Loki-123 10 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 Es spielt doch keine Rolle, welche Unternehmensdaten zum Klauen auf den Servern liegen und ob ein Hacker damit was anfangen kann oder nicht (Stichwort: BOTNETZ)! Da Deine GF aber, wie Du schreibst, die Sache nicht von professioneller Seite von extern untersuchen lassen will, würde ich mir auf jeden Fall schriftlich von der GF bestätigen lassen, dass Du auf die Gefahr hingewiesen hast! Link zu diesem Kommentar
sockel7 10 Geschrieben 27. Juli 2011 Autor Melden Teilen Geschrieben 27. Juli 2011 ok ok ich habe schon verstanden was ihr davon haltet und von dem was ich kann. Aber leider sind wir hier ja vom eigentlilchen Thema abgeschweift. vileicht noch ein letzter Versuch. Wie kann ich als nicht Forensiker erkennen ob ein Fremder zugang hatte oder nicht. Was sagt mir die Ereignissanzeige vom SBS2003 S2008R2 oder S2003 An/Abmeldung usw. Kann ich sehen ob sich jemand über Externe IP angemeldet hat. wie würde das aussehen ? An/Abmeldung user XY über IP XY (externe) ? Link zu diesem Kommentar
NorbertFe 1.834 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 Wie kann ich als nicht Forensiker erkennen ob ein Fremder zugang hatte oder nicht. Im Zweifel gar nicht. Was ist daran so schwer zu verstehen? Was sagt mir die Ereignissanzeige vom SBS2003 S2008R2 oder S2003An/Abmeldung usw. Kann ich sehen ob sich jemand über Externe IP angemeldet hat. Ja, wenn es entsprechend konfiguriert sein sollte. wie würde das aussehen ?An/Abmeldung user XY über IP XY (externe) ? Schau halt rein. Bye Norbert Link zu diesem Kommentar
sockel7 10 Geschrieben 27. Juli 2011 Autor Melden Teilen Geschrieben 27. Juli 2011 jau alles klar danke. Link zu diesem Kommentar
MrCocktail 191 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 Hi, wie ich vorgehen würde, habe ich oben geschrieben, und ja, ich kann mich wie viele hier unbemerkt in Systemen bewegen. Ja ich kann im Zweifel in ein Netz einbrechen, nur was bringt es dir, wenn du nicht weist ob oder ob nicht. Lass dir bestätigen, dass es der GF egal ist, auf Briefpapier von allen relevanten (evtl. auch Eigentümern) Personen, dass du sie informiert hast. Alles andere ist doch für ein Forum nicht mehr tragbar, IMHO bitte schliessen. Link zu diesem Kommentar
lefg 276 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 (bearbeitet) Off-Topic:....Lass dir bestätigen, dass es der GF egal ist, auf Briefpapier von allen relevanten (evtl. auch Eigentümern) Personen, dass du sie informiert hast....... Der TO ist nicht in der Position, gegenüber der GL eine solche Forderung zu stellen. Käme ein Angestellter mit solch einem Ansinnen zu mir, ich überprüfte kritisch, ob dieser für die Arbeit qualifiziert sei in der IT unseres Unternehmens, ob er in der Hausmeisterei nicht besser aufgehoben. bearbeitet 27. Juli 2011 von lefg Link zu diesem Kommentar
lefg 276 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 ...Was sagt mir die Ereignissanzeige vom SBS2003 S2008R2 oder S2003....... Es ist überhaupt kein Verlass darauf, das eine Backdoor eine herkömmliche Session auf dem Rechner erzeugt oder einen Eintrag hinterlässt. Auch muss eine Backdoor nicht unbedingt auf dem Server sein, wie wäre es denn auf den Clients? Es ist doch wohl überhaupt gesichert, das es überhaupt eine Backdoor, eine Korruption gibt. Ich gab die Anregung zum Verwenden einer KasperskyBootCD, wurde die aufgegriffen, wie ist das Ergebnis? Link zu diesem Kommentar
MrCocktail 191 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 Der TO ist nicht in der Position, gegenüber der GL eine solche Forderung zu stellen. Tja, ich kann nur empfehlen, es zu versuchen, zumindest den Nachweis zu haben, mehr wie einmal informiert zu haben. Und wenn eine GmbH nicht inhabergeführt ist, würde ich diesen informieren.... Link zu diesem Kommentar
lefg 276 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 Off-Topic:....Und wenn eine GmbH nicht inhabergeführt ist, würde ich diesen informieren.... Und was wolltest Du dem Eigentümer mitteilen? Das Du etwas glaubtst aber keine harten Indizien hast? Er wird eventuell fragen, was Du unternommen, auf den Dreh kommen, das Du keine Ahnung dafür aber Panik hast, ungeeignet bist, den GF informieren; das könnte es dann gewesen sein. Link zu diesem Kommentar
sockel7 10 Geschrieben 27. Juli 2011 Autor Melden Teilen Geschrieben 27. Juli 2011 was bedeutet "TO" ? Würdet Ihr mir auch zu einer kompletten neuinstallation aller Systeme und Cleints raten ? Nützt das denn was ? Wenn ich mir nun was von der GF geben lassen wolle und die würden dann sagen, OK unternimm was gegen dieses Problem. Was sollte ich dann machen ? Nützt mir sowas wie IPCOP Firewall mit IDS was ? Gibt es überhaubt einen nützlichen schutz gegen Hacker/Freaks ? VPN nützt aber auch nix wenn er meine Passwörter abgreifen kann wa ? Erkennt die Kasperski CD solche Programme Key Logger und dergleichen ? Im Moment habe ich auf allen Rechnern Avira Professional laufen. Das schlägt aber nicht an. Würdet Ihr mal schreiben welche konfigurationen Hard und Software ihr so habt. Das währe mal toll. Danke Link zu diesem Kommentar
lefg 276 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 was bedeutet "TO" ?.... Threadowner, das bist Du in diesem Fall. Geh doch mal auf den Inetsite von Kaspersky! Ob Avira alles findet, sind da möglicherweise Ausnahmen konfiguriert oder selbst korrumpiert? Eine wesentliche Vorgehensweise bei der Suche nach Schädlingen, es muss von einem sauberen, sicheren, nicht infizierten System geschehen, das bringt das Kasperky ISO-Image mit, von Avira sollte es sowas auch geben. Und welche Firewall wird derzeit verwendet? Bist Du mit der Konfiguration vertraut? Link zu diesem Kommentar
NorbertFe 1.834 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 Off-Topic:Du verstehst nicht, was man dir hier die ganze Zeit versucht zu sagen. Für mich ist Ende der Diskussion.Viel Erfolg nochNorbert Link zu diesem Kommentar
sockel7 10 Geschrieben 27. Juli 2011 Autor Melden Teilen Geschrieben 27. Juli 2011 Natürlich verstehe ich was ihr mir sagen wollt. Sicher dich ab bei der Geschäftsleitung und gut ist. Evtl. noch einen Forensiker kommen lassen und einen IT Experten. Die das System analysieren. jajaja das habe ich schon verstanden. die GFs sind informiert. Für die ist alles Easy. No Problem. Damit könnte es ja für mich erledigt sein. Aber so will ich es nicht. Ich will schon wissen wer sich an meinen System zu schaffen macht und was er tut. Aber anscheinend können verschiende nur auf Anfängern rumhacken. Oder bekommen einen Anfall wie eine Firma so einen Noob wie mich auf ein Netzwerk loslassen kann. Aber hat nicht jeder eine Chance verdient ? Ich versuche mein bestes um das System so sicher wie möglich zu halten. Naja wie auch immer ich denke auch das wir uns hier im Kreis drehen. Wenn mir keiner mehr was nützliches sagen kann, wird der TO diesen Thread schließen. Link zu diesem Kommentar
lefg 276 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 Werter Sockel7, ich gebe schon die ganze Zeit Anregungen, erhalte darauf aber keine Rückmeldungen. Liest Du die nicht oder ..... ? Off-Topic:Übrigens, nicht der TO(Du in diesem fall) schliesst den Thread, das täte ein Moderator, Administrator oder der Betreiber. Threads an diesem Board nur in besonderen Fällen geschlossen. Link zu diesem Kommentar
MrCocktail 191 Geschrieben 27. Juli 2011 Melden Teilen Geschrieben 27. Juli 2011 Es geht nicht darum, dass man dir nicht helfen will, aber das Risiko ist zu gross. Ein paar Tipps stehen schon hier, aber wenn ich mir wirklich unsicher bin, ob ein Netz angegriffen wurde, dann schalte ich alle Zugänge von aussen ab und kontrolliere notfalls jeden Client. Wir haben bei einem Kunden einmal 7500 Workstations plus Server runtergefahren, und wie wir festgestellt hatten, die Rechner sind infiziert, alles neu aufgesetzt, Daten aus den Backups geholt usw.... Hat einen mittleren 7stelligen Betrag gekostet, man muss halt wissen wo man seine Prioritäten setzt. Link zu diesem Kommentar
Empfohlene Beiträge