Jump to content

Wie kann ich herrausfinden wer mich angreift?

taotao

Von taotao
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

taotao

taotao   10

Geschrieben
Geschrieben

Hallo,

mein Bekannter arbeitet halbwegs als Administrator und wird vermutlich intern als auch extern angegriffen. Die benutzten Windows 2000- und Windows XP-Clients, zusätzlich gibt es einen Linux Server und Windows Domänencontroller. In seinen Büro ist ein Windows2000 und ein Windows XP Clientrechner.

Ab und zu muss er sein Rechner auch am Wochenende laufen lassen und da ist normalerweise Keiner in der Arbeit. Das Protokoll vom Domänencontroller meldet dass er sich am Samstag abgemeldet hat und wieder angemeldet hat. Er war aber Samstag wie immer nicht im Büro und hatte auch abgeschlossen.

Bevor er sich abgemeldet hat gab es auch Netzwerkstörungen im Intranet obwohl da am Samstag so gut wie kein Betrieb ist. Er vermutet dass sein Rechner überflutet worden ist, er hatte da so ein Wort gesagt der mir aber jetzt nicht einfällt.

Das war nicht das erste Mal dass das passiert ist.

Komischerweise ist der Samstag im Domänencontroller nicht protokolliert die anderen Samstage schon.

Er vermutet dass jemand anderes sich für eine kurze Zeit unter seinen Namen angemeldet hat und böse Sachen gemacht und dass alles in seinen Namen als Admin.

 

Wenn Ihr mehr Informationen braucht, versuche ich die von ihm zu bekommen.

Auf jeden Fall müssen die Angreifer aufgespürt werden, vielleicht mit irgendwelchen Tools?

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
mein Bekannter arbeitet halbwegs als Administrator und ....
Was ist darunter zu verstehen?
Er vermutet dass jemand anderes sich für eine kurze Zeit unter seinen Namen angemeldet hat und böse Sachen gemacht und dass alles in seinen Namen als Admin.
Kennt denn jemand sein Kennwort?
Auf jeden Fall müssen die Angreifer aufgespürt werden, vielleicht mit irgendwelchen Tools
Eine fachmännische Konfiguration des Loggings, die ist aber vorher notwendig.

 

Wie sieht es denn da mit der Kenntniss des IT-Grundschutzhandbuches aus?

Link zu diesem Kommentar
taotao

taotao   10

Geschrieben
  • Autor
Geschrieben
Hallo,

 

wie wärs mal mit einer Änderung der Admin Kennwörter als erstes ?

Das habe ich auch vorgeschlagen.

Es gibt mehrere Administratoren, es könnte auch ein Admin sein. Viel wichtiger ist es den Angreifer aufzuspühren, denn der hat sich bestimmt schon selber einen Benuter eingerichtet. Die andere Sache ist dass der Angreifer bei einem Passwort wechsel wieder versuchen wird ihn anzugreifen. Auch ist die Frage wie er es geschafft hat das Passwort zu finden. Ich habe da mal Praktikum gemacht und einer der Admin konnte mir mein Passwort sagen, also besser gesagt er hat beim Telefon was vor sich hingemurmelt was sich nach meinen Passwort anhörte, als darum ging warum ich so wenig Benutzerrechte hatte.

Natürlich wird er sein Passwort ändern, aber irgendwie muss man den Angreifer aufspühren oder Fallen stellen.

Der sitzt bestimmt im gleichen Gebäude (200 Mitarbeiter).

Link zu diesem Kommentar
taotao

taotao   10

Geschrieben
  • Autor
Geschrieben
Was ist darunter zu verstehen?

Kennt denn jemand sein Kennwort?

Und dafür gibt es klare Indizien?

 

Eine fachmännische Konfiguration des Loggings, die ist aber vorher notwendig.

Hallo,

er arbeitet in einer Firma und ist kein ausgebildeter Informaitker, er hat sich selber vieles bei gebracht, deshalb meinte ich halbwegs. Z.B. wusste er nicht was eine APIPA ist. Dafür kennt viele andere Sachen in der Administration.

 

Es gibt klare Indizien, da er sich mal unbeliebt gemacht hatte, weil er mal seine Meinung gesagt hat und noch andere die will hier nicht sagen.

Letztes mal war er bei einer wichtigen Sache verantwortlich dass bestimmte Daten von einem Server abgerufen werden kann. Als so weit war ging plötzlich der Server auf einmal nicht mehr, er hatte aber zum Glück einen Notfallplan. Auch da wollte man ihn wohl vorführen. Das ist natürlich traurig, vielleicht ist auch alles nur zufall aber er selber sagt mir dass er kein Zufall sein kann.

Link zu diesem Kommentar
taotao

taotao   10

Geschrieben
  • Autor
Geschrieben
ist denn der Rechner auch mal auf Keylogger geprüft worden ?

 

Normalerweise sind Kennwörter doch nicht öffentlich zu handhaben.

 

Irgendwie kommt mir das alles sehr spanisch vor.

Hallo,

ich habe selber in meiner Fortbilding gesehen dass jemand mit einem Norton-Programm was über 10000 Euro kostet(oder 30000, war natürlich eine Kopie) Passwörter aus dem Activedirectory auslesen konnte. Er hat dass gemacht um sein eigenes Passwort wieder zu finden. Natürlich könnte man sagen er soll sein System neu installieren, aber da haben wir gerade eine Gruppenarbeit (Irgendwelche Active-Directory Fälle mit übergeordneten Domänen und so) gemacht und wir brauchten sein Rechner.

Link zu diesem Kommentar
woiza Veteran

woiza   10

Geschrieben
Geschrieben
... er hatte sein Informatik-Studium abgebrochen (hat aber zuvor ein anderes Studium abgeschlossen) und hat sich selber vieles bei gebracht, deshalb meinte ich halbwegs. Z.B. wusste er nicht was eine APIPA ist. Dafür kennt viele andere Sachen in der Administration.

 

Intrusion Detection ist ein ziemlich fortgeschrittenes Thema und kaum jemandem zu vermitteln, der nicht sonderlich tief in der Materie ist. Ohne genauere Kenntnis der Strukturen kann man sowieso wenig sagen. Wie sehen die Angriffe aus? Wird sein Rechner angegriffen oder nur sein Account für Angriffe benutzt? usw. usf.

 

Letztes mal war er bei einer wichtigen Sache verantwortlich dass bestimmte Daten von einem Server abgerufen werden kann. Als so weit war ging plötzlich der Server auf einmal nicht mehr, er hatte aber zum Glück einen Notfallplan. Auch da wollte man ihn wohl vorführen. Das ist natürlich traurig, vielleicht ist auch alles nur zufall aber er selber sagt mir dass er kein Zufall sein kann.

 

Woher weißt du, dass dieser "Angriff", falls es denn einer war, mit seinem Account durchgeführt wurde?

 

Gruß

 

woiza

Link zu diesem Kommentar
taotao

taotao   10

Geschrieben
  • Autor
Geschrieben
Intrusion Detection ist ein ziemlich fortgeschrittenes Thema und kaum jemandem zu vermitteln, der nicht sonderlich tief in der Materie ist. Ohne genauere Kenntnis der Strukturen kann man sowieso wenig sagen. Wie sehen die Angriffe aus? Wird sein Rechner angegriffen oder nur sein Account für Angriffe benutzt? usw. usf.

 

 

 

Mit einer derartigen Pauschalierung wäre ich SEHR vorsichtig...

 

 

 

Woher weißt du, dass dieser "Angriff", falls es denn einer war, mit seinem Account durchgeführt wurde?

 

Gruß

 

woiza

Ich versuche ihn bald genauer zu fragen.

Link zu diesem Kommentar
woiza Veteran

woiza   10

Geschrieben
Geschrieben
Hallo,

ich habe selber in meiner Fortbilding gesehen dass jemand mit einem Norton-Programm was über 10000 Euro kostet(oder 30000, war natürlich eine Kopie) Passwörter aus dem Activedirectory auslesen konnte. Er hat dass gemacht um sein eigenes Passwort wieder zu finden. Natürlich könnte man sagen er soll sein System neu installieren, aber da haben wir gerade eine Gruppenarbeit (Irgendwelche Active-Directory Fälle mit übergeordneten Domänen und so) gemacht und wir brauchten sein Rechner.

 

 

Das würde ich gerne sehen, wie jemand aus einem laufenden AD Passwörter einfach "ausliest"...

 

Natürlich kann man an die verschlüsselten Passwörter kommen, etwa mit nem Sniffer, allerdings müsste es schon ein sehr simples Passwort sein, dass dieses einfach mit Brute Force oder Dictionary Attack entschlüsselt werden kann. Daher würde ich auch empfehlen, erstmal das PW zu ändern und dabei auf die Sicherheitsregeln für Passwörter zu achten.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...