Backup Job im Netzwerk finden
Hallo IT Speziallisten,
ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ? Ein ehemaliger Mitarbeiter aus der IT hat auf einen unbekannten Server oder vielleicht Client, einen Personal Backup Job angelegt, der ein mal im Monat ausgeführt wird. Dieser Job löscht einige hunderte cnc Programme aus dem Verzeichnis. Es war möglich die Programme aus den Schattenkopien wiederherzustellen ! Alle unsere Backup Jobs sind dokumentiert, außer dieser. Wir haben alle Server mit alles Benutzerprofile überprüft, leider ohne erfolg.
Vielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ? Ein ehemaliger Mitarbeiter aus der IT hat auf einen unbekannten Server oder vielleicht Client, einen Personal Backup Job angelegt, der ein mal im Monat ausgeführt wird. Dieser Job löscht einige hunderte cnc Programme aus dem Verzeichnis. Es war möglich die Programme aus den Schattenkopien wiederherzustellen ! Alle unsere Backup Jobs sind dokumentiert, außer dieser. Wir haben alle Server mit alles Benutzerprofile überprüft, leider ohne erfolg.
Vielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 388248
Url: https://administrator.de/forum/backup-job-im-netzwerk-finden-388248.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
19 Kommentare
Neuester Kommentar
Hi,
schaue doch auf dem initiierenden Rechner, da sollte ja iwo der Link hinterlegt sein, welchen Job er abzuarbeiten hat.
Gruß
Edita: Je nach dem wie euer Netzwerk aufgebaut ist, kann man mit nach einer bestimmten Dateiendung absuchen lassen. In deinem Fall. *.buj im Explorer im Suchfeld mal eingeben. Ggf. hast Du Glück.
schaue doch auf dem initiierenden Rechner, da sollte ja iwo der Link hinterlegt sein, welchen Job er abzuarbeiten hat.
Gruß
Edita: Je nach dem wie euer Netzwerk aufgebaut ist, kann man mit
*.DATEIENDUNG
Im Sicherheitsprotokoll vom Server müsste zum Startzeitpunkt die Anmeldung stehen inkl. Rechnernamen. Ich weiß ist lang aber nützt ja nichts. Ggf dann mit filtern arbeiten.
Alternativ "Datei Protokollierung" auf dem Server aktivieren damit sollte sich das Recht schnell finden lassen. Achtung hier beim Datenschutz.
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
Alternativ "Datei Protokollierung" auf dem Server aktivieren damit sollte sich das Recht schnell finden lassen. Achtung hier beim Datenschutz.
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
Zitat von @UnbekannterNR1:
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
Nicht wenn das unter einem anderen (System)-Account läuft.
Moin,
alle infragekommenden Freigaben auf einen LW-Buchstaben mappen und dann:
Dann bekommst Du alle Dateien auf allen Laufwerken angezeigt. Zusätzlich auch noch die Registry-Keys aus HKCU und HKLM, in denen die Endung auftaucht.
<edit>Das -ErrorAction Silently Continue dient zur Unterdrückung der Fehlermeldungen bei Verzeichnissen, auf die der User keinen Zugriff hat.</edit>
hth
Erik
alle infragekommenden Freigaben auf einen LW-Buchstaben mappen und dann:
Get-PSDrive | % {$drive=$_.name + ":\" ;cd $drive ;get-childitem *.buj -recurse -ErrorAction SilentlyContinue}
Dann bekommst Du alle Dateien auf allen Laufwerken angezeigt. Zusätzlich auch noch die Registry-Keys aus HKCU und HKLM, in denen die Endung auftaucht.
<edit>Das -ErrorAction Silently Continue dient zur Unterdrückung der Fehlermeldungen bei Verzeichnissen, auf die der User keinen Zugriff hat.</edit>
hth
Erik
Zitat von @sabines:
Nicht wenn das unter einem anderen (System)-Account läuft.
Zitat von @UnbekannterNR1:
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
Nicht wenn das unter einem anderen (System)-Account läuft.
und insbesondere dann sollte das Gesamtkonzept geprüft werden.
Moin..
was macht dich so sicher das es ein Personal Backup Job ist? könnte ja auch ein script sein!
an deiner stelle würde ich als erstes das CNC verzeichnis umbenennen, und die freigaben dazu neu erstellen!
Frank
Zitat von @hukahu23489:
Hallo IT Speziallisten,
ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ?
ja klar...Hallo IT Speziallisten,
ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ?
Ein ehemaliger Mitarbeiter aus der IT hat auf einen unbekannten Server oder vielleicht Client, einen Personal Backup Job angelegt, der ein mal im Monat ausgeführt wird.
kannst du den ex mitarbeiter nicht mal fragen?was macht dich so sicher das es ein Personal Backup Job ist? könnte ja auch ein script sein!
Dieser Job löscht einige hunderte cnc Programme aus dem Verzeichnis. Es war möglich die Programme aus den Schattenkopien wiederherzustellen !
gut, aber diese datein sind doch wohl auch in der datensicherung oder?an deiner stelle würde ich als erstes das CNC verzeichnis umbenennen, und die freigaben dazu neu erstellen!
Alle unsere Backup Jobs sind dokumentiert, außer dieser. Wir haben alle Server mit alles Benutzerprofile überprüft, leider ohne erfolg.
Vielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
Gruß FrankVielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
Frank
Moin,
mich wunder das hier niemand die Installation des Ressourcen Managers auf dem Fileserver vorschlägt.
Dort einen Überwachungsjob auf die entsprechende Dateiendung anlegen und schauen woher es kommt.
So sollte im übrigen auch mit Crypto-Trojaner verfahren werden da dieses sich sonst gerne selbst löschen oder verstecken.
Gruß
Spirit
mich wunder das hier niemand die Installation des Ressourcen Managers auf dem Fileserver vorschlägt.
Dort einen Überwachungsjob auf die entsprechende Dateiendung anlegen und schauen woher es kommt.
So sollte im übrigen auch mit Crypto-Trojaner verfahren werden da dieses sich sonst gerne selbst löschen oder verstecken.
Gruß
Spirit
Zitat von @hukahu23489:
Hi,
klar, es könnte auch ein bat script oder eine .cmd sein. Der Ex-Mitarbeiter kann sich leider an nichts erinnern. Ja die CNC-programme sind in der Datensicherung. Das CNC-Verzeichnis kann ich unmöglich unbenennen. Viele Maschinen in der Produktion zeigen auf diesem Pfad, es wäre ein desaster alles neu einrichten zu müssen.
Ich werde wohl ein script erstellen, dass nach .buj .bat .cmd sucht und eine Checkliste mit allen Server und Clients machen, die diesen einen Job ausgeführt haben könnten. Fakt ist dass, der Job immer um 1:00 nach Mitternacht ausgeführt wird ( einmal im Monat ).
Hi,
klar, es könnte auch ein bat script oder eine .cmd sein. Der Ex-Mitarbeiter kann sich leider an nichts erinnern. Ja die CNC-programme sind in der Datensicherung. Das CNC-Verzeichnis kann ich unmöglich unbenennen. Viele Maschinen in der Produktion zeigen auf diesem Pfad, es wäre ein desaster alles neu einrichten zu müssen.
Ich werde wohl ein script erstellen, dass nach .buj .bat .cmd sucht und eine Checkliste mit allen Server und Clients machen, die diesen einen Job ausgeführt haben könnten. Fakt ist dass, der Job immer um 1:00 nach Mitternacht ausgeführt wird ( einmal im Monat ).
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Zitat von @Spirit-of-Eli:
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Wie willst Du damit lokale Dateien suchen und damit die vermutliche Ursache des Problems beheben?
Zitat von @sabines:
Wie willst Du damit lokale Dateien suchen und damit die vermutliche Ursache des Problems beheben?
Zitat von @Spirit-of-Eli:
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Wie willst Du damit lokale Dateien suchen und damit die vermutliche Ursache des Problems beheben?
Zugriffe monitoren und ggf. blocken. Dann steht fest woher und mit welchem User die Aktion ausgeführt wurde.
Hallo,
Gruß,
Peter
Zitat von @hukahu23489:
nein, wir haben eine Fertigungsstraße mit mehreren Maschinen-Computer, die auf den Fileserver lesend zugreifen.
Schau doch mal beim Hersteller ob der dir helfen kann um zu ermiiteln wo und von welchem PC aus es gemacht wird. Das Programm kann installiert sein, muss es aber nicht. Es kann gescriptet sein, muss es aber nicht. http://personal-backup.rathlev-home.de/index-e.html dort steht das es auch vom USB Stick gestartet werden kann... Hast du den ausführende PC gefunden sollte sich der rest leichter nachvollziehen lassen, vor allem wenn es nur einmal im Monat laufen tut. Und ja, manche ehemaligen haben tatsächlich (auch unter Androhung von Gewalt) alles vergessen Vielleicht ist ja noch etwas im Ereignisprotokoll..nein, wir haben eine Fertigungsstraße mit mehreren Maschinen-Computer, die auf den Fileserver lesend zugreifen.
Gruß,
Peter