Dateien Und Zugriffe Auf Andere Systeme Festgestel
#1
geschrieben 21. Januar 2005 - 14:34
mir ist etws ganz merkwürdiges passiert!
Auf meinem PC wurden Dateien und Zugriffe auf andere Systeme festgestellt.
So. zB. \\rechnername\c$Documents and Settings\username\Desktop
Und das in mehreren Fällen zu verschiedenen Zeiten.
Mir sind diese Zugriffe ein Rätsel, rein von den Rechten her könnte ich so etwas machen da ich mich innerhalb einer Domäne befinde und in der Gruppe der Lokalen Administratoren eingetragen bin.
Ist es möglich die Einträge auch von anderen PC’s aus auf meinem System zu editier oder gar mit reg
(Console Registry Tool for Windows - version 3.0
Copyright © Microsoft Corp. 1981-2001. All rights reserved
REG Operation [Parameter List]
Operation [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]
Return Code: (Except of REG COMPARE)
0 - Succussful
1 - Failed
For help on a specific operation type:
REG Operation /?
Examples:
REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /? )
zu verändern ohne spuren zu hinterlassen?
Oder könnte mir jemand einen Link auf eine Batch in die Autostart gelegt haben das dies mit meinen Userrechten geschehen sein kann?
Sind eventuell noch mehr nicht nachweisbare möglichkeiten offen an die ich nicht denke denn es stellt sich für mich dar wie ein Maulwurf, der aus einer lücke auftaucht und sofort wieder verschwunden ist.
Jetzt habe ich mein System nahezu abgeschottet, ist die möglich mit den Domänadin Rechten wieder zu öffnen?
Ich habe zur Zeit keine Antworten, aber recht viel ärger an der Backe und soll nun dieses begründen was mir schier unmöglich erscheint.
Userproblem
Anzeige
#2
geschrieben 21. Januar 2005 - 14:40
Aber was du mit den Registry-Änderungen gemeint hast, habe ich nicht ganz verstanden...
Dieser Beitrag wurde von Graumagier bearbeitet: 21. Januar 2005 - 14:40
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#3 _I Luv Money_
geschrieben 21. Januar 2005 - 14:43
hast du den rechner IMMER wenn du dein büro verlassen hast gesperrt? kannst du garantieren das niemand ausser dir dein passwort kennt?
#4
geschrieben 21. Januar 2005 - 14:43
Ist rein theoretisch möglich, jedoch müsste der Rechner schon ziemlich offen sein.
Denke eher du hast dir Maleware, wie z.B. nen Trojaner eingefangen, also wie Graumagier schon gesagt hat Hijackthis log.
#5 _I Luv Money_
geschrieben 21. Januar 2005 - 14:44
Zitat (Graumagier: 21.01.2005, 14:40)
Aber was du mit den Registry-Änderungen gemeint hast, habe ich nicht ganz verstanden...
<{POST_SNAPBACK}>
hijack ist nich für alles die universal lösung, das müsste schon nen komisches zeug sein das auf den desktop anderer leute will über unc pfade ^^
edit:
ihr immer mit euren hijack logs, den trojaner/spyware etc. möcht ich sehen der sowas macht. was sollte das bringen für den schädling?
naja ich warte wie gesagt erstmal auf ne antwort auf meine erste frage, danach kann man sich weitere gedanken machen...
mfg
Dieser Beitrag wurde von I Luv Money bearbeitet: 21. Januar 2005 - 14:46
#6
geschrieben 21. Januar 2005 - 14:45
Zitat (I Luv Money: 21.01.2005, 14:44)
<{POST_SNAPBACK}>
Wieso. Einfach ein Trojaner und ein anderer Mitarbeiter will ihn reinreiten und greift auf den anderen Rechner zu.
#7 _I Luv Money_
geschrieben 21. Januar 2005 - 14:48
Zitat (pSyCHo_SolDiEr: 21.01.2005, 14:45)
<{POST_SNAPBACK}>
möglich ist alles, aber auch das halte ich für unwahrscheinlich...dafür bräuchte der mitarbeiter lokale admin rechte, und da wäre auch wieder meine frage:
rechner bei abwesenheit immer gesperrt?!
passwort anderen bekannt?!
was genau wurde auf den anderen rechnern überhaupt gemacht von deinem aus?
#8
geschrieben 22. Januar 2005 - 14:58
Der rechner war immer per Bildschirmschoner gesperrt! (Kann jemand diesen mit lokal adminrechten über das Netz abschießen?)
In dem lokal Administrator ist eine Gruppe mit lokalen Administratoren eingetragen als auch die Domänenadministratoren.
Grund hierfür kann sein das mich jemand aus der Fa. haben möchte was er offensichtlich schaffen kann. (Ich bin zur Zeit beurlaubt)
Es wurden Daten wie Gehälter auf meinem Rechner gefunden als auch Zugriffe zu dem Vorgesetzten meines Chefs.
Die offensichtliche installation von einem Programm LC4 (Häckerprogramm) und eben diese UN Phate in den LHC Dateien.
Für Kontrucktive Tipps wie ich dies entkräftigen könnte währe ich sehr Dankbar.
Mein Anwald scheint die Fahne zu hissen und weis auch nicht weiter.
Auf den Rechner kann ich zur Zeit nicht Zugreifen, ich bekomme aber einen Tag die Möglichkeit dies zu entkräftigen.
MfG
Userproblem
Danke an alle die sich mit diesem Problem beschäftigen.
#9
geschrieben 22. Januar 2005 - 15:30
Zitat
Das Sperrt nur die Tastatur und den Bildschirm. Der Rechner ist nach wie vor über das Netz erreichbar und manupulierbar, wenn man das nicht unterbindet.
Zitat
Böse Falle. Damit ist der Lokale Administrator auch Domänenadministrator. Sowas sollte man nicht machen, da man dann mit deinem Rechner auch die Domäne manipulieren kann. Der Domänenadministrator sollte sich nur am Server selbst anmelden können und nicht lokal vorhanden sein.
Zitat
Wenn man weiss wie und es das Netzwerk erlaubt kann man so ziemlich alles auf einen Rechner installieren, auch wenn man nicht vor den Rechner sitzt. Das geht auch von anderen Rechnern aus.
Zitat
Wer hat das Netzt so unsicher eingerichtet?
Als was bist Du da eigentlich angemeldet an dem Rechner? Als normaler Benutzer oder als Administrator? Als normaler Nutzer könntest Du soetwas eigentlich garnicht machen.
Aber selbst wenn Du nur als Nutzer angemeldet bist, kann jemand der die Administratorpasswörter kennt, Deinen Rechner manipulieren, auch von einem anderen Rechner aus, ohne dass Du das mitekommst. Der könnte Dich auch zum Admin befördert haben.
Alles in Allem klingt das Netzwerk nicht gerade vertrauenswürdig wenn solche Sachen da passieren. Ist zwar technisch möglich, kann man aber auch abstellen, so dass nur ein local angemeldeter Administrator sowas machen kann und nicht über andere Rechner aus.
Ist natürlich die Frage jetzt. In einem gut eingerichteten Netzwerg würde man das an den Logs ekennen, wer wann wo was installiert hat und wer auf welchen Rechner wan Zugriff genommen hat. Aber da solche Logs manipulierbar sind, hängt es letztendlich am Netzwerkadministrator, wie vertrauenswürdig er ist.
Dieser Beitrag wurde von DK2000 bearbeitet: 22. Januar 2005 - 15:36
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#10
geschrieben 23. Januar 2005 - 13:14
jedoch suche ich nacher der teschnischen Lößung womit ich diese Unterstellungen wiederlegen kann.
1.) werde ich versuchen logs vom Server mit meinem User zu bekommen, wo ich nachweisen kann das ich nicht an der Domäne war. zB Urlaub, Abwesenheit und Schulung, damit ich gegebenenfalls ein verwenden meiner ID nachweisen kann.
2.) Könnten die HCL dateien (Reg.) ausgelesen und wieder zurückgespielt werden über einen Link in der Autostart (Batch oder UNC) damit ich mir Dateien selbst auf den Computer Kopiert habe ohne dies zu merken.
3.) Könnte jemand Manipulationen vornehmen wenn ich nicht am Platz war, z.B. Bilschirmschoner abschießen und Remote zugreifen über VNC
4.) dirktes editieren der HCL ohne Spuren zu hinterlassen?
5.) Existieren hierzu Musterbeispiele das es anderen auch so erging?
Vielen Dank für detalierte Antworten, auch gerne per Mail um ein veröffentlichen zu vermeiden.
Dies sollte aber bitte fundiert und keine Vermutung sein.
Userproblem
#11
geschrieben 25. Januar 2005 - 10:05
Ich habe bislang herausgefunden wie man die Reg im DOS über das Netz auslesen kann. Das importieren über klick ist auch möglich, jedoch kommen da zwei mal o.K. abfragen. Jetzt suche ich noch die Möglichkeit diese Meldungen zu unterdrücken. Kennt jemand de Syntax oder Schalter?
Für mein Verständnis ist es möglich den Bilschirmschonerprozess abzuschießen kennt jemand diese Vorgehensweise?
Vielen Dank
Userproblem