Systemzeit verändern

[Wolle05 10]

Habe ne Frage bzgl. der Systemzeit bei einem DC der mit W2003 läuft.

In welchem event.log kann ich sehen wer und wann die Systemzeit verändert wurde.

Kann ich auch an anderer Stelle nachvollziehen wann die Systemzeit verändert wurde?

Gruß

 

Wolle05

[thorgood 10]

Hallo Wolle05

 

Willkommen im Board :)

 

Zu sehen ist es im System Eventlog unter der Event ID 520 mit vielen Angaben zu User etc.

 

thorgood

[blub 115]

servus wolle,

vielleicht hilft dir das weiter

 

Configuring the Time Service to Log When the Time Is Changed

http://support.microsoft.com/default.aspx?scid=KB;EN-US;307937

 

cu

blub

[Wolle05 10]

Hallo Leute,

 

vielen Dank für Eure Hilfe. Diese löst aber nicht wirklich mein Problem, da das System Event.log gelöscht wurde.

Kann man noch an anderer Stelle nachweisen wann und vom wem die Logs gelöscht wurden?

Gruß

 

Wolle05

[Das Urmel 10]

Holla, Systemlog gelöscht :suspect:

 

Passiert eigentlich bisher nur, steckt ein Rootkit drin.

[Wolle05 10]

Hallo Urmel,

 

Was meinste mit steckt ein Rootkit drin?

Kannste mal etwas konkreter werden.

Gruß

 

Wolle05

[overlord 10]

wieso ist das eventlog gelöscht?

gibts noch andere admins die das dürfen oder gibts richtlinien,die das tun? (warum auch immer!)

falls NEIN könnte ein rootkit am werk sein, das seine spuren verwischen will.

läuft ein antivir?

[Das Urmel 10]

Hallo Leute,

 

vielen Dank für Eure Hilfe. Diese löst aber nicht wirklich mein Problem, da das System Event.log gelöscht wurde.

Kann man noch an anderer Stelle nachweisen wann und vom wem die Logs gelöscht wurden?

Gruß

 

Wolle05

Entweder waren es andere Admins, dann die Frage warum das? um genau zu vertuschen?

 

Oder es ist ein RPC-Angriff vorrausgegangen {wohl erfolgreich}

hat das Eventsystem gestoppt, logs gelöscht und werkelt nun im System das hochgradig kompromittiert ist.

Da du zu lange damit gewartet hast, ist es schwer bis unmöglich den Einbruch {wenns einer war} nachzuweisen.

Ein Rootkit {Google hätte dich in Sekunden informiert} ist eine Schadsoftware

die du mit Boardmitteln nicht entdecken wirst - oder doch wenn du weist wie die arbeitet :)

Viel Spass.

[Wolle05 10]

Danke Urmel und Overlord für die erklärung eines Rootkits.

 

Habe ehrlich gesagt noch nichts davon gehört.

Glaube aber das, dass löschen der Event-Logs nicht von einem Rootkit verursacht wurde, da ein Antivirus auf dem Server lief. Glaube eher, dass da der Firmenchef hier rumgewurschtelt hat. Der hat nämlich ein Admin-Zugang auf dem Server. Um das beweisen zu können wollte ich eben wissen wo man das noch feststellen kann, denn die Systemlogs hat der Kerl gelöscht.

Trotzdem vielen Dank.

Gruß

 

Wolle05

[overlord 10]

...wie wärs zukünftig mit lokaler Sicherheitsrichtlinie (oder Domänenebene) -> Zuweisen von Benutzerrechten -> Ändern der Systemzeit -> und den Cheffe mal sperren!? ;)

[Bluesmen 10]

Na, ob er da mal nicht böse wird ;o

 

Aber Spass beiseite. Warum braucht der Firmenchef Admin Rechte?!

 

Gruß

[overlord 10]

..und vor allem was hat der an der Systemzeit zu fuscheln????!!!!

[Wolle05 10]

Joo, ist klar. Genau der meinung bin ich auch.

Hätte da aber noch ne Frage. Kennt Ihr ein Tool mit dem man das gekrachsel im eventlog in Text umwandeln kann. Wäre schön wenn Ihr hier mir helfen könnt.

Gruß

 

Wolle05

[Das Urmel 10]

Wie meinen?

Ich gehe mal davon aus, du möchtest das was dir der Evt-Eintrag auf Klick anzeigt, als reinen Text dargestellt haben?

Nagut, können wir auch ne Quizzfrage draus machen - also - los gehts.

also ich - stimme erst später ab :D

[Wolle05 10]

Joo, Du hast hundert Punkte.

 

Meine eine *.evt Datei die ich zurückgesichert habe...lesbar machen. Da gibts doch bestimmt Tools dafür.

Gruß

 

Wolle05