Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

In welchen Log Files kann ich sehen ob versucht worden ist auf unseren Server zuzugreifen?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Chris71

Chris71 (Level 1) - Jetzt verbinden

28.08.2007, aktualisiert 02.01.2009, 5332 Aufrufe, 10 Kommentare

Hallo Zusammen

Wir befürchten, dass sich jemand an unserem Server zuschafen gemacht hat, jemand der ev. auch die richtigen Passwörter und so hat.

Wo und wie sehe ich, ob und wann sich jemand auf dem server eingeloggt hat?

Wir haben einen Server mit
W2K
Remote Administrator 2.2
Terminalserver

Ich denke es wurde über Remote Administrator oder Terminalserver probiert. Wo finde ich da die Logs oder wo sehe ich wer sich wann eingeloggt hatte?

Bin dankbar für jeden Tipp!

Vielen Dank

gruss v.
Chris
Mitglied: RedBullmachtfit
28.08.2007 um 13:40 Uhr
Hallo! Such mal in den Log-Files von eurem Router. Wenn jemand von extern z.B. per VPN darauf zugegriffen hat, wird dies oft in diesen Log-Files angezeigt.
Gruß
Bitte warten ..
Mitglied: Chris71
28.08.2007 um 13:47 Uhr
Hallo, vielen Dank für Deine rasche Antwort.

In unserem ZyWall 5 war bei den Log was falsch eingestellt und die daten wurden nur für einen Tag gespeichert. Leider habe ich das Log von dem besagten Tag nicht mehr.

Vielen Dank

Guss v.
Chris
Bitte warten ..
Mitglied: Egbert
28.08.2007 um 13:48 Uhr
Hallo Chris,

die logon/logoff Events kannst Du im Sicherheits log des Eventviewers sehen.

start --> ausführen --> eventvwr.exe dann Sicherheit.

Ich glaube bei Windows 2000 war das Event 528 für logon und 529 für logoff


Um auch alle Privilegien zu loggen muß folgender Reg Key gesetzt werden

Hive: HKEY_LOCAL_MACHINE\SYSTEM
Key: System\CurrentControlSet\Control\Lsa
Name: FullPrivilegeAuditing
Type: REG_BINARY
Value: 1

Gruß
Egbert
Bitte warten ..
Mitglied: Egbert
28.08.2007 um 13:50 Uhr
noch was vergessen.

der radmin schreibt eigene logfiles (ich glaube wenn eingeschaltet).
Ausserdem sperren sich RDP und Radmin gegenseitig aus. Wenn Du einmal eine RDP Session gemacht hast kannst Du nicht mehr mit Radmin ran.

Gruß
Egbert
Bitte warten ..
Mitglied: Chris71
28.08.2007 um 14:02 Uhr
Hallo Egbert

Vielen Dank für Deine Info. Den Eintrag habe ich hinzugefügt.

Im Protokel Sicherheit habe ich nur einen Eintrag:
Erfolgsüberwachung vom 4.4.2003

Das ist alles....

Ich hoffe das ist ein gutes Zeichen

gruss v.
Chris
Bitte warten ..
Mitglied: Egbert
28.08.2007 um 14:28 Uhr
Hallo Chris,

das muss nicht unbedingt ein gutes Zeichen sein.
Ich gehe davon aus das das Auditing bei Dir aus ist.

Du mußt das noch einschalten über eine Policy.

Activating the logging of Logon/Logoff
In the Administrative Tools start Local Security Policy
Open Local Policy and then select Audit Policy
Double click Audit logon events and select the checkbox for Success and Failure
Bitte warten ..
Mitglied: Chris71
28.08.2007 um 14:58 Uhr
Hallo Egberg

OK, die waren alle Ausgeschaltet. Ich habe Sie jetzt aktiviert.

Jetzt steht:
Lokal Effektive
Anmeldeversuche überwachen Erfolgreich/Fehlgeschlagen kein Überwachung

Stimmt das so ?

Gruss v.
Chris
Bitte warten ..
Mitglied: Egbert
28.08.2007 um 17:31 Uhr
auf Überwachung stellen natürlich
Bitte warten ..
Mitglied: Chris71
29.08.2007 um 09:02 Uhr
Hallo Egberd

Vielen Dank für Deine Hilfe. es funktioniert nun so wie es sollte.
Hoffe nun, dass nächste mal, merke ich es wenn es nochmals versucht wird.

Gruss v.
Chris
Bitte warten ..
Mitglied: Kasima
14.03.2008 um 12:49 Uhr
Sorry Leute, aber das ist doch alles Pillepalle. Wenn jemand den Server ernsthaft hackt, dann wird er natürlich versuchen, an diesen Schnittstellen vorbei auf die interessanten Daten zuzugreifen und statt dessen lieber Sicherheitslücken einzelner Netzwerkkomponenten oder in den Protokollstacks suchen und ausnutzen.

Das was ihr da so protokollieren wollt, würde vielleicht Hinweise auf einen unberechtigten Zugriff von Innen liefern. Richtige Einbrüche von draussen stehen in diesen Logs aber sowieso niemals drin, die passieren auf einer ganz anderen Ebene.

Um da überhaupt was zu bemerken, müsste man nicht nur eine geeignete Firewall mit Stateful Inspection haben, deren Logging müsste entsprechend ausführlich eingestellt sein und außerdem müsste man noch jemanden haben, der überhaupt in der Lage ist, aus diesen riesigen Protokollen herauszufiltern, was denn davon überhaupt verdächtig ist und was nicht.

Und selbst wenn man das alles hat und zusätzlich noch jedes einzelne Datenpaket mit einem Packetsniffer mitschneidet heisst das noch lange nicht, dass man einen erfolgreichen Einbruch überhaupt bemerken würde.

Letzlich muss man nicht nur regelmäßige Passwortwechsel mit einer Policy erzwingen, sondern natürlich auch beim leisesten Verdacht einer Kompromittierung. Denn es geht ja letztlich darum, Schlimmeres zu verhindern - was bereits geklaut oder gelöscht ist, macht man durch nachträgliches Durchforsten der Logfiles sowieso nicht mehr ungeschehen. Das kann ja nur noch dem Staatsanwalt dienen.
Bitte warten ..
Ähnliche Inhalte
Monitoring
Log-file analyse
gelöst Frage von CT-LegendMonitoring5 Kommentare

Hallo liebe Administratoren, Folgendes Szenario. Ein Programm auf meinem Server hat ab und zu Fehlfunktionen. Die Fehler werden in ...

Ubuntu
Log files anonymisieren?
Frage von D1Ck3nUbuntu4 Kommentare

Hallo zusammen, ich würde gerne unter Linux Log Dateien automatisiert anonymisieren. Die Log Datei soll nach den Benutzernamen meines ...

Linux
Unison - Log-File wird nicht erstellt
Frage von RUDI-TERRORLinux1 Kommentar

Hallo, ich benutze unison, um mein nextcloud-Data-Verzeichnis regelmäßig zu sichern. Seit kurzem erzeugt unuison kein LOG-File, meine Config sieht ...

Exchange Server
Exchange 2013 Log Files
Frage von flulukExchange Server

Hallo, ich weiß ja nicht was sich M$ hierbei wieder gedacht hat, aber ich bin bei meinem Exchange 2013 ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 3 StundenBatch & Shell1 Kommentar

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 5 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 20 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 21 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Server-Hardware
Braucht ein Server eine Grafikkarte?
gelöst Frage von lcer00Server-Hardware14 Kommentare

Hallo zusammen, habe gerade 3 Stunden gebraucht, um herauszubekommen, dass die Remotemanagement-Console von Intel (RMM4) nur funktioniert, wenn die ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...