Jump to content
Sign in to follow this  
pumpkin

Windows EVT. Logfile

Recommended Posts

Ersteinmal möchte ich ein Hallo senden, da ich ziemlich neu hier bin. Ich hoffe das es nicht zu aufdriglich ist, aber wenn mir jemand bei meiner folgenden Frage behilflich sein könnte, wäre ich ihm sehr Dankbar.<p>Es geht um das Ereignisprotokoll bei Windows, ich habe den verdacht, das in der Firma wo ich Arbeite an den Logfiles manipuliert worden ist. Darauf habe ich mich hingesetzt, und geschaut wie so etwas machbar sein könnte, da ich selbst in der EDV beschäftigt bin. Ich habe mir die Ereignisanzeige vom System als System.evt gespeichert und mit UltraEdit (Hexeditor) geöffnet. Den PC Namen zu verändern geht, das habe ich gefunden aber wie ist es möglich, zeiten zu ändern bzw. den User der den Befehl ausgeführt haben soll?<p>Desweiteren tritt dann die Frage auf wo kann man die Ereignisanzeige DIREKT im System ändern, ohne Sie vorher aus dem System zu speichern, das es z.B für andere so aussieht als ob der Eintrag Original ist.<p>Wie gesagt, eine Hilfe von euch wäre echt Klasse, damit ich dem übel auf den Grund gehen kann.

 

mfg

pumpkin

Share this post


Link to post

Hallo,

 

ich glaube keiner wird dir hier Auskunft geben, wie man Eventlogs manipuliert, nicht weil es keiner weiß, sondern, weil es nicht möglich ist zu überprüfen, ob du nicht selber manipulieren willst.

 

Tut mir Leid.

 

 

Bienchen

Share this post


Link to post

normalerweise kommen nur admins an den ablageort der eventlogs im dateisystem. falls da wirklich jemand manipuliert haben sollte, kommen also nicht wirklich viele in frage.

da du ja noch nicht mal weißt, wo sich die eventlogs befinden, ist es viell. auch besser, du läßt die finger davon bzw. ein (richtiger) admin wird dir diese 'plattschlagen', wenn er dich erwischt.

sorry für den viell. etwas rüden ton.

 

gruß

Share this post


Link to post

Hallo @pumpkin,

 

zunächst willkommen - schließlich ist dies dein erster Beitrag. Inhaltlich gilt das von @bienchen Gesagte. Solche Auskünfte gibt es hier nicht. Und wenn jemand solche Auskünfte gibt, löschen die Mods den Beitrag und finden die Zustimmung von genügend Leuten, die Antworten schreiben.

 

Ich lese deine Frage von einer anderen Seite her: Du hast den Verdacht, daß bei Euch jemand manipuliert hat, fragst dich, ob dies technisch geht und wie entweder Du dies einem anderen - oder ein anderer Dir - nachweisen könnte.

 

Wahrscheinlich ist die ganze Angelegenheit ganz einfach: Computersysteme sind transparent. Hat ein Admin genügend Zeit und Geduld, wird er entweder einen solchen Manipulationsversuch aufdecken oder selbst 'hinreichend geschickt' manipulieren können. Es gibt nun mal Hex-Editoren, man kann auch eine Linux-CDRom reinschieben. All dies sind Tipps, die Du in Zeitschriften und hier in bezug auf Virenrettung u.ä. lesen kannst.

 

Deshalb: Rede mit den Leuten in deiner Firma darüber. Sprich das Thema bsp. in einer hinreichend großen Runde an, so daß nicht irgend jemand fälschlich verdächtigt wird. Manipuliert jemand tatsächlich, so wird es von da an für diesen kritisch. Und bei Datenbanksystemen werden über 60% der Angriffe von internen Mitarbeitern ausgeführt. Admins haben immer Schlüsselpositionen, eine solche Manipulation kann die ganze Firma bedrohen. Und daß Leiter vor solchen Dingen gerne die Augen verschließen, dies nicht wahrhaben wollen, weil ihre Auswahl der Mitarbeiter damit infrage gestellt wird, das ist auch ... leider nichts neues.

 

-------------

Gruß, Auer

Share this post


Link to post

Also mal Klartext, ich benötige die Lösung für eine evt. Gerichtsverhandlung, da bei uns in der Firma Logfiles editiert worden sind. Wir sind 11 Mitarbeiter in der EDV davon haben 6 das Administrationskennwort, was wir schon seid Monaten versuchen zu ändern, und jetzt ist es halt so, das alle 6 evt. Ihren Arbeitsplatz deswegen verlieren könnten, da Irgendjemand die Files wohl manipuliert hat.

 

An spielkind675:

Ereignisanzeige:

Speicherort : root:\windows\system32\config

AppEvent.Evt = Anwendung

SecEvent.Evt = Sicherheit

SysEvent.Evt = System

.............

so weiter, ich will gar nicht wissen wie es geht, da man nur so z.B WinZapper nehmen könnte um den Dienst zu Stoppen und aktiv zu editieren. Ich benötige weitere Informationen mit welchen Hilfsmitteln Logfile Manipulation stattfinden kann, um evt. den Täter zu ermitteln.

 

Es wäre also sehr nett, wenn mir jemand geeignete Wege darstellen kann, die ich gegenüber der Geschäftsführung darlegen kann. Ich würde selbst suchen, wie ich auch schon angefangen habe.

 

Gefundener Artikel:

A 26: Gibt es eine Software, die es einer Person erlaubt, einzelne Ereignisse aus dem Ereignisprotokoll zu löschen?

Es kommt darauf an, ob Sie:

(A) das aktive Ereignisprotokoll, welches vom System verwendet wird, oder

(B) Ereignisprotokolldateien, die bereits gespeichert wurden und vom System nicht mehr gesperrt sind

meinen.

(A) - Weil der Ereignisprotokolldienst die Logdateien mit exklusivem Zugriff öffnet, müssen Sie erst diesen Dienst sabotieren, wenn Sie selbst direkt in die Logdateien schreiben wollen. Im September 2000 verbreitete Arne Vidstrom ein Programm WinZapper, welches den Ereignisprotokolldienst dazu brachte, seine Arbeit einzustellen, ohne sich dabei aber zu beenden. Nachdem das vollbracht ist, gibt es keinen Unterschied mehr zu Fall (B). Sie müssen übrigens mit einem Administrator-Konto angemeldet sein, um WinZapper zu benutzen.

(B) - Das ist möglich. Man kopiert einfach das gesamte Protokoll in eine andere Datei und überspringt dabei die Sätze, die man löschen möchte. MER eignet sich dazu, falls Sie z.B. alle Einträge mit einer bestimmten Ereignis-ID entfernen wollen.

 

 

Aber dies reicht leider noch nicht aus, um erstmal alle wieder aus dem Schussfeld zu ziehen, die Geschäftsleitung möchte sehen wie so etwas gehen könnte, um dann mit mir weitere Maßnahmen zu erarbeiten.

 

 

Danke euch

pumpkin

 

ps. sollte der Artikel gegen den Forumsrichtlinien sein, bitte ich diesen zu editieren...

Share this post


Link to post

Hi!

 

Trotz allem Verständnis, glaube ich nicht, dass dieser Beitrag öffentlich beschrieben werden sollte!

 

Auch Hacker oder solche die es werden wollen, schauen auf die Boards, um dabei den einen oder anderen Tipp zu ziehen!

 

Günter

Share this post


Link to post

Wenn jemand die Logfiles manipuliert hat, dann nur jemand mit Adminpw - klar. Wer dies war, läßt sich dann jedoch, abgesehen von zeitlichen Einschränkungen (Urlaub) nicht mehr herausfinden - denn das EventLog ist die einzigste Stelle für solche Aufzeichnungen.

 

Das heißt: Der Geschäftsführung muß gesagt sein, daß sie den Betreffenden nicht über Informationen herausfinden kann, die auf den manipulierten PC's zu finden sind. Eher müßte man dann die sechs PC's der Mitarbeiter mit Adminzugang einkassieren und diese von einem Dritten durchsuchen lassen - nun ja, da endet mein Beitrag.

 

Frage an die GF: Das Problem existiert doch offenbar schon seit längerer Zeit, warum wurden die Adminpws nicht geändert? Sicherheitsrichtlinien in der Firma, schriftlich fixiert? Gibt es so etwas?

 

[Versteh mich nicht falsch: Ich will natürlich nicht, daß Du auf diese Fragen hier antwortest. Das sind Fragen an die GF]

 

--------------

Gruß, Auer

Share this post


Link to post

In wie fern ist das Eventlog manipuliert? Wenn die Zeit der Anmeldung nicht stimmt, oder so was ähnliches, dann glaube ich nicht, dass es kritisch für ein Unternehmen sein kann. Ansonsten wie gesagt, dass können nur admins, also kommen nur 6 Leute in Frage, man kann die Zugriffe auf die Dateien protokollieren und dann kann man raus finden, wer da rauf zugreift.

 

Ich glaube nämlich nicht, dass es wichtig ist, wie das gemacht wird, sondern wer und mit welcher Ziel.

Share this post


Link to post

@bienchen:

In wie fern ist das Eventlog manipuliert?

 

Einträge von Namen wurden geändert, so das z.B steht Herr X habe um X Uhr das Postfach der GF geöffnet... aber Person X hat zu dem Zeitpunkt gar nicht die möglichkeit gehabt da Sie im Urlaub war.

 

 

Es geht also um den Einsatz von Exchange, bei uns wird mit Outlook gearbeitet, und im Logfile steht drin, das zusätzlich Postfächer anderer Mitarbeiter geöffnet worden sind.

 

Deswegen wollen die jetzt die Gesamte EDV rausschmeißen, wenn ich denen nicht zeige bzw. erleutere das auch andere Personen sich zugriff auf die Logfiles verschaffen haben könnten.

 

Also 11 Mitarbeiter, davon 6 mit Adminpasswort.

Bleiben noch 6 Übrig.

 

Um jetzt evt. die 6 ink. den schuldigen zu retten, muss ich denen einen Weg zeigen, wie man die Logfiles verändern bzw. austauschen könnte... Wäre echt dankbar, da es hier nict um irgendwelche Kinderstreiche geht, sondern um 5 + 1 Täter, die Ihren Arbeitsplatz nicht verlieren möchten.

 

Ich erwarte ja keine wie Hack ich ein Logfile Anleitung sondern lediglich Tips bzw. Gegenmaßnahmen, wie man erklären kann,das so etwas nicht unbedingt von der Person gemacht worden sein muss.

 

Beipiel, Ich war angeblich zu einer Uhrzeit X lt. Logfile im Serveraum am Server, zum selben Zeitpunkt habe aber ich eine Schulung gegeben.

Das heißt es muss jemand das Logfile verändert haben! Aber wie?

 

Wenn wirklich niemand helfen möchte, kann ich das verstehen.

Aber ich würde mich dennoch sehr freuen, wenn sich jemand durchringen könnte etwas zu schreiben was mir weiter hilft, da es für mich ziemlich Wichtig ist.... Der Arbeitsmarkt ist halt heute nicht mehr so gut....

 

Ich denke auch das es hier nicht öffentlich stehen müsste, pn reicht deswegen völlig aus.

Share this post


Link to post

hallo,

 

die situation ist meiner meinung nach klar:

der übeltäter, wenn das so war, wird wohl nicht gefunden werden können. wenn jemand da was manipuliert hat (was durchaus ziemlich gerissen war), wird er wohl so intelligent gewesen sein, daß das niemand nachvollziehen kann...

das admin-pw sollte eigentlich niemanden bekannt sein, sondern doch irgendwo verschlossen liegen - jeder kriegt seinen pers. account und nicht anders. wenn die geschäftsführung das bislang ignoriert hat oder das nicht entsprechend kommuniziert worden ist, sollte vielmehr in diesem zusammenhang ein verfahren anlaufen...

 

gruß

Share this post


Link to post

Das ist ja jetzt im gange jedoch wie du richtig sehen wirst zu spät. Seit einem jahr versuch ich für jeden EDV Mitarbeiter einen eigenen Account durchzubringen, jedoch bislang ohne Erfolg.

Natürlich existiert von seiten der GF nichts schriftliches... Wir haben auch keine Datenschutzerklärung oder ähnliches.

Share this post


Link to post

nicht schriftliches... das kommt mir (leider) auch bekannt vor. :( jetzt will sich natürlich auch keiner den schuh anziehen - klar. sehr dumm gelaufen kann ich da nur noch sagen.

Share this post


Link to post

Die Geschäftsführung hat doch schon den Beweis, daß so etwas geht:

 

'aber Person X hat zu dem Zeitpunkt gar nicht die möglichkeit gehabt da Sie im Urlaub war.'

 

Wenn Person X vertrauenswürdig ist und ihr Passwort nicht weitergegeben hat, dann hat sich die Frage nach Beweisen auf der 'bloß technischen Ebene' längst erledigt - ob mit Tool X oder Tool Y, das ist irrelevant, da hast Du längst schon Literatur gefunden und damit demonstriert, wie rasch man an solche Dinge im WWW kommt.

 

Da fordert die GF weitere Beweise, um von der eigenen Verantwortung abzulenken und um keine Konsequenzen ziehen zu müssen.

 

Seit einem jahr versuch ich für jeden EDV Mitarbeiter einen eigenen Account durchzubringen, jedoch bislang ohne Erfolg.

 

Eigene Accounts sind so etwas wie das Minimum, vorher muß ich mir über Sicherheit keine Gedanken machen. Wenn es der GF ernst ist, dann ist das bis heute abend erledigt. Adminpw nur an wenige - auch das ist klar. Und wer war da innerhalb der GF bislang für die EDV verantwortlich und hat all diese Selbstverständlichkeiten nicht erledigt?

 

Dreh die Angelegenheit um: Die mitgeteilten Dinge sind Standard. Wer sperrt sich gegen solche Selbstverständlichkeiten? Wer behauptet, ohne Adminpw nicht arbeiten zu können?

 

--------------

Gruß, Auer

Share this post


Link to post

Das jeder ein eigenes PW bekommt, ist sinvoll, aber die GF findet es sei viel zu Arbeitsaufwändig.... (Haben halt keine Ahnung). Aber was die sagen ist nunmal das letzte Wort. Möchte mich in dieser Richtung auch nicht allzusehr aus dem Fenster lehnen. Da ich schon ein bissel rezpekt vor dieser habe. (Bei uns ist es so, das wenn die einmal gegen etwas sind, dann bleibt das auch so)

 

EDV = Stifkind der Firma.

 

Also wird das wohl oder übel vor Gericht enden, und wenn ich bisdahin nicht Mittel habe denen zu zeigen wie das funktioniert, wird das wohl mit Kündigungen enden.

 

(Die GF aktzeptiert nicht das der Mitarbeiter in Urlaub war, und sagt, es könnte auch jemand anderes das Passwort benutzthaben.) - Es sei den Ihr wird gezeigt, wie man am System manipulieren kann.

 

Also tut mir den Gefallen und helft mir, da ich ansonsten weiter im Netz rumschnüffeln muss, und die Zeit halt gegen mich läuft.

Share this post


Link to post

'Haben halt keine Ahnung' - dann mach es Ihnen klar - oder ist die GF IT-kompentent? Also ist es der Job der IT-ler, das der GF klarzumachen. Und der, der da ausschert, muß fachlich begründen, weshalb.

 

In Eurer Firma hat doch auch nicht jeder einen Generalschlüssel mitsamt Tresorzugang und Kontovollmacht, sondern jeder nur die Rechte, die er benötigt? Für Admin-Passwörter gilt dasselbe.

 

'Arbeitsaufwändig' ist das, was jetzt passiert - nun brennt's hinten und vorne.

 

es könnte auch jemand anderes das Passwort benutzthaben - deshalb benötigt ja jeder sein eigenes, solche Probleme löst man im Vorfeld oder man hat sie und kann sie gerade nicht mehr lösen.

 

Insgesamt hast Du zwei Möglichkeiten: Entweder Du bringst das Deiner GF bei - oder Du verkämpfst Dich gegen Windmühlenflügel, das ist Zeit - Verschwendung.

 

-------------

Gruß, Auer

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...