand weniger weiss als man selbst, berechtigt einen das nicht jemanden herunterzumachen; das sollte eigentlich auch ein mrtux wissen...
Der Thread ist hiermit geschlossen!
Saludos
gnarff - el moderador
1. greypeter
2. maddoc
3. seefan
Wenn Ihr nichts zu sagen habt, nichts wisst oder keine Lust habt zu helfen, dann empfehle ich euch besser zu schweigen.
Sollte das noch einmal vorkommen, werde ich dafuer sorgen, dass Ihr sanktioniert werdet.
Nur weil jemand weniger weiss als man selbst, berechtigt einen das nicht jemanden herunterzumachen; das sollte eigentlich auch ein mrtux wissen...
Der Thread ist hiermit geschlossen!
Saludos
gnarff - el moderador
Content-Key: 124096
Url: https://administrator.de/contentid/124096
Printed on: April 23, 2024 at 12:04 o'clock
15 Comments
Latest comment
Du könntest mal im Eventlog nachsehen, ob es erfolgreiche oder auch nicht erfolgreiche Anmeldeereignisse über Nacht gab. Dort sollte dann auch verzeichnet sein mit welchem Benutzernamen das passiert ist.
Wenn du den Server allerdings immer offen hast und jemand über VNC reigekommen ist hilft dir das auch nicht weiter. Wer hat denn auch VNC auf einem Server...? *grübel*
Manuel
Wenn du den Server allerdings immer offen hast und jemand über VNC reigekommen ist hilft dir das auch nicht weiter. Wer hat denn auch VNC auf einem Server...? *grübel*
Manuel
Hallo,
Evtl. mal die Ereignisprotokolle prüfen?
Grüße
Rainer
Evtl. mal die Ereignisprotokolle prüfen?
Grüße
Rainer
Hi,
in den Event-Logs wird jede An-/ und Abmeldung verzeichnet.
Im zweifel würde ich auch mal die Admin-Passwörter ändern.
VNC kannst du auch noch mit einem Passwort zumachen.
Gruss
Michael
PS: Ist gerade jemand von der IT gegangenworden?
in den Event-Logs wird jede An-/ und Abmeldung verzeichnet.
Im zweifel würde ich auch mal die Admin-Passwörter ändern.
VNC kannst du auch noch mit einem Passwort zumachen.
Gruss
Michael
PS: Ist gerade jemand von der IT gegangenworden?
Hallo manuel-r
Danke für die rasche Antwort!
Also ich hab kein VNC auf dem Server laufen, habe nes nur ausgetestet, damit ich hier im Forum keinen Sch* schreibe.
Also in der Ereignissanzeige unter Sicherheit habe ich diverse (dutzende) Einträge à la Fehlerüberw.**. Da steht dann aber kein Benutzername und kein PW drin nur Anmeldetyp: 3 und Anmeldevorgang: Kerberos
Hier ein Bild:
LG
computermerlae
Danke für die rasche Antwort!
Also ich hab kein VNC auf dem Server laufen, habe nes nur ausgetestet, damit ich hier im Forum keinen Sch* schreibe.
Also in der Ereignissanzeige unter Sicherheit habe ich diverse (dutzende) Einträge à la Fehlerüberw.**. Da steht dann aber kein Benutzername und kein PW drin nur Anmeldetyp: 3 und Anmeldevorgang: Kerberos
Hier ein Bild:
LG
computermerlae
Hallo Mischn1980
Danke für deine Antwort!
Ich habe soeben ein Bild hoch geladen. Darauf sind leider nicht gerade viele Informationen die ich auswerten könnte.
Kannst du mehr rauslesen?
LG
computermerlae
PS: Nein es ist niemand gegangen worden, aber es gibt wunderfitzige...
Danke für deine Antwort!
Ich habe soeben ein Bild hoch geladen. Darauf sind leider nicht gerade viele Informationen die ich auswerten könnte.
Kannst du mehr rauslesen?
LG
computermerlae
PS: Nein es ist niemand gegangen worden, aber es gibt wunderfitzige...
Eine erfolgreiche Anmeldung sieht bspw. so aus
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 03.09.2009
Zeit: 10:51:03
Benutzer: <DOMAENE\username>
Computer: <SERVER>
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: <USERNAME>
Domäne: <DOMAENE>
Anmeldekennung: (0x0,0x8F5901)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {*}
Aufruferbenutzername:
Aufruferdomäne: <DOMAENE>
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 712
Übertragene Dienste: -
Quellnetzwerkadresse: <QUELLIP>
Quellport: 1364
Suche also einfach mal nach der Ereignisskennung 528 im Eventlog.Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 03.09.2009
Zeit: 10:51:03
Benutzer: <DOMAENE\username>
Computer: <SERVER>
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: <USERNAME>
Domäne: <DOMAENE>
Anmeldekennung: (0x0,0x8F5901)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {*}
Aufruferbenutzername:
Aufruferdomäne: <DOMAENE>
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 712
Übertragene Dienste: -
Quellnetzwerkadresse: <QUELLIP>
Quellport: 1364
Bei dem Bild hat sich nur das System angemeldet. Da steckt kein User aus Fleisch und Blut dahinter.
Es steht dann schon wirklich der Username bei dem Ereignis.
Benutzer: Domäne / Username
Die Ereigniskennungen die für dich wichtig sind: 538, 576, 528 (bei 2003 Server).
Das ganze ist bei der Gruppe Sicherheit.
Gruss
Michael
Es steht dann schon wirklich der Username bei dem Ereignis.
Benutzer: Domäne / Username
Die Ereigniskennungen die für dich wichtig sind: 538, 576, 528 (bei 2003 Server).
Das ganze ist bei der Gruppe Sicherheit.
Gruss
Michael
Hallo greypeter
Auch dir danke ich für deine Antwort.
Ich habe die Gruppenrichtlinien gemäss Anleitung im ersten Google Treffer angepasst.
Mal schauen ob ich jetzt weniger Fehler habe.
Die eigentliche Frage ist aber noch nicht beantwortet.
LG
computermerlae
Auch dir danke ich für deine Antwort.
Ich habe die Gruppenrichtlinien gemäss Anleitung im ersten Google Treffer angepasst.
Mal schauen ob ich jetzt weniger Fehler habe.
Die eigentliche Frage ist aber noch nicht beantwortet.
LG
computermerlae
Falsch. Die Frage ist beantwortet.
Filtere deine Anmeldeereignisse nach erfolgreichen Anmeldeereignissen und schon weißt du, wer sich wann angemeldet hat.
Und wenn du wissen willst, ob es jemand mit den verschiedensten Benutzern und/oder Passwörtern probiert hat filtere nach fehlgeschlagenen Anmeldeversuchen.
Manuel
Filtere deine Anmeldeereignisse nach erfolgreichen Anmeldeereignissen und schon weißt du, wer sich wann angemeldet hat.
Und wenn du wissen willst, ob es jemand mit den verschiedensten Benutzern und/oder Passwörtern probiert hat filtere nach fehlgeschlagenen Anmeldeversuchen.
Manuel
Also ich habe jetzt einmal alle EInträge angeschaut und es gibt keine Einträge mit der Kennung 528.
Es gibt diverse An/Abmeldung mit 529 und mit 537jedoch alle mit Benutzer SYSTEM.
Der einzige Eintrag mit einem Benutzernamen als Benutzer hat die Kennung 675.
Von den 675 gibt es viele jedoch (über mehrere Tage gesehen) nur von jeweils zwei Benutzern. Alle anderen Einträge (mit Ken. 675) haben als Benutzer einen Client (Computer) mit einem $-Zeichen dahinter.
Was bedeutet das?
LG
computermerlae
Es gibt diverse An/Abmeldung mit 529 und mit 537jedoch alle mit Benutzer SYSTEM.
Der einzige Eintrag mit einem Benutzernamen als Benutzer hat die Kennung 675.
Von den 675 gibt es viele jedoch (über mehrere Tage gesehen) nur von jeweils zwei Benutzern. Alle anderen Einträge (mit Ken. 675) haben als Benutzer einen Client (Computer) mit einem $-Zeichen dahinter.
z.B.:
Kategorie: Kontoanmeldung
Kennung: 675
Benutzername: Client1$
Benutzerkennung:Domäne\Client1$
Dienstname: krbtgt/Domäne
Vorauthetifizierungstyp: 0x2
Fehlercode: 0x25
Clientadresse: 192.168.x.y
Kategorie: Kontoanmeldung
Kennung: 675
Benutzername: Client1$
Benutzerkennung:Domäne\Client1$
Dienstname: krbtgt/Domäne
Vorauthetifizierungstyp: 0x2
Fehlercode: 0x25
Clientadresse: 192.168.x.y
Was bedeutet das?
LG
computermerlae
Tja, dann ist wahrscheinlich die Überwachung auf erfolgreiche (vielleicht auch nicht erfolgreiche) Anmeldeereignisse abgeschaltet. Mehr dazu verraten dir deine lokalen oder Gruppen-Richtlinien.
Wenn dem so sein sollte, kommst du rückwirkend nicht mehr an die Information ran.
Wenn dem so sein sollte, kommst du rückwirkend nicht mehr an die Information ran.
Hi !
Und wenn Du schon dabei bist Google zu füttern, dann solltest Du es auch gleich nochmal mit dem Wort "Überwachungsrichtlinie" versuchen. : -)
Wie lange arbeitest Du schon als Admin? Zwei Tage? Nix für ungut aber das sind doch Grundkenntnisse in der Windows Sicherheit. Wenn ich den Verdacht habe, dass jemand auf meinem Server herumlungert, dann muss ich wissen, wo ich hinfassen muss. Wissenslücken über die Windows Sicherheit können dich deinen Admin-Job kosten!
mrtux
Zitat von @81825:
Vielleicht könnte dann jemand anders die eigentliche Frage
kompetent beantworten, wenn dir das Lesen auch weiterer Google-Tipps
zu kompliziert erscheint.
Vielleicht könnte dann jemand anders die eigentliche Frage
kompetent beantworten, wenn dir das Lesen auch weiterer Google-Tipps
zu kompliziert erscheint.
Und wenn Du schon dabei bist Google zu füttern, dann solltest Du es auch gleich nochmal mit dem Wort "Überwachungsrichtlinie" versuchen. : -)
Wie lange arbeitest Du schon als Admin? Zwei Tage? Nix für ungut aber das sind doch Grundkenntnisse in der Windows Sicherheit. Wenn ich den Verdacht habe, dass jemand auf meinem Server herumlungert, dann muss ich wissen, wo ich hinfassen muss. Wissenslücken über die Windows Sicherheit können dich deinen Admin-Job kosten!
mrtux
Hallo mrtux
Danke für den Tipp, ich werd mich da mal schlau lesen.
LG
computermerlae
Danke für den Tipp, ich werd mich da mal schlau lesen.
LG
computermerlae
Hallo computermerlae,
Eventlog -> Sicherheit -> Ereigniskennung 528 zeigt (als Filter) alle Anmeldungen.
Grüße, Steffen
Eventlog -> Sicherheit -> Ereigniskennung 528 zeigt (als Filter) alle Anmeldungen.
Grüße, Steffen
Es müsste doch was in den Logfiles stehen, oder? Also unter Systemsteuerung -> Verwaltung -> Ereignisanzeige.
Da kannst du auf jeden Fall sehen ob der Rechner neu hochgefahren ist. Wenn nicht war jemand dran.
Dann schau mal alles durch, ich bin nicht ganz sicher ob und wo da steht wer sich an der Console angemeldet habe, und kann selbst nicht suchen weil ich auch grad ein dringendes Problem zu lösen habe...
Gruß, DC
Da kannst du auf jeden Fall sehen ob der Rechner neu hochgefahren ist. Wenn nicht war jemand dran.
Dann schau mal alles durch, ich bin nicht ganz sicher ob und wo da steht wer sich an der Console angemeldet habe, und kann selbst nicht suchen weil ich auch grad ein dringendes Problem zu lösen habe...
Gruß, DC
