2
Alle lokalen Anmeldevorgänge an einem Server 2003 protokollieren
Wir haben einen SBS Windows 2003 Server.
Ich habe festgestellt, dass sich ein Virus/Rootkit darauf eingenistet hat.
z.B. war plötzlich der Gast Account aktiviert und hatte volle Administrationsrechte.
Es gab noch mehrere Hinweise, die dafür sprechen, dass sich jemand von extern einloggt. (z.B. eigener Account mit dem Namen "Administretor")
Vorerst habe ich alle Passwörter abgeändert und die entsprechenden Accounts entweder gesperrt
oder gelöscht.
Nun ist die Frage, wie kann ich mit protokollieren, wann sich am Server jemand anmeldet? Also
von aussen her, nicht von innen über einen Client. Leider weiß ich nicht, über welchen Weg der
Angreifer gekommen ist. Es läuft ein VNC Client drauf, hier wurde das Passwort jedoch geändert,
hat aber nichts gebracht.
Geht das nur über die Überwachungsrichtlinie vom Windows Server? Der Protokolliert ja auch alle
Client An-/Abmeldungen, die ich ja gar nicht wissen möchte.
Wie mache ich das am besten? Mal davon abgesehen, dass ich den Server über kurz oder lang sowieso
neu aufsetzen werden muss.
Gruß
TiTux
Ich habe festgestellt, dass sich ein Virus/Rootkit darauf eingenistet hat.
z.B. war plötzlich der Gast Account aktiviert und hatte volle Administrationsrechte.
Es gab noch mehrere Hinweise, die dafür sprechen, dass sich jemand von extern einloggt. (z.B. eigener Account mit dem Namen "Administretor")
Vorerst habe ich alle Passwörter abgeändert und die entsprechenden Accounts entweder gesperrt
oder gelöscht.
Nun ist die Frage, wie kann ich mit protokollieren, wann sich am Server jemand anmeldet? Also
von aussen her, nicht von innen über einen Client. Leider weiß ich nicht, über welchen Weg der
Angreifer gekommen ist. Es läuft ein VNC Client drauf, hier wurde das Passwort jedoch geändert,
hat aber nichts gebracht.
Geht das nur über die Überwachungsrichtlinie vom Windows Server? Der Protokolliert ja auch alle
Client An-/Abmeldungen, die ich ja gar nicht wissen möchte.
Wie mache ich das am besten? Mal davon abgesehen, dass ich den Server über kurz oder lang sowieso
neu aufsetzen werden muss.
Gruß
TiTux
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 118650
Url: https://administrator.de/forum/alle-lokalen-anmeldevorgaenge-an-einem-server-2003-protokollieren-118650.html
Ausgedruckt am: 21.04.2025 um 11:04 Uhr
2 Kommentare
Neuester Kommentar
also wenn du so ein problem hast würde ich mich jetzt nicht mit sowas beschäftigen.
VNC passwort: sagen wir 5min ist es geknackt.
Adminpasswort: kommt drauf an
wenn du schon ein "virus" im system hast würde ich die kiste schnell platt machen. wenn der virus ein key logger dabei hat kannst du so oft das passwort ändern wie du willst er wird immer an das passwort kommen.
aber die anmeldungen überwachen: erstelle eine gruppe für die "server" server rein und diese gruppe die richtline aktivieren
VNC passwort: sagen wir 5min ist es geknackt.
Adminpasswort: kommt drauf an
wenn du schon ein "virus" im system hast würde ich die kiste schnell platt machen. wenn der virus ein key logger dabei hat kannst du so oft das passwort ändern wie du willst er wird immer an das passwort kommen.
aber die anmeldungen überwachen: erstelle eine gruppe für die "server" server rein und diese gruppe die richtline aktivieren
Hi !
Damit würde ich an deiner Stelle nicht all zu lange warten! Meist gibt die eine Malware der anderen die Klinke in die Hand. Schnellstens neu aufsetzen, auf Patches achten und eure Firewall überprüfen.
Wie ist euer Internetzugang realisiert? Hoffentlich hängt der Server nicht direkt am Internet, lieber eine "richtige" Firewall verwenden oder als absolutes Minimum einen NAT-Router dazwischen hängen und das Logfile (evt. das Log erweitern, falls möglich) des Routers oder der Firewall im Auge behalten.
mrtux
Zitat von @TiTux:
Wie mache ich das am besten? Mal davon abgesehen, dass ich den Server
über kurz oder lang sowieso
neu aufsetzen werden muss.
Wie mache ich das am besten? Mal davon abgesehen, dass ich den Server
über kurz oder lang sowieso
neu aufsetzen werden muss.
Damit würde ich an deiner Stelle nicht all zu lange warten! Meist gibt die eine Malware der anderen die Klinke in die Hand. Schnellstens neu aufsetzen, auf Patches achten und eure Firewall überprüfen.
Wie ist euer Internetzugang realisiert? Hoffentlich hängt der Server nicht direkt am Internet, lieber eine "richtige" Firewall verwenden oder als absolutes Minimum einen NAT-Router dazwischen hängen und das Logfile (evt. das Log erweitern, falls möglich) des Routers oder der Firewall im Auge behalten.
mrtux
