ohnepower
Goto Top

Server gehackt?

Hallo,

auf die Gefahr hin, dass ich jetzt gesteinigt werde...


Wir betreiben einen kleinen Server (W2k3 - Hardware- und Softwarefirewall) mit 4 Clients (Win XP pro) und 8 Accounts.
Vor zwei Tagen habe ich mich am Server angemeldet um ein paar Änderungen vorzunehmen (reiner Benutzerfeinschliff - keine Systemänderungen - keine Updates), hat alles reibungslos geklappt, keine besonderen Einträge in den Logfiles...
Eine halbe Stunde später wollte ich mich dann erneut anmelden... keine Chance! Im ersten Moment dachte ich ernsthaft das ich das Kennwort vergessen habe... die Hoffnung ist leider ziemlich schnell zerplatzt als mein Kollege kam.

Wir haben den Server direkt vom Netz genommen - Server gehackt???
Da der Admin-Account durch zu häufige Falscheingabe des Kennworts nicht gesperrt wird, kann ich doch nun davon ausgehen das sich jemand an unseren Daten bedienen wollte, bzw. hat, oder??

Ich hab mir ein Programm besorgt mit dem man das Kennwort zurücksetzten kann...
Kann ich damit etwas kaputt machen, oder ist das unbedenklich??

-> Offline NT Password & Registry Editor

Bei uns läuft keine Intrusion Detection Software (jaja... ich weiß!), nur die Systemprotokolle des Servers...

Bitte um schnelle Hilfe...


Gruß Mike

Content-ID: 34777

Url: https://administrator.de/contentid/34777

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

filippg
filippg 24.06.2006 um 11:13:02 Uhr
Goto Top
Ich hab mir ein Programm besorgt mit dem man
das Kennwort zurücksetzten kann...
Kann ich damit etwas kaputt machen, oder ist
das unbedenklich??

Hallo,

wenn du EFS-Verschlüsselung verwendest (die in Win integrierte Verschlüsselung), dann sind die Dateien nach dem Passwortwechsel defekt, und du kannst sie höchstens wieder herstellen, wenn du vorher (vor diesen Phänomenen) das Zertifikat gesichert hast.
Ansonsten sollte weiter nichts kaputt gehen, sofern das Programm sauber arbeitet.

Filipp
OhnePower
OhnePower 24.06.2006 um 11:25:08 Uhr
Goto Top
Hi Filipp...

betrifft das Dateien die explizit verschlüsselt wurden, oder generell alle Dateien die dem Admin gehören???

Vielen Dank!

Gruß Mike
nimrod2k
nimrod2k 24.06.2006 um 11:27:52 Uhr
Goto Top
nur die mit EFS verschlüsselten.

Gruß
nimrod2k
27119
27119 24.06.2006 um 14:07:56 Uhr
Goto Top
Ach ich würd da nicht gleich so schwarz sehen.
Ich nehme eher an, das Tastatur Layout wurde verändert, und du tippst dein deutsches PW an einem englischen Tastatur-Layout ein.
Ist mir auch mal passiert, und ich bin fast verrückt geworden!


Eine Firewall (vor allem hardware-FW) ist freilich eine prima Sache - wenn sie richtig konfiguriert ist und tatsächlich dichtmacht.
Doch selbst wenn nicht, ist es garnicht soooo einfach ein aktuell gepatchtes Windows mit komplexem Passwort einfach mal zu übernehmen von extern.... höchstens wenn schon ein Trojaner oder anderweitiger Schädling im System sitzt und die Tür von "innen" her öffnet...
Auch wenn Windows gerne angegriffen wird und tatsächlich auch Sicherheitsprobleme hat (wie Sun Solaris, Linux etc auch - kein OS ist fehlerfrei) muss man nicht gleich paranoid werden. Meist hat man den Fehler selbst verursacht und sich ausgesperrt...
LordMDG
LordMDG 24.06.2006 um 15:21:41 Uhr
Goto Top
Moin!

Ich hab ein ähnliches Problem.
Tritt aber nur auf, wenn der Admin am Server angemeldet ist und der Arbeitsplatz gesperrt.
Dann kann ich die Sperre nurnoch aufheben, wenn ich vor dem Benutzername "Domäne\" schreibe. Und die Adminrechte des Benutzers sind auch futsch. Ich vermute, das es daran liegt, das die Sitzung abgelaufen ist, weil der Admin schon seit Tagen oder Wochen angemeldet war.
Vielleicht hilft dir das!
Supaman
Supaman 26.06.2006 um 22:01:00 Uhr
Goto Top
oder man liest die rainbowtables mit der backtrack cd aus und schaut bei plain-text.org nach, ob es zu dem hash ein passendes pw in der datenbank gibt.. bei irongeek.com gabs da mal eine animierte anleitung^^