Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator gnarff am 25.09.2009 um 04:18:04 Uhr
Herzlichen Glueckwunsch zu diesem Thread! Ich verwarne hiermit folgende Forumsmitglieder wegen Ihrem ungebuehrlichem und unprofessionellem Verhalten, welches sie in Ihren Kommentaren demonstrierten:
1. greypeter
2. maddoc
3. seefan
Wenn Ihr nichts zu sagen habt, nichts wisst oder keine Lust habt zu helfen, dann empfehle ich euch besser zu schweigen.
Sollte das noch einmal vorkommen, werde ich dafuer sorgen, dass Ihr sanktioniert werdet.
Nur weil jemand weniger weiss als man selbst, berechtigt einen das nicht jemanden herunterzumachen; das sollte eigentlich auch ein mrtux wissen...

Der Thread ist hiermit geschlossen!

Saludos
gnarff - el moderador
GELÖST

Wer war auf dem Server?

Frage Sicherheit Sicherheits-Tools

Mitglied: computermerlae

computermerlae (Level 1) - Jetzt verbinden

03.09.2009, aktualisiert 25.09.2009, 8476 Aufrufe, 15 Kommentare

Wie finde ich heraus, wer letzte Nacht auf meinem Server war?

Hallo Community
Ich leide entweder unter Paranoia oder ich habe recht, und jemand war in der Nacht auf meinem Server. Es gibt zwei Indizien, die mich zu diesem Schluss kommen lassen.
1. Beim Anmelde-Fenster (welches ich mit Ctrl-Alt-Del öffenen muss) steht nur dann nicht Administrator beim Benutzernamen, wenn ich den Server neu gestartet habe oder via Remote-Desktop darauf zugegriffen habe.
2. Benutzer melden mir, dass einige Ordner auf die nur bestimmte Gruppen zugriff haben, weg sind. Die Ordner konnte ich natürlich mit dem Backup wiederherstellen.

Gibt es eine Möglichkeit, zu prüfen, ob jemand und wenn ja - wer auf dem Server war?
Im Beitrag 4914 wird TopLogger empfohlen, der funktioniert aber nur wenn er läuft (also nicht nachträglich) und vorallem loggd er keine Terminalserver oder VNC Zugriffe.

Hoffe jemand weiss mir zu Helfen!

LG
computermerlae
Mitglied: manuel-r
03.09.2009 um 10:17 Uhr
Du könntest mal im Eventlog nachsehen, ob es erfolgreiche oder auch nicht erfolgreiche Anmeldeereignisse über Nacht gab. Dort sollte dann auch verzeichnet sein mit welchem Benutzernamen das passiert ist.
Wenn du den Server allerdings immer offen hast und jemand über VNC reigekommen ist hilft dir das auch nicht weiter. Wer hat denn auch VNC auf einem Server...? *grübel*

Manuel
Bitte warten ..
Mitglied: RAINERR
03.09.2009 um 10:17 Uhr
Hallo,

Evtl. mal die Ereignisprotokolle prüfen?

Grüße

Rainer
Bitte warten ..
Mitglied: mischn1980
03.09.2009 um 10:32 Uhr
Hi,

in den Event-Logs wird jede An-/ und Abmeldung verzeichnet.

Im zweifel würde ich auch mal die Admin-Passwörter ändern.

VNC kannst du auch noch mit einem Passwort zumachen.

Gruss

Michael

PS: Ist gerade jemand von der IT gegangenworden?
Bitte warten ..
Mitglied: computermerlae
03.09.2009 um 10:38 Uhr
Hallo manuel-r
Danke für die rasche Antwort!
Also ich hab kein VNC auf dem Server laufen, habe nes nur ausgetestet, damit ich hier im Forum keinen Sch* schreibe.

Also in der Ereignissanzeige unter Sicherheit habe ich diverse (dutzende) Einträge à la
Fehlerüberw.**. Da steht dann aber kein Benutzername und kein PW drin nur Anmeldetyp: 3 und Anmeldevorgang: Kerberos

Hier ein Bild:
f1fa6cc07e0718c1ce626b822667a489-svr2k3_eventlog_sec_ps - Klicke auf das Bild, um es zu vergrößern

LG
computermerlae
Bitte warten ..
Mitglied: computermerlae
03.09.2009 um 10:45 Uhr
Hallo Mischn1980
Danke für deine Antwort!
Ich habe soeben ein Bild hoch geladen. Darauf sind leider nicht gerade viele Informationen die ich auswerten könnte.
Kannst du mehr rauslesen?

LG
computermerlae

PS: Nein es ist niemand gegangen worden, aber es gibt wunderfitzige...
Bitte warten ..
Mitglied: manuel-r
03.09.2009 um 10:50 Uhr
Eine erfolgreiche Anmeldung sieht bspw. so aus
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 03.09.2009
Zeit: 10:51:03
Benutzer: <DOMAENE\username>
Computer: <SERVER>
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: <USERNAME>
Domäne: <DOMAENE>
Anmeldekennung: (0x0,0x8F5901)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {*}
Aufruferbenutzername:
Aufruferdomäne: <DOMAENE>
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 712
Übertragene Dienste: -
Quellnetzwerkadresse: <QUELLIP>
Quellport: 1364
Suche also einfach mal nach der Ereignisskennung 528 im Eventlog.
Bitte warten ..
Mitglied: mischn1980
03.09.2009 um 10:54 Uhr
Bei dem Bild hat sich nur das System angemeldet. Da steckt kein User aus Fleisch und Blut dahinter.

Es steht dann schon wirklich der Username bei dem Ereignis.

Benutzer: Domäne / Username

Die Ereigniskennungen die für dich wichtig sind: 538, 576, 528 (bei 2003 Server).

Das ganze ist bei der Gruppe Sicherheit.

Gruss

Michael
Bitte warten ..
Der Kommentar von 81825 wurde vom Moderator am 26.04.17 ausgeblendet!
Mitglied: computermerlae
03.09.2009 um 11:14 Uhr
Hallo greypeter
Auch dir danke ich für deine Antwort.
Ich habe die Gruppenrichtlinien gemäss Anleitung im ersten Google Treffer angepasst.

Mal schauen ob ich jetzt weniger Fehler habe.
Die eigentliche Frage ist aber noch nicht beantwortet.

LG
computermerlae
Bitte warten ..
Der Kommentar von 81825 wurde vom Moderator am 26.04.17 ausgeblendet!
Mitglied: manuel-r
03.09.2009 um 11:27 Uhr
Falsch. Die Frage ist beantwortet.
Filtere deine Anmeldeereignisse nach erfolgreichen Anmeldeereignissen und schon weißt du, wer sich wann angemeldet hat.
Und wenn du wissen willst, ob es jemand mit den verschiedensten Benutzern und/oder Passwörtern probiert hat filtere nach fehlgeschlagenen Anmeldeversuchen.

Manuel
Bitte warten ..
Mitglied: computermerlae
03.09.2009 um 11:27 Uhr
Also ich habe jetzt einmal alle EInträge angeschaut und es gibt keine Einträge mit der Kennung 528.

Es gibt diverse An/Abmeldung mit 529 und mit 537jedoch alle mit Benutzer SYSTEM.
Der einzige Eintrag mit einem Benutzernamen als Benutzer hat die Kennung 675.

Von den 675 gibt es viele jedoch (über mehrere Tage gesehen) nur von jeweils zwei Benutzern. Alle anderen Einträge (mit Ken. 675) haben als Benutzer einen Client (Computer) mit einem $-Zeichen dahinter.

z.B.:
Kategorie: Kontoanmeldung
Kennung: 675
Benutzername: Client1$
Benutzerkennung:Domäne\Client1$
Dienstname: krbtgt/Domäne
Vorauthetifizierungstyp: 0x2
Fehlercode: 0x25
Clientadresse: 192.168.x.y

Was bedeutet das?

LG
computermerlae
Bitte warten ..
Mitglied: manuel-r
03.09.2009 um 11:51 Uhr
Tja, dann ist wahrscheinlich die Überwachung auf erfolgreiche (vielleicht auch nicht erfolgreiche) Anmeldeereignisse abgeschaltet. Mehr dazu verraten dir deine lokalen oder Gruppen-Richtlinien.
Wenn dem so sein sollte, kommst du rückwirkend nicht mehr an die Information ran.
Bitte warten ..
Mitglied: mrtux
03.09.2009 um 16:47 Uhr
Hi !

Zitat von 81825:
Vielleicht könnte dann jemand anders die eigentliche Frage
kompetent beantworten, wenn dir das Lesen auch weiterer Google-Tipps
zu kompliziert erscheint.

Und wenn Du schon dabei bist Google zu füttern, dann solltest Du es auch gleich nochmal mit dem Wort "Überwachungsrichtlinie" versuchen. : -)

Wie lange arbeitest Du schon als Admin? Zwei Tage? Nix für ungut aber das sind doch Grundkenntnisse in der Windows Sicherheit. Wenn ich den Verdacht habe, dass jemand auf meinem Server herumlungert, dann muss ich wissen, wo ich hinfassen muss. Wissenslücken über die Windows Sicherheit können dich deinen Admin-Job kosten!

mrtux
Bitte warten ..
Mitglied: computermerlae
03.09.2009 um 20:16 Uhr
Hallo mrtux
Danke für den Tipp, ich werd mich da mal schlau lesen.

LG
computermerlae
Bitte warten ..
Mitglied: 51705
06.09.2009 um 03:26 Uhr
Hallo computermerlae,

Eventlog -> Sicherheit -> Ereigniskennung 528 zeigt (als Filter) alle Anmeldungen.

Grüße, Steffen
Bitte warten ..
Mitglied: DonCool
07.09.2009 um 11:30 Uhr
Es müsste doch was in den Logfiles stehen, oder? Also unter Systemsteuerung -> Verwaltung -> Ereignisanzeige.
Da kannst du auf jeden Fall sehen ob der Rechner neu hochgefahren ist. Wenn nicht war jemand dran.
Dann schau mal alles durch, ich bin nicht ganz sicher ob und wo da steht wer sich an der Console angemeldet habe, und kann selbst nicht suchen weil ich auch grad ein dringendes Problem zu lösen habe...

Gruß, DC
Bitte warten ..
Der Kommentar von Seefan wurde vom Moderator am 26.04.17 ausgeblendet!
Der Kommentar von maddoc wurde vom Moderator am 26.04.17 ausgeblendet!
Der Kommentar von 81825 wurde vom Moderator am 26.04.17 ausgeblendet!
Der Kommentar von maddoc wurde vom Moderator am 26.04.17 ausgeblendet!
Der Kommentar von 81825 wurde vom Moderator am 26.04.17 ausgeblendet!
Der Kommentar von maddoc wurde vom Moderator am 26.04.17 ausgeblendet!
Der Kommentar von 81825 wurde vom Moderator am 26.04.17 ausgeblendet!
Der Kommentar von maddoc wurde vom Moderator am 26.04.17 ausgeblendet!
Ähnliche Inhalte
Router & Routing
FritzBox VPN Namensauflösung klappt nicht mit internem DNS Server (1)

Frage von Unheilgott zum Thema Router & Routing ...

Windows Update
WSUS Server im Replika

Frage von ofodag zum Thema Windows Update ...

Windows Update
Wsus Server 2012 geht nicht mit Win10

Frage von sven173 zum Thema Windows Update ...

Windows Server
Lizenzierungsfrage zu Server 2008 R2 DSP OEI DVD 1- 4 CPU (1)

Frage von Leo-le zum Thema Windows Server ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (35)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (15)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

Backup
Backup Wochen- Monats- Jahressicherung (13)

Frage von Meterpeter zum Thema Backup ...

RedHat, CentOS, Fedora
Fedora, RedHat, Centos: DNS-Search Domain setzen (13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...