Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator gnarff am 25.09.2009 um 04:18:04 Uhr
Herzlichen Glueckwunsch zu diesem Thread! Ich verwarne hiermit folgende Forumsmitglieder wegen Ihrem ungebuehrlichem und unprofessionellem Verhalten, welches sie in Ihren Kommentaren demonstrierten:
1. greypeter
2. maddoc
3. seefan
Wenn Ihr nichts zu sagen habt, nichts wisst oder keine Lust habt zu helfen, dann empfehle ich euch besser zu schweigen.
Sollte das noch einmal vorkommen, werde ich dafuer sorgen, dass Ihr sanktioniert werdet.
Nur weil jemand weniger weiss als man selbst, berechtigt einen das nicht jemanden herunterzumachen; das sollte eigentlich auch ein mrtux wissen...

Der Thread ist hiermit geschlossen!

Saludos
gnarff - el moderador
GELÖST

Wer war auf dem Server?

Frage Sicherheit Sicherheits-Tools

Mitglied: computermerlae

computermerlae (Level 1) - Jetzt verbinden

03.09.2009, aktualisiert 25.09.2009, 8445 Aufrufe, 15 Kommentare

Wie finde ich heraus, wer letzte Nacht auf meinem Server war?

Hallo Community
Ich leide entweder unter Paranoia oder ich habe recht, und jemand war in der Nacht auf meinem Server. Es gibt zwei Indizien, die mich zu diesem Schluss kommen lassen.
1. Beim Anmelde-Fenster (welches ich mit Ctrl-Alt-Del öffenen muss) steht nur dann nicht Administrator beim Benutzernamen, wenn ich den Server neu gestartet habe oder via Remote-Desktop darauf zugegriffen habe.
2. Benutzer melden mir, dass einige Ordner auf die nur bestimmte Gruppen zugriff haben, weg sind. Die Ordner konnte ich natürlich mit dem Backup wiederherstellen.

Gibt es eine Möglichkeit, zu prüfen, ob jemand und wenn ja - wer auf dem Server war?
Im Beitrag 4914 wird TopLogger empfohlen, der funktioniert aber nur wenn er läuft (also nicht nachträglich) und vorallem loggd er keine Terminalserver oder VNC Zugriffe.

Hoffe jemand weiss mir zu Helfen!

LG
computermerlae
Mitglied: manuel-r
03.09.2009 um 10:17 Uhr
Du könntest mal im Eventlog nachsehen, ob es erfolgreiche oder auch nicht erfolgreiche Anmeldeereignisse über Nacht gab. Dort sollte dann auch verzeichnet sein mit welchem Benutzernamen das passiert ist.
Wenn du den Server allerdings immer offen hast und jemand über VNC reigekommen ist hilft dir das auch nicht weiter. Wer hat denn auch VNC auf einem Server...? *grübel*

Manuel
Bitte warten ..
Mitglied: RAINERR
03.09.2009 um 10:17 Uhr
Hallo,

Evtl. mal die Ereignisprotokolle prüfen?

Grüße

Rainer
Bitte warten ..
Mitglied: mischn1980
03.09.2009 um 10:32 Uhr
Hi,

in den Event-Logs wird jede An-/ und Abmeldung verzeichnet.

Im zweifel würde ich auch mal die Admin-Passwörter ändern.

VNC kannst du auch noch mit einem Passwort zumachen.

Gruss

Michael

PS: Ist gerade jemand von der IT gegangenworden?
Bitte warten ..
Mitglied: computermerlae
03.09.2009 um 10:38 Uhr
Hallo manuel-r
Danke für die rasche Antwort!
Also ich hab kein VNC auf dem Server laufen, habe nes nur ausgetestet, damit ich hier im Forum keinen Sch* schreibe.

Also in der Ereignissanzeige unter Sicherheit habe ich diverse (dutzende) Einträge à la
Fehlerüberw.**. Da steht dann aber kein Benutzername und kein PW drin nur Anmeldetyp: 3 und Anmeldevorgang: Kerberos

Hier ein Bild:
f1fa6cc07e0718c1ce626b822667a489-svr2k3_eventlog_sec_ps - Klicke auf das Bild, um es zu vergrößern

LG
computermerlae
Bitte warten ..
Mitglied: computermerlae
03.09.2009 um 10:45 Uhr
Hallo Mischn1980
Danke für deine Antwort!
Ich habe soeben ein Bild hoch geladen. Darauf sind leider nicht gerade viele Informationen die ich auswerten könnte.
Kannst du mehr rauslesen?

LG
computermerlae

PS: Nein es ist niemand gegangen worden, aber es gibt wunderfitzige...
Bitte warten ..
Mitglied: manuel-r
03.09.2009 um 10:50 Uhr
Eine erfolgreiche Anmeldung sieht bspw. so aus
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 03.09.2009
Zeit: 10:51:03
Benutzer: <DOMAENE\username>
Computer: <SERVER>
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: <USERNAME>
Domäne: <DOMAENE>
Anmeldekennung: (0x0,0x8F5901)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {*}
Aufruferbenutzername:
Aufruferdomäne: <DOMAENE>
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 712
Übertragene Dienste: -
Quellnetzwerkadresse: <QUELLIP>
Quellport: 1364
Suche also einfach mal nach der Ereignisskennung 528 im Eventlog.
Bitte warten ..
Mitglied: mischn1980
03.09.2009 um 10:54 Uhr
Bei dem Bild hat sich nur das System angemeldet. Da steckt kein User aus Fleisch und Blut dahinter.

Es steht dann schon wirklich der Username bei dem Ereignis.

Benutzer: Domäne / Username

Die Ereigniskennungen die für dich wichtig sind: 538, 576, 528 (bei 2003 Server).

Das ganze ist bei der Gruppe Sicherheit.

Gruss

Michael
Bitte warten ..
Der Kommentar von 81825 wurde vom Moderator am 05.12.16 ausgeblendet!
Mitglied: computermerlae
03.09.2009 um 11:14 Uhr
Hallo greypeter
Auch dir danke ich für deine Antwort.
Ich habe die Gruppenrichtlinien gemäss Anleitung im ersten Google Treffer angepasst.

Mal schauen ob ich jetzt weniger Fehler habe.
Die eigentliche Frage ist aber noch nicht beantwortet.

LG
computermerlae
Bitte warten ..
Der Kommentar von 81825 wurde vom Moderator am 05.12.16 ausgeblendet!
Mitglied: manuel-r
03.09.2009 um 11:27 Uhr
Falsch. Die Frage ist beantwortet.
Filtere deine Anmeldeereignisse nach erfolgreichen Anmeldeereignissen und schon weißt du, wer sich wann angemeldet hat.
Und wenn du wissen willst, ob es jemand mit den verschiedensten Benutzern und/oder Passwörtern probiert hat filtere nach fehlgeschlagenen Anmeldeversuchen.

Manuel
Bitte warten ..
Mitglied: computermerlae
03.09.2009 um 11:27 Uhr
Also ich habe jetzt einmal alle EInträge angeschaut und es gibt keine Einträge mit der Kennung 528.

Es gibt diverse An/Abmeldung mit 529 und mit 537jedoch alle mit Benutzer SYSTEM.
Der einzige Eintrag mit einem Benutzernamen als Benutzer hat die Kennung 675.

Von den 675 gibt es viele jedoch (über mehrere Tage gesehen) nur von jeweils zwei Benutzern. Alle anderen Einträge (mit Ken. 675) haben als Benutzer einen Client (Computer) mit einem $-Zeichen dahinter.

z.B.:
Kategorie: Kontoanmeldung
Kennung: 675
Benutzername: Client1$
Benutzerkennung:Domäne\Client1$
Dienstname: krbtgt/Domäne
Vorauthetifizierungstyp: 0x2
Fehlercode: 0x25
Clientadresse: 192.168.x.y

Was bedeutet das?

LG
computermerlae
Bitte warten ..
Mitglied: manuel-r
03.09.2009 um 11:51 Uhr
Tja, dann ist wahrscheinlich die Überwachung auf erfolgreiche (vielleicht auch nicht erfolgreiche) Anmeldeereignisse abgeschaltet. Mehr dazu verraten dir deine lokalen oder Gruppen-Richtlinien.
Wenn dem so sein sollte, kommst du rückwirkend nicht mehr an die Information ran.
Bitte warten ..
Mitglied: mrtux
03.09.2009 um 16:47 Uhr
Hi !

Zitat von 81825:
Vielleicht könnte dann jemand anders die eigentliche Frage
kompetent beantworten, wenn dir das Lesen auch weiterer Google-Tipps
zu kompliziert erscheint.

Und wenn Du schon dabei bist Google zu füttern, dann solltest Du es auch gleich nochmal mit dem Wort "Überwachungsrichtlinie" versuchen. : -)

Wie lange arbeitest Du schon als Admin? Zwei Tage? Nix für ungut aber das sind doch Grundkenntnisse in der Windows Sicherheit. Wenn ich den Verdacht habe, dass jemand auf meinem Server herumlungert, dann muss ich wissen, wo ich hinfassen muss. Wissenslücken über die Windows Sicherheit können dich deinen Admin-Job kosten!

mrtux
Bitte warten ..
Mitglied: computermerlae
03.09.2009 um 20:16 Uhr
Hallo mrtux
Danke für den Tipp, ich werd mich da mal schlau lesen.

LG
computermerlae
Bitte warten ..
Mitglied: 51705
06.09.2009 um 03:26 Uhr
Hallo computermerlae,

Eventlog -> Sicherheit -> Ereigniskennung 528 zeigt (als Filter) alle Anmeldungen.

Grüße, Steffen
Bitte warten ..
Mitglied: DonCool
07.09.2009 um 11:30 Uhr
Es müsste doch was in den Logfiles stehen, oder? Also unter Systemsteuerung -> Verwaltung -> Ereignisanzeige.
Da kannst du auf jeden Fall sehen ob der Rechner neu hochgefahren ist. Wenn nicht war jemand dran.
Dann schau mal alles durch, ich bin nicht ganz sicher ob und wo da steht wer sich an der Console angemeldet habe, und kann selbst nicht suchen weil ich auch grad ein dringendes Problem zu lösen habe...

Gruß, DC
Bitte warten ..
Der Kommentar von Seefan wurde vom Moderator am 05.12.16 ausgeblendet!
Der Kommentar von maddoc wurde vom Moderator am 05.12.16 ausgeblendet!
Der Kommentar von 81825 wurde vom Moderator am 05.12.16 ausgeblendet!
Der Kommentar von maddoc wurde vom Moderator am 05.12.16 ausgeblendet!
Der Kommentar von 81825 wurde vom Moderator am 05.12.16 ausgeblendet!
Der Kommentar von maddoc wurde vom Moderator am 05.12.16 ausgeblendet!
Der Kommentar von 81825 wurde vom Moderator am 05.12.16 ausgeblendet!
Der Kommentar von maddoc wurde vom Moderator am 05.12.16 ausgeblendet!
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...

Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...