Einbruchserkennung

[sockel7 10]

Hallo alle zusammen.

 

Kann mir jemand erklären, wie ich erkennen kann, ob sich jemand an meinen Servern zu schaffen gemacht hat oder nicht.

 

Nur mal als Beispiel.

 

Der jenige welche kann nur von außen reinkommen, weil er nicht mehr hier im Betrieb arbeitet. Hat er aber vorher lange Zeit. Also währe es möglich, das es sich eine Backdoor eingerichtet hat. Komischer weise haben sich änderungen an der Config meines DNS Servers gezeigt. Aber ich kann nicht erkennen ob das jemand gemacht hat oder ob ich es versehentlich verstellt habe.

 

Meine Frage nun, kann ich irgendwo erkennen zb. Ereignissanzeige ob und von wo aus sich jemand an meinen Servern zu schaffen gemacht hat.

 

MfG

 

und danke schonmal.

[MrCocktail 191]

Wie kannst du dir nicht sicher sein, dass er nicht mehr auf die Systeme zugreift?

[Dukel 436]

Hallo alle zusammen.

 

Kann mir jemand erklären, wie ich erkennen kann, ob sich jemand an meinen Servern zu schaffen gemacht hat oder nicht.

 

Mit einen Intrusion Detection System. Das geht aber nicht im Nachhinein.

Oder mit Forensischen Mitteln, das geht dafür im Nachhinein.

 

Meine Frage nun, kann ich irgendwo erkennen zb. Ereignissanzeige ob und von wo aus sich jemand an meinen Servern zu schaffen gemacht hat.

 

MfG

 

und danke schonmal.

 

Ohne dir nahe treten zu wollen, um solchen Zugriff, vor allem wenn der User wohl schon mal zugriff hatte, herauszufinden gehört schon einiges an Wissen dazu. Eine Rechtsberatung und IT Fachpersonen wären da angebrachter.

[lefg 276]

....Komischer weise haben sich änderungen an der Config meines DNS Servers gezeigt. Aber ich kann nicht erkennen ob das jemand gemacht hat oder ob ich es versehentlich verstellt habe.....

 

Hallo,

 

glaubst Du, ein Intruder verhielte sich so ungeschickt?

[sockel7 10]

Hallo,

 

Also nur zur Erklärung. Ich vermute mal, das er evtl. seinen Job wieder haben will.

Wenn er nun daführ sorgt, das die System nich einwandfrei funktionieren, so das alle User immer was zu meckern haben, währe es ja denkbar, Das ich auf diesem Wege abgeschossen werde und er seinen alten job wiederbekommt. Das ist der Hintergrund bei der Sache.

 

Interessante Daten gibts bei uns im Betrieb eh nicht zu holen.

 

ist die Ereignissanzeige das einzigste wo protokolliert wird wer wann was gemacht hat ?

 

Ich sag mal so, ich traue Ihm zu, das er zu seiner Zeit einen Keylogger oder ähnliches installiert hat. So bekommt er ja immer was er braucht. Aber ich kann doch nicht alle Server und Cleints neu installieren.

 

Deswegen bin ich etwas unsicher. Und wollte wissen ob ich das irgendwie protokollieren kann.

[lefg 276]

Falls tatsächlich ein Geschickter manipuliert haben sollte, dann der forensische Laie verloren.

 

Mein (unqualifizierter) Gedanke eben, nehme eine KasperskyBootCD und schaue mal!

 

Wie ist es mit Windows Defender?

 

Aber, kann man einem verdächtigen oder korrumpierten System noch trauen?

 

Allerdings, man sollte seinen Verdacht selbstkritisch prüfen!

[sockel7 10]

Hallo,

 

Ich frage mal was anderes.

 

Welche möglichkeiten gibt es denn um unbemerkt ein System zu unterwandern.

Wobei das hier keine Anleitung werden soll, wie man sowas durchführt.

 

Ich habe auf einer HDD diese Programme gefunden.

 

Mini Key Log

PC Agent

 

Was gibt es noch und wie kann ich es erkennen.

Diese Sachen kann man ja im Taskmanager ausblenden wie ich bemerkt habe.

[Loki-123 10]

Hi,

 

Also, wenn die von Dir genannten Programme wirklich zum unbemerkten loggen von User-Aktionen dienen, würde ich dies auf jeden Fall der Geschäftsleitung melden! Hast Du das schon getan? Wenn nicht, hol das schleunigst nach.

[MrCocktail 191]

Ab zu deiner GF und mit dieser Strafanzeige stellen.

Egal wie, die Tools haben nichts auf einem normalen Rechner zu suchen. Habt ihr einen BR? Dann auch diesen informieren.

[sockel7 10]

selbstverständlich habe ich das schon getan. Allerdings habe ich nicht nachgewiesen, das diese Programm laufen. Sonder nur, das mein Vorgännger diese geladen hat. Ob er sie nun installiert hat oder hatte, kann ich nicht sagen. Es könnte ja auch sein, das er eines der Programme auf den Notebooks der GFs installiert hat. Was weis ich, ich kann es nicht nachvollziehen.

Aber wenn ich jatzt anfangen würde panik zu schieben, müsste ich ja aaaallleeesss komplett neu installieren. Sammt einer neuen Festen IP vom Provider. Ach du Schei... das würde was werden. Wenn ich nun noch weiterspinnen würde könnte es ja auch sein, das er selbst schon in diesem Forum und diesem Thema mitschreibt. :) weil er schon längst alles abgegriffen hat bei mir am Rechner. oje oje oje....

 

wie würdet Ihr denn an meiner Stelle handeln ?

[NorbertFe 1.835]

Was hat denn die IP des Providers mit "Einbruch" zu tun? Ziehst du auch um, weil dir jemand ins Fenster gestiegen ist?

 

Bye

Norbert

[Dukel 436]

[...]

wie würdet Ihr denn an meiner Stelle handeln ?

 

Habe ich oben schon geschrieben:

Rechtsberatung und IT Dienstleister mit Forensischen Hintergrund beauftragen.

 

Ich klinke mich aber hiermit auf dem Thread aus.

[lefg 276]

....wie würdet Ihr denn an meiner Stelle handeln ?

 

Da Du überfordert bist, ist es an der GL, zu sorgen für eine qualifizierte Untersuchung, Abhilfe.

[sockel7 10]

Also !

Ich gebe zu, ich bin überfordert mit dieser Problematik. Aber meine GFs wollen weder anderes Personal noch wollen Sie eine weitere untersuchung dieser Sache. Weil !! es kostet ja Geld. Und es gibt bei uns nix zu holen auf den Servern. Weder Kundendaten noch E-Mailadressen noch sonst irgendwas. deswegen halten sie solch ein Vorgehen für übetrieben. Mir geht es ja nur darum zu wissen, kann er oder kann er nicht zugreifen auf meine Sachen.

Dann will ICH ja nur wissen wie er es gemacht hat.

 

Auf meinen Server läuft ja nur DNS AD DC DHCP Print WSUS File -> Server und sonst nix. da ist ja nichts womit ein normaler Hacker was anfangen könnte. Außer wenn er Daten verteilen will über unsere Rechner. Oder mich ärgern will.

Deswegen wird seitens der GF nichts weiter unternommen.

[NorbertFe 1.835]

Ich gebe zu, ich bin überfordert mit dieser Problematik. Aber meine GFs wollen weder anderes Personal noch wollen Sie eine weitere untersuchung dieser Sache. Weil !! es kostet ja Geld.

 

Dann brauchen wir hier ja nicht weiter zu diskutieren. Hak's ab.

 

Und es gibt bei uns nix zu holen auf den Servern. Weder Kundendaten noch E-Mailadressen noch sonst irgendwas. deswegen halten sie solch ein Vorgehen für übetrieben. Mir geht es ja nur darum zu wissen, kann er oder kann er nicht zugreifen auf meine Sachen.

Dann will ICH ja nur wissen wie er es gemacht hat.

 

Du weißt ja nicht mal, ob er was gemacht hat, also ...

 

 

Auf meinen Server läuft ja nur DNS AD DC DHCP Print WSUS File -> Server und sonst nix. da ist ja nichts womit ein normaler Hacker was anfangen könnte. Außer wenn er Daten verteilen will über unsere Rechner. Oder mich ärgern will.

Deswegen wird seitens der GF nichts weiter unternommen.

 

Na dann ist doch alles klar.

 

bye

Norbert