Zum Inhalt wechseln


Foto

Powershell skript für überwachung von Änderungen


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 lkay2017

lkay2017

    Newbie

  • 13 Beiträge

 

Geschrieben 13. Juni 2017 - 11:14

Moin,

ich würde gerne ein Skript erstellen um mir fix anzeigen zu lassen:

Welcher User in einem Zeitraum von X welche Dateien verändert hat.

 

Hintergrund:

ich möchte rausfinden, welche Daten durch das Adminkonto verändert wurden in einem Zeitraum von 14 Tagen.

Mein Server wurde gekapert und ich möchte gerne sicherstellen das nicht noch mehr Schaden vorgenommen wurde. 

Woher der Angreifer kam ist schon bekannt, die Frage ist nur was er gemacht hat. Scheint alles normal zu sein.

Es wurde lediglich Firefox in der englischen Version installiert -ohne Plugins. Die  Ereignisanzeige wurde brav zurückgesetzt..

 



#2 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 13. Juni 2017 - 11:50

Moin,

 

noch mal langsam. Du willst einen Report haben über Änderungen in der Vergangenheit? Oder willst du überwachen, was ab jetzt passiert?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 mba

mba

    Board Veteran

  • 862 Beiträge

 

Geschrieben 13. Juni 2017 - 11:56

Dein Sever steht im Internet? Rootserver?

#4 lkay2017

lkay2017

    Newbie

  • 13 Beiträge

 

Geschrieben 13. Juni 2017 - 12:05

moin Nils,

ich würde gerne sehen was in der Vergangenheit passiert ist. Quasi in den letzten 14 Tagen. Das Adminkonto "Administrator" wurde eigentlich nie benutzt.

Jeder User der Rechte benötigt hat sie bekommen. somit wurde der Account nicht genutzt. War aber auch nicht deaktiviert.. :(

nun habe ich rausgefunden das sich jemand mit dem Konto verbunden hatte und knapp 7 Std damit rumgespielt hat.

 

Mich würde halt mal interessieren was ein Fremder 7 Std auf meinem Server macht. Was er verändert hat oder für Daten geschrieben hat.

 

Großartig nachvollziehen kann ich nicht was alles gemacht wurde. Die Ereignis Protokolle wurden gesäubert.. Lediglich konnte ich nachvollziehen das eine englische Version vom Firefox installiert wurde.


@mba mein Server steht zuhause bei mir und ist mit dem Internet verbunden. Ich hoste da quasi Daten für mich, Familie und bekannte drauf.

diesmal also rein privat..



#5 MurdocX

MurdocX

    Board Veteran

  • 547 Beiträge

 

Geschrieben 13. Juni 2017 - 12:12

Und logischerweise war der RDP-Port ins Internet veröffentlicht, oder?


Mit freundlicher Unterstützung
Jan


#6 Dukel

Dukel

    Board Veteran

  • 9.250 Beiträge

 

Geschrieben 13. Juni 2017 - 12:20

Und du glaubst das du alles findest was der Angreifer gemacht hat? Nimm den Server vom Netz und installiere ihn neu!

 

Wenn du _wirklich_ wissen willst, was gemacht wurde dann brauchst du entsprechende Forensik Tools und kein Powershell Script.

Wenn der Angreifer etwas besser war kann er seine Aktionen so verschleiern, dass die normalen Bordmittel die Änderungen nicht anzeigen.


  • NilsK gefällt das

Stop making stupid people famous.


#7 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 13. Juni 2017 - 12:30

Moin,

 

Dukel hat völlig Recht. Nimm den Server vom Netz. Sichere, was du an Daten sichern kannst. Lösche alles und installiere den Server neu. Wenn jemand das Eventlog löscht, wird er einen Grund dazu haben. Du kannst dem System nicht mehr trauen. Es sofort vom Netz zu nehmen, ist daher auch ein Gebot der Verantwortung allen anderen gegenüber.

 

Die gesicherten Daten prüfst du mit aktuellen Malwarescannern, bevor du irgendwas anderes damit machst.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 lkay2017

lkay2017

    Newbie

  • 13 Beiträge

 

Geschrieben 13. Juni 2017 - 12:33

jut, hab ihm gerade die nw karte genommen und wenn ich zuhause bin werd ich ihn übers wochenende neu machen.. schade.. ;)



#9 Piranha

Piranha

    Senior Member

  • 501 Beiträge

 

Geschrieben 13. Juni 2017 - 12:37

Und was unternimmst du das dies nicht nochmals passiert? ;)


Alle sagten, das geht nicht, bis einer kam und es nicht wusste.


#10 Sunny61

Sunny61

    Expert Member

  • 22.094 Beiträge

 

Geschrieben 13. Juni 2017 - 13:13

Natürlich diesmal den Administrator deaktivieren, reicht das nicht? :)
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#11 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 13. Juni 2017 - 13:27

Es konnte sich jemand mit dem Administratorkonto anmelden, kannte der das Kennwort, wie kam der dazu?


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#12 lkay2017

lkay2017

    Newbie

  • 13 Beiträge

 

Geschrieben 21. Juni 2017 - 14:15

Ich bin mit nicht ganz sicher ob der jemand Insider ist und das Kennwort kannte oder irgendeine Lücke genutzt hatte. Normalerweise deaktiviere ich den Administrator und erstelle User mit deren Privilegien... 

@Piranha avira reicht doch oder meinst du nicht? -> ich habe eine Sophos Firewall dahinter... Server Protection & Eset läuft ebenfalls. Updates sind meist up to date.. 



#13 Piranha

Piranha

    Senior Member

  • 501 Beiträge

 

Geschrieben 21. Juni 2017 - 15:20

Was hat Avira damit zu tun?!


Alle sagten, das geht nicht, bis einer kam und es nicht wusste.