Jump to content

Powershell skript für überwachung von Änderungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

ich würde gerne ein Skript erstellen um mir fix anzeigen zu lassen:

Welcher User in einem Zeitraum von X welche Dateien verändert hat.

 

Hintergrund:

ich möchte rausfinden, welche Daten durch das Adminkonto verändert wurden in einem Zeitraum von 14 Tagen.

Mein Server wurde gekapert und ich möchte gerne sicherstellen das nicht noch mehr Schaden vorgenommen wurde. 

Woher der Angreifer kam ist schon bekannt, die Frage ist nur was er gemacht hat. Scheint alles normal zu sein.

Es wurde lediglich Firefox in der englischen Version installiert -ohne Plugins. Die  Ereignisanzeige wurde brav zurückgesetzt..

 

Link zu diesem Kommentar

moin Nils,

ich würde gerne sehen was in der Vergangenheit passiert ist. Quasi in den letzten 14 Tagen. Das Adminkonto "Administrator" wurde eigentlich nie benutzt.

Jeder User der Rechte benötigt hat sie bekommen. somit wurde der Account nicht genutzt. War aber auch nicht deaktiviert.. :(

nun habe ich rausgefunden das sich jemand mit dem Konto verbunden hatte und knapp 7 Std damit rumgespielt hat.

 

Mich würde halt mal interessieren was ein Fremder 7 Std auf meinem Server macht. Was er verändert hat oder für Daten geschrieben hat.

 

Großartig nachvollziehen kann ich nicht was alles gemacht wurde. Die Ereignis Protokolle wurden gesäubert.. Lediglich konnte ich nachvollziehen das eine englische Version vom Firefox installiert wurde.


@mba mein Server steht zuhause bei mir und ist mit dem Internet verbunden. Ich hoste da quasi Daten für mich, Familie und bekannte drauf.

diesmal also rein privat..

Link zu diesem Kommentar

Und du glaubst das du alles findest was der Angreifer gemacht hat? Nimm den Server vom Netz und installiere ihn neu!

 

Wenn du _wirklich_ wissen willst, was gemacht wurde dann brauchst du entsprechende Forensik Tools und kein Powershell Script.

Wenn der Angreifer etwas besser war kann er seine Aktionen so verschleiern, dass die normalen Bordmittel die Änderungen nicht anzeigen.

Link zu diesem Kommentar

Moin,

 

Dukel hat völlig Recht. Nimm den Server vom Netz. Sichere, was du an Daten sichern kannst. Lösche alles und installiere den Server neu. Wenn jemand das Eventlog löscht, wird er einen Grund dazu haben. Du kannst dem System nicht mehr trauen. Es sofort vom Netz zu nehmen, ist daher auch ein Gebot der Verantwortung allen anderen gegenüber.

 

Die gesicherten Daten prüfst du mit aktuellen Malwarescannern, bevor du irgendwas anderes damit machst.

 

Gruß, Nils

Link zu diesem Kommentar
  • 2 Wochen später...

Ich bin mit nicht ganz sicher ob der jemand Insider ist und das Kennwort kannte oder irgendeine Lücke genutzt hatte. Normalerweise deaktiviere ich den Administrator und erstelle User mit deren Privilegien... 

@Piranha avira reicht doch oder meinst du nicht? -> ich habe eine Sophos Firewall dahinter... Server Protection & Eset läuft ebenfalls. Updates sind meist up to date.. 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...