Ansprechpartner 10 Geschrieben 4. September 2003 Melden Teilen Geschrieben 4. September 2003 Hallo, ich hoffe mir kann hier geholfen werden. Folgendes ist passiert: Eíne Schule hat seit Uhrzeiten einen NT4-Server mit Linux-Softwarerouter laufen, was bisher auch immer gut funktioniert hat. Nun ist der betreuende Lehrer für längere Zeit krank gewesen und hat die "Rechte" der Verwaltung einem Schüler übertragen. Dieser Schüler hatte nun nichts anderes zu tun, als die Passwörter inaktiv zu setzen, bzw. zu cashen. Man sieht bei der Anmeldung am Server deutlich, dass mehrere Anmeldefenster nacheinander aufgehen, im Endeffekt spielt es keine Rolle mehr, welches Passwort man als Administrator eingibt, weil er mit dem zweiten Enter nach Eingabe immer drin ist, ganz ohne Passwort. Passwörter zu ändern nützt natürlich nichts, man kommt immer ohne Passwort rein. Ich kenne das fiese Programm nicht, dass dafür benutzt wurde, sehe jetzt nur noch seine fatalen Folgen - jeder darf alles :( Meine Frage: Wird man dieses Programm wieder los, so dass die Passwortvergabe wieder eine Funktion erfüllt, wenn ja bitte wie ? Und falls das nicht möglich ist, was ist zu tun ? Kann man evtl. den Login-Bereich wieder herstellen, wenn man NT einfach noch einmal drüber installiert ? Bin für jeden Vorschlag dankbar. Viele Grüße Ansprechpartner Zitieren Link zu diesem Kommentar
Ansprechpartner 10 Geschrieben 4. September 2003 Autor Melden Teilen Geschrieben 4. September 2003 Das wäre aber schade... Wenigstens nen Tipp ob eine Drüberinstallation Sinn macht und mir dadurch keine wichtigen Einstellungen und Rechte zurückgesetzt werden, würde mir schon helfen. Die "Rechte" sehen zumindest so aus, als wären sie beschränkt, so wie es einmal eingerichtet war. Nur darf jeder Alles im Moment und das ist ziemlich übel... Ansprechpartner - NT-Frischling ohne Angst vielleicht dumme Fragen zu stellen :) Zitieren Link zu diesem Kommentar
NoByte 10 Geschrieben 4. September 2003 Melden Teilen Geschrieben 4. September 2003 hallo, sag mal hab ich das richtig verstanden: du kannst den admin kein neues pw mehr vergeben? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 4. September 2003 Melden Teilen Geschrieben 4. September 2003 Schau mal, ob hier HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon irgendwas von defaultpasswort etc. steht. cu blub Zitieren Link zu diesem Kommentar
auer 10 Geschrieben 4. September 2003 Melden Teilen Geschrieben 4. September 2003 Habe ich das richtig verstanden: Anmeldung mit Name und Passwort, dann Enter ... dann gehen hintereinander mehrere Dosboxen auf, von denen womöglich die erste die zweite, diese die dritte startet? Wenn das zu Zeiten der Betreuung durch den Lehrer noch nicht war, dann würde ein Script das nächste mit einer höheren Berechtigung starten, eventuell die Anmeldung am Server abbrechen und mit einer anderen Kennung wiederherstellen? Das ganze kann natürlich über AutoStart, einen Run-Eintrag oder über das offizielle Logonscript gestartet werden? Falls die obigen Vermutungen zutreffen, müßte man da weiterdenken. ------------ Gruß, Auer Zitieren Link zu diesem Kommentar
Ansprechpartner 10 Geschrieben 4. September 2003 Autor Melden Teilen Geschrieben 4. September 2003 Ich kann natürlich dem Admin und allen anderen neue Passwörter vergeben. Aber sie spielen keine Rolle, wenn das erste Fenster mit falschem Passwort abgewiesen wird, geht sofort ein neues aus, wo man sich ohne Passwort einloggen kann, leider gilt das auch für den Administrator. Die Fenster liegen direkt hintereinander und man sieht das zweite erst, wenn das erste mit richtigem oder flaschen Passwort durch ist. Die Boxen gehen gleich zu Beginn der Anmeldung auf. Ich vermute der Junge hat ein Cash-Dingens da zwichengeschaltet. Aber muss nicht stimmen. @auer, ja so sieht es aus... :( Voll doof, aber danke. Ich gucke mir mal das offizelle Loginscript an und nach dem default-Passwort ebenfalls. Falls das nicht hilft (muss ich erst testen morgen), werde ich detailiertere Fragen stellen können. Gruß, Ansprechpartner Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. September 2003 Melden Teilen Geschrieben 5. September 2003 Im LoginScript wirst du mit hoher Sicherheit nichts finden, denn das läuft erst nach erfolgreicher Anmeldung. Vielleicht im Run, aber auch da zweifle ich. Normalerweise kommt ein Fenster mit einer Fehlermeldung, wenn man ein falsches Kennwort eingibt, dort kommt ein zweites Anmeldefenster. Ich vermute auch, dass die Kiste gehackt wurde. Ich kenne den Hack zwar nicht, aber er funktinioniert folgendermassen: Statt dem Fehlermeldungsfenster läuft ein Script ab. Das Script ruft sofort ein erneut ein Anmeldefenster auf (damit der Benutzer nicht STRG-ALT-ENTF drückt, damit läuft keine Programm mehr) und ein Programm, das Keyboardeingaben mitliest. Die Keyboardeingaben wurden irgendwann einmal in eine Datei weggeschrieben. Dort werden sie jetzt immer rausgekramt und eingetragen, deshalb spielt es auch keine Rolle, was du reinschreibst. So oder ganz dicht dran muss es sein. Du wirst auf die schnelle nicht umhinkommen, eine Reparaturinstallation zu versuchen (von CD booten oder I386\winnt32.exe starten) und falls das nicht hilft, neu aufzusetzen. Ausser du findet die gehackten Dateien. Dann musst du du aber sonst noch was alles kontrollieren (Gruppenmitgliedschaften, fremde Benutzer, sonstige Hacks...). Ich frage dich anders: wie weit traust du einem System, das offensichtlich die Schüler auf diese Weise gehackt haben, selbst wenn du diesen Hack rausgebracht hast? Schönen Tag noch... grizzly999 Zitieren Link zu diesem Kommentar
Birger 10 Geschrieben 5. September 2003 Melden Teilen Geschrieben 5. September 2003 Hi Ho. Wenn es ein Keylogger war dann müßte ein Virenscanner bzw ein Trojanscanner doch eventuell erfolg bringen und das Script entfernen oder Deaktivieren? Und wenn der Keylogger nun von dem kleinen Hacker(HIHI) oder dem Scanner wieder entfernt wurde könnte ein anlegen eines Neuen User`s mit Admin Rechten vielleicht erfolg bringen, denn wenn diese Anmeldung nicht mehr (Da Keylogger entfernt) in ein Script geschrieben wird, könnte sie ganz normal durchlaufen. Einfach mal einen Tesuser anlegen ihm Adminrechte geben und schauen was passiert. Zitieren Link zu diesem Kommentar
Ansprechpartner 10 Geschrieben 5. September 2003 Autor Melden Teilen Geschrieben 5. September 2003 Hallo grizzly999, ich mach mich gleich auf die Socken und versuche mal diese Reparaturinstallation. Hoffentlich geht mir dabei nix flöten, von den vielen Programmen die da drauf laufen. Neu aufsetzen heisst ALLES neu machen, nicht wahr ? Vielleicht lohnt sich dann gleich ein Wechsel auf W2KS. Und noch vielleichter kriege ich sogar hin die alten Daten dabei nicht zu verlieren... Melde mich wenn ich wieder zurück bin. Danke, Ansprechpartner Zitieren Link zu diesem Kommentar
Ansprechpartner 10 Geschrieben 5. September 2003 Autor Melden Teilen Geschrieben 5. September 2003 Hallo, war nun dort und hab mir das mal angesehen. Das "Doppelfenster" ist inzwischen weg - keiner weiß warum. Nun jetzt stellt sich gleich das nächste Problem: Alle Laufwerke sind für Jeden freigegeben. Änderungen an den Freigaben nützen nur bis zum nächsten Neustart, dann ist die Scheune wieder auf. Die Gruppenzugehörigkeiten und Gruppenrechte, sowie Benutzerrechte und Gruppenzuordnungen sind soweit in Ordnung. Der Dienst "Server Control Manager" kann beim Starten nicht geladen werden - keine Ahnung ob das schlimm ist. Und einige seltsame Dinge hab ich gefunden: In der Regedit stehen jede Menge HotFixes, sind das normale Updates ? (bis Service Pack 6 ist alles drauf) In der Regedit stehen weiterhin 3 ProfileList: ProfileImagePath "%SystemRoot%\Profiles\Heil" ProfileImagePath "%SystemRoot%\Profiles\admin" und ProfileImagePath "%SystemRoot%\Profiles\Administrator" Heil und admin habe ich gelöscht, auch deren Profile - ohne Wirkung. Auf C:\ steht eine test.txt mit folgenden Inhalten: Datum: Security Überwachung erfolgreich Benutzername: Administrator (später auch andere User) Domäne: ... Anmelde-ID ... Anmeldetyp: ... Anmeldeprozess: ... Echtheitsbestätigungspaket: ... Name der Station: ... Ist das ein Passwortabfangprotokoll oder was ist das ? Ferner ist eine Lansuite installiert, mit Cache, IO, und mboxes-Verzeichnissen, alles nicht lesbar mit riesengroßen .txt-Dateien darin. Im Verz. winnt fiel mir eine msdfmap.ini auf. Drin steht Connectname will modify Connection ADC.Connection="name" und sowas... Ich kann damit nichts anfagen, kann mir jemans unabhängig von den gefundenen Dingen (falls sie ganz normale Sachen sind) einen Tipp geben, wie ich die Laufwerksfreigaben wieder aktiveren kann, dass sie einem Neustart standhalten ? Hilft in diesem Fall eine Reparaturinstallation oder muss ich alles neu aufsetzen ? Ein Umstieg auf W2Ks ist jetzt geplant, aber das Geld fließt leider erst in ein paar Monaten... Bis dahin würde ich dem guten Herrn wenigstens den Eindruck eines sicheren Systems vermitteln wollen... :) Bin für jeden Tipp dankbar. Ansprechpartner PS: @Birger. User mit Adminrechten hatte die Kiste mal mehr als einen, hat nichts daran geändert, dass man sich ohne PW als Administrator anmelden konnte, nun das scheint auf seltsame Weise nicht mehr zu gehen. Ich vermute der Schüler (Hacki) hat versucht ein paar Dinge wieder in Ordnung zu bringen, weil man seinen Vertretungsdienst nicht unbezahlt lassen wollte. Auf die Idee mit dem Virenscanner bin ich noch gar nicht gekommen :) Mache ich nächste Woche, wenn ich mit Euren Lösungsvorschlägen wieder hinrenn ;) Zitieren Link zu diesem Kommentar
Birger 10 Geschrieben 5. September 2003 Melden Teilen Geschrieben 5. September 2003 Diese Test Datei könnte Tatsächlich auf eine Log Datei hindeuten, vermutlich aber vom Schüler selber angelegt. Denn ein Sniffer oder Logger wird die Log Datei sicher nicht standardmäßig Test nennen. Andererseits, welchen grund sollte der Schüler haben (wenn er doch schon Adminrechte hat, so hab ich jedenfals Dein Eingangs Post gedeutet) einen Sniffer oder Logger oder so laufen zu lassen. Es sei denn er will die Passw. anderer User haben. Wie wäre es einfach mal den lieben kleinen :D selber zu fragen? Es könnte ein wenig Arbeit sparen wenn mann weiß was er so laufen hatte. Aber mal ohne Sch... Ihr habt das System so ganz ohne Virenscan laufen, das ist aber gefährlich. :shock: Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. September 2003 Melden Teilen Geschrieben 6. September 2003 Hallo Ansprechpartner, Ich würd nochmal einen virenscanner drüberjagen und SP6a aufspielen. Wenn's dann nicht besser wird, neuinstallieren. Du suchst dir nen Wolf und das System ist offen wie sonstwas. Und das wichtigste: VOR der Neuinstallation ein kleines Administrations Konzept erstellen. z.b. Wer hat die Adminrechte? Wer entscheidet, wer Admin wird? Darf mit dem Account "Administrator" gearbeitet werden? Wie werden Veränderungen am System protokolliert? cu blub Zitieren Link zu diesem Kommentar
Ansprechpartner 10 Geschrieben 6. September 2003 Autor Melden Teilen Geschrieben 6. September 2003 @ Birger, jo, den kleinen Hacker einmal selbst ins Gewissen zu nehmen war auch eine meiner ersten Ideen. Die Traute so etwas anzustellen, kommt nicht von ungefähr, er wusste, dass der Lehrer ca. ein halbes Jahr krank ist (Sportverletzung Knie) und hatte noch 4 Monate Schule bis zum Abgang. Die kleine Ratte :( Jetzt leben wir mit seinen Spielchen und versuchen um eine völlige Neuinstallation umhin zu kommen. Die Datei test.txt war sicher auch nur ein "Test". Der Lehrer hat dem Schüler ohnehin vertrauensvoll das Administratorkennwort verraten, weil sonst niemand in der Schule neue Soft installieren kann/konnte. Ich glaube nicht, dass der Sniffer noch aktiv ist. Und ja, das System läuft ganz ohne Virenscan, vielleicht zu leichtsinnig, das werde ich ändern. @blub, das Administratorpasswort ist inzwischen geändert und es gibt auch nur noch diesen, der diese Rechte hat. Auch die übrige Rechtevergabe ist inzwischen wieder in Ordnung (nachdem zwei weitere, vom Schüler angelegte User, mit diesen Rechten wieder draussen sind) Ja, es darf mit Administrator gearbeitet werden, weil nur er das Recht hat auf dem (eingeschlossenen) Server Soft aufzuspielen. Fatal und aktuell ist die Freigabe aller Laufwerke mit Allen Rechten für JEDEN, nachdem der Server neu gestartet wurde. Änderungen daran nützen nichts, wenn die Kiste wieder hochgefahren wird, ist alles wieder offen. Das ist mein aktuelles Problem jetzt. Okay, wir lassen das Teil jetzt durchlaufen und versuchen einen Neustart zu verhindern, aber befriedigend ist das nicht. Servivepack 6a wird aufgespielt, wusste gar nicht, dass es etwas Neueres als 6 gibt. Ich fasse zusammen: Virenscanner installieren, Servicepack 6a drauf und zur Not völlige Neuinstallation ? :shock: Kann ich dafür AntiVir benutzen oder müssen wir etwas kaufen ? Dank Euch für die Hilfe bis herhin. Werde weiter berichten was es gebracht hat obige Ideen durchzuführen. Ansprechpartner Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.