computermerlae
Goto Top

Wer war auf dem Server?

Wie finde ich heraus, wer letzte Nacht auf meinem Server war?

Hallo Community
Ich leide entweder unter Paranoia oder ich habe recht, und jemand war in der Nacht auf meinem Server. Es gibt zwei Indizien, die mich zu diesem Schluss kommen lassen.
1. Beim Anmelde-Fenster (welches ich mit Ctrl-Alt-Del öffenen muss) steht nur dann nicht Administrator beim Benutzernamen, wenn ich den Server neu gestartet habe oder via Remote-Desktop darauf zugegriffen habe.
2. Benutzer melden mir, dass einige Ordner auf die nur bestimmte Gruppen zugriff haben, weg sind. Die Ordner konnte ich natürlich mit dem Backup wiederherstellen.

Gibt es eine Möglichkeit, zu prüfen, ob jemand und wenn ja - wer auf dem Server war?
Im Beitrag 4914 wird TopLogger empfohlen, der funktioniert aber nur wenn er läuft (also nicht nachträglich) und vorallem loggd er keine Terminalserver oder VNC Zugriffe.

Hoffe jemand weiss mir zu Helfen!

LG
computermerlae
Kommentar vom Moderator gnarff am 25.09.2009 um 04:18:04 Uhr
Herzlichen Glueckwunsch zu diesem Thread! Ich verwarne hiermit folgende Forumsmitglieder wegen Ihrem ungebuehrlichem und unprofessionellem Verhalten, welches sie in Ihren Kommentaren demonstrierten:
1. greypeter
2. maddoc
3. seefan
Wenn Ihr nichts zu sagen habt, nichts wisst oder keine Lust habt zu helfen, dann empfehle ich euch besser zu schweigen.
Sollte das noch einmal vorkommen, werde ich dafuer sorgen, dass Ihr sanktioniert werdet.
Nur weil jemand weniger weiss als man selbst, berechtigt einen das nicht jemanden herunterzumachen; das sollte eigentlich auch ein mrtux wissen...

Der Thread ist hiermit geschlossen!

Saludos
gnarff - el moderador

Content-ID: 124096

Url: https://administrator.de/contentid/124096

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

manuel-r
manuel-r 03.09.2009 um 10:17:33 Uhr
Goto Top
Du könntest mal im Eventlog nachsehen, ob es erfolgreiche oder auch nicht erfolgreiche Anmeldeereignisse über Nacht gab. Dort sollte dann auch verzeichnet sein mit welchem Benutzernamen das passiert ist.
Wenn du den Server allerdings immer offen hast und jemand über VNC reigekommen ist hilft dir das auch nicht weiter. Wer hat denn auch VNC auf einem Server...? *grübel*

Manuel
RAINERR
RAINERR 03.09.2009 um 10:17:42 Uhr
Goto Top
Hallo,

Evtl. mal die Ereignisprotokolle prüfen?

Grüße

Rainer
mischn1980
mischn1980 03.09.2009 um 10:32:16 Uhr
Goto Top
Hi,

in den Event-Logs wird jede An-/ und Abmeldung verzeichnet.

Im zweifel würde ich auch mal die Admin-Passwörter ändern.

VNC kannst du auch noch mit einem Passwort zumachen.

Gruss

Michael

PS: Ist gerade jemand von der IT gegangenworden?
computermerlae
computermerlae 03.09.2009 um 10:38:22 Uhr
Goto Top
Hallo manuel-r
Danke für die rasche Antwort!
Also ich hab kein VNC auf dem Server laufen, habe nes nur ausgetestet, damit ich hier im Forum keinen Sch* schreibe.

Also in der Ereignissanzeige unter Sicherheit habe ich diverse (dutzende) Einträge à la
Fehlerüberw.**. Da steht dann aber kein Benutzername und kein PW drin nur Anmeldetyp: 3 und Anmeldevorgang: Kerberos

Hier ein Bild:
f1fa6cc07e0718c1ce626b822667a489-svr2k3_eventlog_sec_ps

LG
computermerlae
computermerlae
computermerlae 03.09.2009 um 10:45:17 Uhr
Goto Top
Hallo Mischn1980
Danke für deine Antwort!
Ich habe soeben ein Bild hoch geladen. Darauf sind leider nicht gerade viele Informationen die ich auswerten könnte.
Kannst du mehr rauslesen?

LG
computermerlae

PS: Nein es ist niemand gegangen worden, aber es gibt wunderfitzige...
manuel-r
manuel-r 03.09.2009 um 10:50:48 Uhr
Goto Top
Eine erfolgreiche Anmeldung sieht bspw. so aus
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 03.09.2009
Zeit: 10:51:03
Benutzer: <DOMAENE\username>
Computer: <SERVER>
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: <USERNAME>
Domäne: <DOMAENE>
Anmeldekennung: (0x0,0x8F5901)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {*}
Aufruferbenutzername:
Aufruferdomäne: <DOMAENE>
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 712
Übertragene Dienste: -
Quellnetzwerkadresse: <QUELLIP>
Quellport: 1364
Suche also einfach mal nach der Ereignisskennung 528 im Eventlog.
mischn1980
mischn1980 03.09.2009 um 10:54:26 Uhr
Goto Top
Bei dem Bild hat sich nur das System angemeldet. Da steckt kein User aus Fleisch und Blut dahinter.

Es steht dann schon wirklich der Username bei dem Ereignis.

Benutzer: Domäne / Username

Die Ereigniskennungen die für dich wichtig sind: 538, 576, 528 (bei 2003 Server).

Das ganze ist bei der Gruppe Sicherheit.

Gruss

Michael
computermerlae
computermerlae 03.09.2009 um 11:14:16 Uhr
Goto Top
Hallo greypeter
Auch dir danke ich für deine Antwort.
Ich habe die Gruppenrichtlinien gemäss Anleitung im ersten Google Treffer angepasst.

Mal schauen ob ich jetzt weniger Fehler habe.
Die eigentliche Frage ist aber noch nicht beantwortet.

LG
computermerlae
manuel-r
manuel-r 03.09.2009 um 11:27:03 Uhr
Goto Top
Falsch. Die Frage ist beantwortet.
Filtere deine Anmeldeereignisse nach erfolgreichen Anmeldeereignissen und schon weißt du, wer sich wann angemeldet hat.
Und wenn du wissen willst, ob es jemand mit den verschiedensten Benutzern und/oder Passwörtern probiert hat filtere nach fehlgeschlagenen Anmeldeversuchen.

Manuel
computermerlae
computermerlae 03.09.2009 um 11:27:21 Uhr
Goto Top
Also ich habe jetzt einmal alle EInträge angeschaut und es gibt keine Einträge mit der Kennung 528.

Es gibt diverse An/Abmeldung mit 529 und mit 537jedoch alle mit Benutzer SYSTEM.
Der einzige Eintrag mit einem Benutzernamen als Benutzer hat die Kennung 675.

Von den 675 gibt es viele jedoch (über mehrere Tage gesehen) nur von jeweils zwei Benutzern. Alle anderen Einträge (mit Ken. 675) haben als Benutzer einen Client (Computer) mit einem $-Zeichen dahinter.

z.B.:
Kategorie: Kontoanmeldung
Kennung: 675
Benutzername: Client1$
Benutzerkennung:Domäne\Client1$
Dienstname: krbtgt/Domäne
Vorauthetifizierungstyp: 0x2
Fehlercode: 0x25
Clientadresse: 192.168.x.y

Was bedeutet das?

LG
computermerlae
manuel-r
manuel-r 03.09.2009 um 11:51:30 Uhr
Goto Top
Tja, dann ist wahrscheinlich die Überwachung auf erfolgreiche (vielleicht auch nicht erfolgreiche) Anmeldeereignisse abgeschaltet. Mehr dazu verraten dir deine lokalen oder Gruppen-Richtlinien.
Wenn dem so sein sollte, kommst du rückwirkend nicht mehr an die Information ran.
mrtux
mrtux 03.09.2009 um 16:47:29 Uhr
Goto Top
Hi !

Zitat von @81825:
Vielleicht könnte dann jemand anders die eigentliche Frage
kompetent beantworten, wenn dir das Lesen auch weiterer Google-Tipps
zu kompliziert erscheint.

Und wenn Du schon dabei bist Google zu füttern, dann solltest Du es auch gleich nochmal mit dem Wort "Überwachungsrichtlinie" versuchen. : -)

Wie lange arbeitest Du schon als Admin? Zwei Tage? Nix für ungut aber das sind doch Grundkenntnisse in der Windows Sicherheit. Wenn ich den Verdacht habe, dass jemand auf meinem Server herumlungert, dann muss ich wissen, wo ich hinfassen muss. Wissenslücken über die Windows Sicherheit können dich deinen Admin-Job kosten!

mrtux
computermerlae
computermerlae 03.09.2009 um 20:16:35 Uhr
Goto Top
Hallo mrtux
Danke für den Tipp, ich werd mich da mal schlau lesen.

LG
computermerlae
51705
51705 06.09.2009 um 03:26:53 Uhr
Goto Top
Hallo computermerlae,

Eventlog -> Sicherheit -> Ereigniskennung 528 zeigt (als Filter) alle Anmeldungen.

Grüße, Steffen
DonCool
DonCool 07.09.2009 um 11:30:30 Uhr
Goto Top
Es müsste doch was in den Logfiles stehen, oder? Also unter Systemsteuerung -> Verwaltung -> Ereignisanzeige.
Da kannst du auf jeden Fall sehen ob der Rechner neu hochgefahren ist. Wenn nicht war jemand dran.
Dann schau mal alles durch, ich bin nicht ganz sicher ob und wo da steht wer sich an der Console angemeldet habe, und kann selbst nicht suchen weil ich auch grad ein dringendes Problem zu lösen habe...

Gruß, DC