Wer war auf dem Server?
Wie finde ich heraus, wer letzte Nacht auf meinem Server war?
Hallo Community
Ich leide entweder unter Paranoia oder ich habe recht, und jemand war in der Nacht auf meinem Server. Es gibt zwei Indizien, die mich zu diesem Schluss kommen lassen.
1. Beim Anmelde-Fenster (welches ich mit Ctrl-Alt-Del öffenen muss) steht nur dann nicht Administrator beim Benutzernamen, wenn ich den Server neu gestartet habe oder via Remote-Desktop darauf zugegriffen habe.
2. Benutzer melden mir, dass einige Ordner auf die nur bestimmte Gruppen zugriff haben, weg sind. Die Ordner konnte ich natürlich mit dem Backup wiederherstellen.
Gibt es eine Möglichkeit, zu prüfen, ob jemand und wenn ja - wer auf dem Server war?
Im Beitrag 4914 wird TopLogger empfohlen, der funktioniert aber nur wenn er läuft (also nicht nachträglich) und vorallem loggd er keine Terminalserver oder VNC Zugriffe.
Hoffe jemand weiss mir zu Helfen!
LG
computermerlae
Hallo Community
Ich leide entweder unter Paranoia oder ich habe recht, und jemand war in der Nacht auf meinem Server. Es gibt zwei Indizien, die mich zu diesem Schluss kommen lassen.
1. Beim Anmelde-Fenster (welches ich mit Ctrl-Alt-Del öffenen muss) steht nur dann nicht Administrator beim Benutzernamen, wenn ich den Server neu gestartet habe oder via Remote-Desktop darauf zugegriffen habe.
2. Benutzer melden mir, dass einige Ordner auf die nur bestimmte Gruppen zugriff haben, weg sind. Die Ordner konnte ich natürlich mit dem Backup wiederherstellen.
Gibt es eine Möglichkeit, zu prüfen, ob jemand und wenn ja - wer auf dem Server war?
Im Beitrag 4914 wird TopLogger empfohlen, der funktioniert aber nur wenn er läuft (also nicht nachträglich) und vorallem loggd er keine Terminalserver oder VNC Zugriffe.
Hoffe jemand weiss mir zu Helfen!
LG
computermerlae
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator gnarff am 25.09.2009 um 04:18:04 Uhr
Herzlichen Glueckwunsch zu diesem Thread! Ich verwarne hiermit folgende Forumsmitglieder wegen Ihrem ungebuehrlichem und unprofessionellem Verhalten, welches sie in Ihren Kommentaren demonstrierten:
1. greypeter
2. maddoc
3. seefan
Wenn Ihr nichts zu sagen habt, nichts wisst oder keine Lust habt zu helfen, dann empfehle ich euch besser zu schweigen.
Sollte das noch einmal vorkommen, werde ich dafuer sorgen, dass Ihr sanktioniert werdet.
Nur weil jemand weniger weiss als man selbst, berechtigt einen das nicht jemanden herunterzumachen; das sollte eigentlich auch ein mrtux wissen...
Der Thread ist hiermit geschlossen!
Saludos
gnarff - el moderador
1. greypeter
2. maddoc
3. seefan
Wenn Ihr nichts zu sagen habt, nichts wisst oder keine Lust habt zu helfen, dann empfehle ich euch besser zu schweigen.
Sollte das noch einmal vorkommen, werde ich dafuer sorgen, dass Ihr sanktioniert werdet.
Nur weil jemand weniger weiss als man selbst, berechtigt einen das nicht jemanden herunterzumachen; das sollte eigentlich auch ein mrtux wissen...
Der Thread ist hiermit geschlossen!
Saludos
gnarff - el moderador
Content-ID: 124096
Url: https://administrator.de/contentid/124096
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
15 Kommentare
Neuester Kommentar
Du könntest mal im Eventlog nachsehen, ob es erfolgreiche oder auch nicht erfolgreiche Anmeldeereignisse über Nacht gab. Dort sollte dann auch verzeichnet sein mit welchem Benutzernamen das passiert ist.
Wenn du den Server allerdings immer offen hast und jemand über VNC reigekommen ist hilft dir das auch nicht weiter. Wer hat denn auch VNC auf einem Server...? *grübel*
Manuel
Wenn du den Server allerdings immer offen hast und jemand über VNC reigekommen ist hilft dir das auch nicht weiter. Wer hat denn auch VNC auf einem Server...? *grübel*
Manuel
Eine erfolgreiche Anmeldung sieht bspw. so aus
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 03.09.2009
Zeit: 10:51:03
Benutzer: <DOMAENE\username>
Computer: <SERVER>
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: <USERNAME>
Domäne: <DOMAENE>
Anmeldekennung: (0x0,0x8F5901)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {*}
Aufruferbenutzername:
Aufruferdomäne: <DOMAENE>
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 712
Übertragene Dienste: -
Quellnetzwerkadresse: <QUELLIP>
Quellport: 1364
Suche also einfach mal nach der Ereignisskennung 528 im Eventlog.Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 528
Datum: 03.09.2009
Zeit: 10:51:03
Benutzer: <DOMAENE\username>
Computer: <SERVER>
Beschreibung:
Erfolgreiche Anmeldung:
Benutzername: <USERNAME>
Domäne: <DOMAENE>
Anmeldekennung: (0x0,0x8F5901)
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation:
Anmelde-GUID: {*}
Aufruferbenutzername:
Aufruferdomäne: <DOMAENE>
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 712
Übertragene Dienste: -
Quellnetzwerkadresse: <QUELLIP>
Quellport: 1364
Bei dem Bild hat sich nur das System angemeldet. Da steckt kein User aus Fleisch und Blut dahinter.
Es steht dann schon wirklich der Username bei dem Ereignis.
Benutzer: Domäne / Username
Die Ereigniskennungen die für dich wichtig sind: 538, 576, 528 (bei 2003 Server).
Das ganze ist bei der Gruppe Sicherheit.
Gruss
Michael
Es steht dann schon wirklich der Username bei dem Ereignis.
Benutzer: Domäne / Username
Die Ereigniskennungen die für dich wichtig sind: 538, 576, 528 (bei 2003 Server).
Das ganze ist bei der Gruppe Sicherheit.
Gruss
Michael
Falsch. Die Frage ist beantwortet.
Filtere deine Anmeldeereignisse nach erfolgreichen Anmeldeereignissen und schon weißt du, wer sich wann angemeldet hat.
Und wenn du wissen willst, ob es jemand mit den verschiedensten Benutzern und/oder Passwörtern probiert hat filtere nach fehlgeschlagenen Anmeldeversuchen.
Manuel
Filtere deine Anmeldeereignisse nach erfolgreichen Anmeldeereignissen und schon weißt du, wer sich wann angemeldet hat.
Und wenn du wissen willst, ob es jemand mit den verschiedensten Benutzern und/oder Passwörtern probiert hat filtere nach fehlgeschlagenen Anmeldeversuchen.
Manuel
Hi !
Und wenn Du schon dabei bist Google zu füttern, dann solltest Du es auch gleich nochmal mit dem Wort "Überwachungsrichtlinie" versuchen. : -)
Wie lange arbeitest Du schon als Admin? Zwei Tage? Nix für ungut aber das sind doch Grundkenntnisse in der Windows Sicherheit. Wenn ich den Verdacht habe, dass jemand auf meinem Server herumlungert, dann muss ich wissen, wo ich hinfassen muss. Wissenslücken über die Windows Sicherheit können dich deinen Admin-Job kosten!
mrtux
Zitat von @81825:
Vielleicht könnte dann jemand anders die eigentliche Frage
kompetent beantworten, wenn dir das Lesen auch weiterer Google-Tipps
zu kompliziert erscheint.
Vielleicht könnte dann jemand anders die eigentliche Frage
kompetent beantworten, wenn dir das Lesen auch weiterer Google-Tipps
zu kompliziert erscheint.
Und wenn Du schon dabei bist Google zu füttern, dann solltest Du es auch gleich nochmal mit dem Wort "Überwachungsrichtlinie" versuchen. : -)
Wie lange arbeitest Du schon als Admin? Zwei Tage? Nix für ungut aber das sind doch Grundkenntnisse in der Windows Sicherheit. Wenn ich den Verdacht habe, dass jemand auf meinem Server herumlungert, dann muss ich wissen, wo ich hinfassen muss. Wissenslücken über die Windows Sicherheit können dich deinen Admin-Job kosten!
mrtux
Hallo computermerlae,
Eventlog -> Sicherheit -> Ereigniskennung 528 zeigt (als Filter) alle Anmeldungen.
Grüße, Steffen
Eventlog -> Sicherheit -> Ereigniskennung 528 zeigt (als Filter) alle Anmeldungen.
Grüße, Steffen
Es müsste doch was in den Logfiles stehen, oder? Also unter Systemsteuerung -> Verwaltung -> Ereignisanzeige.
Da kannst du auf jeden Fall sehen ob der Rechner neu hochgefahren ist. Wenn nicht war jemand dran.
Dann schau mal alles durch, ich bin nicht ganz sicher ob und wo da steht wer sich an der Console angemeldet habe, und kann selbst nicht suchen weil ich auch grad ein dringendes Problem zu lösen habe...
Gruß, DC
Da kannst du auf jeden Fall sehen ob der Rechner neu hochgefahren ist. Wenn nicht war jemand dran.
Dann schau mal alles durch, ich bin nicht ganz sicher ob und wo da steht wer sich an der Console angemeldet habe, und kann selbst nicht suchen weil ich auch grad ein dringendes Problem zu lösen habe...
Gruß, DC