hukahu23489
Goto Top

Backup Job im Netzwerk finden

Hallo IT Speziallisten,

ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ? Ein ehemaliger Mitarbeiter aus der IT hat auf einen unbekannten Server oder vielleicht Client, einen Personal Backup Job angelegt, der ein mal im Monat ausgeführt wird. Dieser Job löscht einige hunderte cnc Programme aus dem Verzeichnis. Es war möglich die Programme aus den Schattenkopien wiederherzustellen ! Alle unsere Backup Jobs sind dokumentiert, außer dieser. Wir haben alle Server mit alles Benutzerprofile überprüft, leider ohne erfolg.

Vielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke

Content-ID: 388248

Url: https://administrator.de/forum/backup-job-im-netzwerk-finden-388248.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

nepixl
nepixl 02.10.2018 aktualisiert um 08:48:35 Uhr
Goto Top
Hi,

schaue doch auf dem initiierenden Rechner, da sollte ja iwo der Link hinterlegt sein, welchen Job er abzuarbeiten hat.
Gruß

Edita: Je nach dem wie euer Netzwerk aufgebaut ist, kann man mit
*.DATEIENDUNG
nach einer bestimmten Dateiendung absuchen lassen. In deinem Fall. *.buj im Explorer im Suchfeld mal eingeben. Ggf. hast Du Glück.
hukahu23489
hukahu23489 02.10.2018 um 09:01:04 Uhr
Goto Top
HI,

der initiierender Rechner ist unbekannt. Die Daten die gelöscht werden liegen auf unserem Fileserver. Auf den Fileserver selbst, konnte weder in der Ereignisanzeige noch in der Aufgabenplanung etc. etwas herausgefunden werden.
eisbein
eisbein 02.10.2018 um 09:08:47 Uhr
Goto Top
Hallo,

Mal ein ganz anderer Ansatz:
Der Zeitpunkt, wann dieser Job aktiv wird ist bekannt?

Wenn du Rechte des betreffenden Ordners am Fileserver total verweigerst bzw. diesen umbenennst, taucht evtl. beim ausführenden Rechner eine Fehlermeldung auf.

Gruß
eisbein
UnbekannterNR1
UnbekannterNR1 02.10.2018 um 09:10:11 Uhr
Goto Top
Im Sicherheitsprotokoll vom Server müsste zum Startzeitpunkt die Anmeldung stehen inkl. Rechnernamen. Ich weiß ist lang aber nützt ja nichts. Ggf dann mit filtern arbeiten.
Alternativ "Datei Protokollierung" auf dem Server aktivieren damit sollte sich das Recht schnell finden lassen. Achtung hier beim Datenschutz.

PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
sabines
sabines 02.10.2018 um 09:10:26 Uhr
Goto Top
Moin,

mach doch eine Startup GPO und durchsuche alle lokalen Laufwerke und lass das Ergebnis in eine Textdatei_Computername auf dem Server laufen.

Was macht Dich so sicher, dass es ein Backupjob ist mit genau dieser Endung und nicht ein Task der eine CMD o.ä. aufruft?

Gruss
sabines
sabines 02.10.2018 um 09:11:27 Uhr
Goto Top
Zitat von @UnbekannterNR1:

PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.

Nicht wenn das unter einem anderen (System)-Account läuft.
erikro
erikro 02.10.2018 aktualisiert um 09:15:10 Uhr
Goto Top
Moin,

alle infragekommenden Freigaben auf einen LW-Buchstaben mappen und dann:

Get-PSDrive | % {$drive=$_.name + ":\" ;cd $drive ;get-childitem  *.buj -recurse -ErrorAction SilentlyContinue}  

Dann bekommst Du alle Dateien auf allen Laufwerken angezeigt. Zusätzlich auch noch die Registry-Keys aus HKCU und HKLM, in denen die Endung auftaucht.

<edit>Das -ErrorAction Silently Continue dient zur Unterdrückung der Fehlermeldungen bei Verzeichnissen, auf die der User keinen Zugriff hat.</edit>

hth

Erik
certifiedit.net
certifiedit.net 02.10.2018 um 09:16:41 Uhr
Goto Top
Zitat von @sabines:

Zitat von @UnbekannterNR1:

PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.

Nicht wenn das unter einem anderen (System)-Account läuft.

und insbesondere dann sollte das Gesamtkonzept geprüft werden.
Vision2015
Vision2015 02.10.2018 aktualisiert um 09:22:29 Uhr
Goto Top
Moin..
Zitat von @hukahu23489:

Hallo IT Speziallisten,

ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ?
ja klar...
Ein ehemaliger Mitarbeiter aus der IT hat auf einen unbekannten Server oder vielleicht Client, einen Personal Backup Job angelegt, der ein mal im Monat ausgeführt wird.
kannst du den ex mitarbeiter nicht mal fragen?
was macht dich so sicher das es ein Personal Backup Job ist? könnte ja auch ein script sein!
Dieser Job löscht einige hunderte cnc Programme aus dem Verzeichnis. Es war möglich die Programme aus den Schattenkopien wiederherzustellen !
gut, aber diese datein sind doch wohl auch in der datensicherung oder?
an deiner stelle würde ich als erstes das CNC verzeichnis umbenennen, und die freigaben dazu neu erstellen!
Alle unsere Backup Jobs sind dokumentiert, außer dieser. Wir haben alle Server mit alles Benutzerprofile überprüft, leider ohne erfolg.

Vielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
Gruß Frank
Frank
Spirit-of-Eli
Spirit-of-Eli 02.10.2018 um 09:26:59 Uhr
Goto Top
Moin,

mich wunder das hier niemand die Installation des Ressourcen Managers auf dem Fileserver vorschlägt.
Dort einen Überwachungsjob auf die entsprechende Dateiendung anlegen und schauen woher es kommt.

So sollte im übrigen auch mit Crypto-Trojaner verfahren werden da dieses sich sonst gerne selbst löschen oder verstecken.

Gruß
Spirit
hukahu23489
hukahu23489 02.10.2018 um 09:31:27 Uhr
Goto Top
Hi,

klar, es könnte auch ein bat script oder eine .cmd sein. Der Ex-Mitarbeiter kann sich leider an nichts erinnern. Ja die CNC-programme sind in der Datensicherung. Das CNC-Verzeichnis kann ich unmöglich unbenennen. Viele Maschinen in der Produktion zeigen auf diesem Pfad, es wäre ein desaster alles neu einrichten zu müssen.

Ich werde wohl ein script erstellen, dass nach .buj .bat .cmd sucht und eine Checkliste mit allen Server und Clients machen, die diesen einen Job ausgeführt haben könnten. Fakt ist dass, der Job immer um 1:00 nach Mitternacht ausgeführt wird ( einmal im Monat ).
Spirit-of-Eli
Spirit-of-Eli 02.10.2018 um 09:34:45 Uhr
Goto Top
Zitat von @hukahu23489:

Hi,

klar, es könnte auch ein bat script oder eine .cmd sein. Der Ex-Mitarbeiter kann sich leider an nichts erinnern. Ja die CNC-programme sind in der Datensicherung. Das CNC-Verzeichnis kann ich unmöglich unbenennen. Viele Maschinen in der Produktion zeigen auf diesem Pfad, es wäre ein desaster alles neu einrichten zu müssen.

Ich werde wohl ein script erstellen, dass nach .buj .bat .cmd sucht und eine Checkliste mit allen Server und Clients machen, die diesen einen Job ausgeführt haben könnten. Fakt ist dass, der Job immer um 1:00 nach Mitternacht ausgeführt wird ( einmal im Monat ).

Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.

Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
sabines
sabines 02.10.2018 um 10:19:22 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.

Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...

Wie willst Du damit lokale Dateien suchen und damit die vermutliche Ursache des Problems beheben?
Spirit-of-Eli
Spirit-of-Eli 02.10.2018 um 10:32:34 Uhr
Goto Top
Zitat von @sabines:

Zitat von @Spirit-of-Eli:

Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.

Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...

Wie willst Du damit lokale Dateien suchen und damit die vermutliche Ursache des Problems beheben?

Zugriffe monitoren und ggf. blocken. Dann steht fest woher und mit welchem User die Aktion ausgeführt wurde.
sabines
sabines 02.10.2018 um 11:00:01 Uhr
Goto Top
Das macht man üblicherweise nicht mit dem FSRM.
nEmEsIs
nEmEsIs 02.10.2018 um 14:10:10 Uhr
Goto Top
Hi

Und ne CNC Maschine ist es nicht zufälligerweise die einmal im Monat was auch immer tut zb neustarten und deine Daten löscht ?
Oder meinst du mit Maschine ein Computer System?

Welche Systeme laufen den nachts um 1 Uhr ???
Büro Arbeitsplätze sind es hoffentlich nicht.

Mit freundlichen Grüßen Nemesis
hukahu23489
hukahu23489 02.10.2018 um 15:32:23 Uhr
Goto Top
Hi,

nein, wir haben eine Fertigungsstraße mit mehreren Maschinen-Computer, die auf den Fileserver lesend zugreifen.
Pjordorf
Pjordorf 02.10.2018 um 20:06:55 Uhr
Goto Top
Hallo,

Zitat von @hukahu23489:
nein, wir haben eine Fertigungsstraße mit mehreren Maschinen-Computer, die auf den Fileserver lesend zugreifen.
Schau doch mal beim Hersteller ob der dir helfen kann um zu ermiiteln wo und von welchem PC aus es gemacht wird. Das Programm kann installiert sein, muss es aber nicht. Es kann gescriptet sein, muss es aber nicht. http://personal-backup.rathlev-home.de/index-e.html dort steht das es auch vom USB Stick gestartet werden kann... Hast du den ausführende PC gefunden sollte sich der rest leichter nachvollziehen lassen, vor allem wenn es nur einmal im Monat laufen tut. Und ja, manche ehemaligen haben tatsächlich (auch unter Androhung von Gewalt) alles vergessenface-sad Vielleicht ist ja noch etwas im Ereignisprotokoll..

Gruß,
Peter
hukahu23489
hukahu23489 29.10.2018 um 12:33:19 Uhr
Goto Top
Guten Tag,

ich wollte nur mal berichten, dass ich nun das Problem lösen konnte. Über die Ereignisanzeige des Fileservers habe ich den Zeitraum eingegrenzt und einen verdächtigen Task ausfindig gemacht. Der Task führt zum 1. eines jeden Monats ein Powershell script aus, dass lokal auf den Fileserver abgelegt war.

MFG