reyeg 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 Also, Filemon von Sysinternals sieht net schlecht aus, habs grad mal auf meinem Client getestet und werde es jetzt mal auf dem Server laufen lassen..... und hoffe... :) Gruß Reyeg :) Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 20. Mai 2005 Melden Teilen Geschrieben 20. Mai 2005 Hi reyeg, ich bin sehr gespannt. Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 Schade... entweder bin ich zu **** oder das Programm kann nicht das was ich erhofft habe.... vllt. kann ja mal jemand von Euch es sich anschauen. Als ich es lokal ausgeführt hatte, konnte ich genau verfolgen, dass über den Explorer eine Datei in Verzeichnis "X" von User "Y" gelöscht worden ist. Auf dem Server sehe ich leider keinerlei solcher Informationen mehr... zum testen habe ich nen Kollegen gebeten aus meinem Homeshare eine bestimmte Datei zu löschen. Gesagt getan, doch leider wurde nichts vom Filemon registriert.... :( Gruß Reyeg :) Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 23. Mai 2005 Autor Melden Teilen Geschrieben 23. Mai 2005 Mal mit dem RootkitRevealer von sysinterals probieren .... der findet auch gut getarnte Störenfriede. Greetz Gulp Hi Gulp, ich habe übers WE den RootKitRevealer nochmal über den DC1 laufen lassen und man staune, er hat was gefunden.... nur habe ich Interpretationsschwierigkeiten und bitte um Hilfe und wie lösche ich den Krams mit welchem Programm am besten? HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwFilesScanned 20.5.2005 14:35 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwLastModified 20.5.2005 14:35 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\szLastScanned 20.5.2005 14:35 82 bytes Windows API length not consistent with raw hive data. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A2.200 20.5.2005 17:07 4.35 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A4.200 20.5.2005 17:07 10.17 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A6.200 20.5.2005 17:07 7.46 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58C723.200 20.5.2005 17:07 6.73 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58D44F.200 20.5.2005 17:07 9.59 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58D60C.200 20.5.2005 17:07 6.21 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58C4FD.200 20.5.2005 17:07 8.41 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58D5F4.200 20.5.2005 17:07 5.55 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58D648.200 20.5.2005 17:07 10.25 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58C9D3.200 20.5.2005 17:07 5.63 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58D609.200 20.5.2005 17:07 5.91 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58D63F.200 20.5.2005 17:07 8.09 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Wirtschaft\58D550.200 20.5.2005 17:07 8.39 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Wirtschaft\58D5C2.200 20.5.2005 17:07 4.86 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\0000FC.60 20.5.2005 17:07 1.25 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58C723.60 20.5.2005 17:07 1.57 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D2D6.60 20.5.2005 17:07 1.54 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D2DE.60 20.5.2005 17:07 1.42 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D32F.60 20.5.2005 17:07 1.85 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D38C.60 20.5.2005 17:07 1.56 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D550.60 20.5.2005 17:07 1.69 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D5AA.60 20.5.2005 17:07 1.24 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D5F1.60 20.5.2005 17:07 1.76 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D5F4.60 20.5.2005 17:07 1.35 KB Hidden from Windows API. ...Gruppenlaufwerk\~$tiz VDs 1.doc 20.5.2005 17:36 54 bytes Hidden from Windows API. ...Gruppenlaufwerk\~WRL0001.tmp 20.5.2005 17:37 67.00 KB Hidden from Windows API. Danke und Gruß Reyeg :) Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 23. Mai 2005 Melden Teilen Geschrieben 23. Mai 2005 Hi reyeg, soweit ich das sehe gibt es eigentlich nix was Du da löschen musst, es handelt sich da schon um gelöschte (oder temporäre) Dateien. Deshalb auch der Hinweis "... hidden from Windows API". Interessant wäre lediglich zu schauen, ob Du die beiden Dateien nicht doch auf dem Gruppenlaufwerk findest, man weiss ja nie. Übrigens, wie hast Du denn FileMon auf dem Server verwendet? Doch hoffentlich direkt auf der Serverkonsole (und nicht von Deinem PC auf die Netzlaufwerke), denn sonst siehst Du auch auf dem Server nix. Sperr doch mal den Vollzugriff auf die Netzwerkfreigaben (also Löschen entziehen), da müsste ja bei mindestens einem Client ne Fehlermeldung kommen, falls was automatisiert abläuft. Wenn dann Inhalte aus Dateien fehlen/gelöscht sind kannst Du von manueller Sabotage ausgehen. Greetz Gulp Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 23. Mai 2005 Autor Melden Teilen Geschrieben 23. Mai 2005 Hi Gulp, also die ~$iz VDs 1.dos - Datei war ein geöffnetes Word-Dokument, was nur noch in der ungeöffneten Form vorhanden ist und die .tmp-Datei ist nicht mehr im Gruppenlaufwerk vorhanden. FileMon habe ich wie folgt verwendet: Filemon.exe auf dem Server net unter der Konsole, sonder direkt die .exe - Datei im Explorer gestartet und dann hab ich ihn aufzeichnen lassen. Als Test, hat mein Kollege eine Datei aus meinem Homeshare gelöscht, dies wurde allerdings nicht erfasst... sondern immer nur das was der User (sprich ich) aktiv auf dem Server getan hat. Wir haben ein Homeshare eines betroffenen Users soweit dicht gemacht, dass nur noch der User selber und ein spezieller Admin (namentlich) Zugriff auf das Homeshare hatten, mit dem Resultat (2 Dateien lagen drin) dass die schreibgeschütze Datei nicht gelöscht wurde, aber die ohne Schreibschutz innerhalb von 2Stunden erneut gelöscht worden ist. Ich werde mal den Zugriff so setzen dass Löschen nicht möglich ist, danke für den Hinweis! :) Allerdings bin ich immernoch total ratlos... :( Cu Reyeg :) Zitieren Link zu diesem Kommentar
Egli 10 Geschrieben 23. Mai 2005 Melden Teilen Geschrieben 23. Mai 2005 Hallo, in deinen geplanten Tasks liegt nicht zufällig das Löschprog das du suchst? Kannst du ja mal schauen ob da alle 2Stunden irgendjemand dir da einen AT-Job einstellt um dich zu ärgern. Die Geschichte ist echt interessant, bin wirklich mal gespannt was dabei rauskommt. Viel Erfolg!!! Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 23. Mai 2005 Autor Melden Teilen Geschrieben 23. Mai 2005 Hi Egli, also es ist kein Task drin, der net reingehören würde.... :) Interessant auf alle Fälle, aber auch mega frustierend...... :shock: Gruß Reyeg Zitieren Link zu diesem Kommentar
MurphY MacManus 10 Geschrieben 23. Mai 2005 Melden Teilen Geschrieben 23. Mai 2005 kannst du evtl. eine rücksicherung des servers machen (also kurz vor dem datum wo das das erste mal passiert ist) ?! ich habs mir den thread jetzt nicht ganz durchgelesen und wenns ein domänencontroller is (und du keinen 2. hast) dann vergiss das ganz schnell wieder :) peace MurphY Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 23. Mai 2005 Melden Teilen Geschrieben 23. Mai 2005 hmmm ... wirklich spannend die Geschichte. Um die Dateien auf dem Server effektiv zu überwachen sollte FileMon auf dem Server direkt ausgeführt werden, denn dann werden sämtliche Dateitransaktionen des Servers auch überwacht. Startest Du FileMon von Deinem PC aus, werden auch nur Deine Aktionen überwacht und festgehalten, das heisst Du siehst keine Löschaktion eines anderen Benutzers. Mit RegMon auf dem Server (auch von sysinternals) kannst Du möglicherweise auch eventuelle Registry-basierte Tasks oder Programme aufspüren. Langsam wird es für mich immer wahrscheinlicher, dass da jemand 'rumspielt'. Greetz Gulp Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 23. Mai 2005 Autor Melden Teilen Geschrieben 23. Mai 2005 Hi MurphY MacManus, Rücksicherung kommt leider nicht in Frage... ist nicht realisierbar und wenn es auf Sabotage rausläuft auch nicht hilfreich.... :shock: @Gulp Ich habe Filemon direkt auf dem Server ausgeführt, aber net über die Konsole.... aber macht das nen Unterschied? Das Programm hat leider nicht die Sachen angezeigt, was die User in Ihrem Homeshares gemacht haben, sondern nur was der User gemacht hat, der das Programm gestartet hat, oder mache ich was falsch? Achja, heute wurden noch keine Dateien gelöscht... die Köder sind gelegt *g* Letzte Aktion war am Sonntag, was wieder gegen Sabotage spricht.... Habe vorhin auch noch mal Blacklight Beta von F-Secure was nach Rootkits sucht drübergescheucht... ohne Ergebnis. Cu Reyeg :) Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 23. Mai 2005 Melden Teilen Geschrieben 23. Mai 2005 Hi, nachdem du die Zugriffe auf die Netzlaufwerke schreibgeschützt hast, könntest du mal auf dem Server die Ergeinisprotokolle prüfen. Vielleicht ergibt sich ein Hinweis in der Sicherheit. Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 23. Mai 2005 Melden Teilen Geschrieben 23. Mai 2005 FileMon sollte immer als Admin gestartet werden, als User bleibt Dir viel verborgen. Für Deinen Fall wäre der Domain-Admin die geeignete Wahl. Dennoch kann auch FileMon (leider) nicht alles. Sonntag .... ist natürlich wieder mal klassisch .... hehe, aber bist Du da sicher? Kann es nicht auch am Samstag passiert sein? Noch gar nicht beachtet habe wir die Backup Software (da können nämlich so nette Sachen, wie zB 'Nach Archivieren löschen' aktiv sein), vielleicht kommt's ja auch da her? Grüsse Gulp Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 23. Mai 2005 Autor Melden Teilen Geschrieben 23. Mai 2005 Danke für die Hinweise, vllt. kommt man ja so irgendwie zu ner Problemlösung indem man alles ausschließt :) Ich bin Domänen Admin.... leider kann Filemon nicht aktiv Dateien auf einem Server aufzeichnen, die von Usern im Netzwerk verändert werden. Habe auch kein Programm gefunden was sowas kann... dann hätte ich schnell den Übeltäter... Wegen Sonntag relativ sicher, da in der Datensicherung von Samstag auf Sonntag noch alles da war und Sonntag auf Montag alles weg war.... Datensicherungssoftware kann ich eigentlich auch ausschließen da im laufenden Betrieb nicht in der Art gesichert wird und die Löschungen wurden ja auch Tagsüber durchgeführt. Grüße Reyeg :) Zitieren Link zu diesem Kommentar
reyeg 10 Geschrieben 24. Mai 2005 Autor Melden Teilen Geschrieben 24. Mai 2005 Kurze Zwischeninfo für alle Interessierten: Dateien wurden seit gestern nicht mehr gelöscht..... warum auch immer, vllt. sollte ich mal die Urlaubskartei prüfen lassen ;) EDIT: Leider hat "der" oder "das" wieder zugeschlagen..... und zwar 2 mal... 1x während der Bandsicherung heute Nacht muss es passiert sein, da seltsamerweise 2 Dateien auf Band gesichert worden sind (in dem Moment sind sie ja in Verwendung, denke ich mal) und nach der Sicherung hat "der" oder "das" zum 2. mal zugeschlagen, da sie gelöscht.... sprich heute Morgen net mehr vorhanden waren. Es wurde ja schon in Richtung BackUp-Software spekuliert allerdings schließe ich diese aus, da die Masse der Dateien im laufenden Betrieb gelöscht worden sind und da wird nicht gesichert.... *grmpf* Gruß Reyeg :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.