5
Kann im AD nachvollzogen werden, wer sich als letztes auf einem Rechner angemeldet hat?
Hallo zusammen
Heute habe ich nicht schlecht gestaunt, als ich bei einem Rechner im betriebsinternen Netz einen routinemässigen Virencheck gemacht habe. Verschiedene Trojaner wurden gefunden. Darunter Win32/Rotbrow.A (http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx ..) oder Win32/Wysotot.A (http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ..)
Da diese Schädlige erst seit ein paar Tagen im Umlauf sind, muss dieser durch einen User der sich aus der Domaine bei diesem Rechner angemeldet hat, eingeschleppt worden sein.
Gibt es eine Möglichkeit zur forensichen Zwecken zurück zu verfolgen, welche Domainenuser in den letzten Tagen auf dem Rechner gearbeitet hat und noch besser, welche Änderungen dieser am System vorgenommen hat?
Danke für eure Hinweise.
Grüsse
c3r3br0
Heute habe ich nicht schlecht gestaunt, als ich bei einem Rechner im betriebsinternen Netz einen routinemässigen Virencheck gemacht habe. Verschiedene Trojaner wurden gefunden. Darunter Win32/Rotbrow.A (http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx ..) oder Win32/Wysotot.A (http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ..)
Da diese Schädlige erst seit ein paar Tagen im Umlauf sind, muss dieser durch einen User der sich aus der Domaine bei diesem Rechner angemeldet hat, eingeschleppt worden sein.
Gibt es eine Möglichkeit zur forensichen Zwecken zurück zu verfolgen, welche Domainenuser in den letzten Tagen auf dem Rechner gearbeitet hat und noch besser, welche Änderungen dieser am System vorgenommen hat?
Danke für eure Hinweise.
Grüsse
c3r3br0
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 221688
Url: https://administrator.de/contentid/221688
Printed on: April 19, 2024 at 06:04 o'clock
5 Comments
Latest comment
Hi,
User Logins stehen im Eventlog.
Du kannst ja mal alle Dateien durchsuchen welche zum fraglichen Zeitpunkt eine Änderung erfahren haben. Das kannst du als Anhaltspunkt nehmen was geändert wurde.
mfg
Cthluhu
User Logins stehen im Eventlog.
Du kannst ja mal alle Dateien durchsuchen welche zum fraglichen Zeitpunkt eine Änderung erfahren haben. Das kannst du als Anhaltspunkt nehmen was geändert wurde.
mfg
Cthluhu
1
Moin.
Nur weil die AV-Leute den einen oder anderen Virus erst seit kurzem kennen, heißt es nicht, dass er nicht schon wochenlang unerkannt auf dem Rechner ist. Du weißt nicht, wann die erste Infektion rein kam, willst aber einen Nutzer raussuchen? Etwas fragwürdig, Deine Absichten.
Wichtiger ist, zu untersuchen, wie die Infektion entstanden sein könnte.
Nur weil die AV-Leute den einen oder anderen Virus erst seit kurzem kennen, heißt es nicht, dass er nicht schon wochenlang unerkannt auf dem Rechner ist. Du weißt nicht, wann die erste Infektion rein kam, willst aber einen Nutzer raussuchen? Etwas fragwürdig, Deine Absichten.
Wichtiger ist, zu untersuchen, wie die Infektion entstanden sein könnte.
6
Ich löse es so in einem Logonscript:
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\PC\%computername%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\User\%username%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\PC\%computername%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\User\%username%.TXT
Moin,
dafür gibt es forensische Distributionen, um die gewünschten Informationen rauszuholen. Diese erfordern aber ein gutes Maß an Erfahrung.
lks
PS: Wie DWW schon sagte, muß ein Loginzeitpunkt nichts mit dem Infektiosnzeitpunkt zu tun haben und kann sogar einfach nur Koinzidenz sein.
dafür gibt es forensische Distributionen, um die gewünschten Informationen rauszuholen. Diese erfordern aber ein gutes Maß an Erfahrung.
lks
PS: Wie DWW schon sagte, muß ein Loginzeitpunkt nichts mit dem Infektiosnzeitpunkt zu tun haben und kann sogar einfach nur Koinzidenz sein.
hallo, es gibt bei "LUMAX" tolle GUI`s zum verwalten , datailierte Info`s etc. ..
grüße
grüße
1
