taotao

Es könnte auch so wie du sagst gewesen sein, dass er einfach sein Passwort zurückgesetzt hat.:o

Ich habe dass nicht so genau mitbekommen, aber ich meine er hat von der CD gebooted, der PC war wohl ein Domänencontroler. Das Programm könnte auch von Novell gewesen sein, ich weiß es nicht so genau.

Ich versuche ihn bald genauer zu fragen.

Ich werde ihn in den Tagen wieder treffen und versuche ihn dazu genauer zu fragen.

Das mit dem Keylogger kann ich ihm ja mal vorschlagen, ähm wie überprüft man dass denn?

Hallo, ich habe selber in meiner Fortbilding gesehen dass jemand mit einem Norton-Programm was über 10000 Euro kostet(oder 30000, war natürlich eine Kopie) Passwörter aus dem Activedirectory auslesen konnte. Er hat dass gemacht um sein eigenes Passwort wieder zu finden. Natürlich könnte man sagen er soll sein System neu installieren, aber da haben wir gerade eine Gruppenarbeit (Irgendwelche Active-Directory Fälle mit übergeordneten Domänen und so) gemacht und wir brauchten sein Rechner.

Hallo, er arbeitet in einer Firma und ist kein ausgebildeter Informaitker, er hat sich selber vieles bei gebracht, deshalb meinte ich halbwegs. Z.B. wusste er nicht was eine APIPA ist. Dafür kennt viele andere Sachen in der Administration. Es gibt klare Indizien, da er sich mal unbeliebt gemacht hatte, weil er mal seine Meinung gesagt hat und noch andere die will hier nicht sagen. Letztes mal war er bei einer wichtigen Sache verantwortlich dass bestimmte Daten von einem Server abgerufen werden kann. Als so weit war ging plötzlich der Server auf einmal nicht mehr, er hatte aber zum Glück einen Notfallplan. Auch da wollte man ihn wohl vorführen. Das ist natürlich traurig, vielleicht ist auch alles nur zufall aber er selber sagt mir dass er kein Zufall sein kann.

Das habe ich auch vorgeschlagen. Es gibt mehrere Administratoren, es könnte auch ein Admin sein. Viel wichtiger ist es den Angreifer aufzuspühren, denn der hat sich bestimmt schon selber einen Benuter eingerichtet. Die andere Sache ist dass der Angreifer bei einem Passwort wechsel wieder versuchen wird ihn anzugreifen. Auch ist die Frage wie er es geschafft hat das Passwort zu finden. Ich habe da mal Praktikum gemacht und einer der Admin konnte mir mein Passwort sagen, also besser gesagt er hat beim Telefon was vor sich hingemurmelt was sich nach meinen Passwort anhörte, als darum ging warum ich so wenig Benutzerrechte hatte. Natürlich wird er sein Passwort ändern, aber irgendwie muss man den Angreifer aufspühren oder Fallen stellen. Der sitzt bestimmt im gleichen Gebäude (200 Mitarbeiter).

Hallo, mein Bekannter arbeitet halbwegs als Administrator und wird vermutlich intern als auch extern angegriffen. Die benutzten Windows 2000- und Windows XP-Clients, zusätzlich gibt es einen Linux Server und Windows Domänencontroller. In seinen Büro ist ein Windows2000 und ein Windows XP Clientrechner. Ab und zu muss er sein Rechner auch am Wochenende laufen lassen und da ist normalerweise Keiner in der Arbeit. Das Protokoll vom Domänencontroller meldet dass er sich am Samstag abgemeldet hat und wieder angemeldet hat. Er war aber Samstag wie immer nicht im Büro und hatte auch abgeschlossen. Bevor er sich abgemeldet hat gab es auch Netzwerkstörungen im Intranet obwohl da am Samstag so gut wie kein Betrieb ist. Er vermutet dass sein Rechner überflutet worden ist, er hatte da so ein Wort gesagt der mir aber jetzt nicht einfällt. Das war nicht das erste Mal dass das passiert ist. Komischerweise ist der Samstag im Domänencontroller nicht protokolliert die anderen Samstage schon. Er vermutet dass jemand anderes sich für eine kurze Zeit unter seinen Namen angemeldet hat und böse Sachen gemacht und dass alles in seinen Namen als Admin. Wenn Ihr mehr Informationen braucht, versuche ich die von ihm zu bekommen. Auf jeden Fall müssen die Angreifer aufgespürt werden, vielleicht mit irgendwelchen Tools?