Windows Server 2016

  • Guten Tag

    Ich hatte leider einer Falschen Person zugang zu meinem Rootserver gegeben. Dadurch hatte er die Chance am Sonntag dem 31.03.2019 gegen Abend ein Program zu starten um andere Teamspeak Server dwon zu bringen. Da ich gerne Rechtlich gegen diese Person vorgehen möchte brauche ich einen Handfesten Beweis. Gibt es da irgend welche Logs?


    Danke im voraus


    Mit Freundlichen Grüssen


    Philipp.S

  • Natürlich gibt es Log-Dateien, aber die kann der "Angreifer" (bzw. die Person, der du deine Zugangsdaten gegeben hast) ja auch manipuliert haben.


    Bitte den Server herunterfahren und kündigen. Die Frage zeigt, dass du sehr, sehr leichtfertig mit deinem Server umgehst. Immerhin bist du für alles, was der Server veranstaltet, selbst verantwortlich:


    Zitat


    Vor einer Bestellung bitten wir zu bedenken, dass ein unmanaged vServer zwar viele Freiheiten mit sich bringt, gleichzeitig der Kunde einen enormen Teil der Verantwortung übernimmt. Ein unmanaged vServer, egal über welche Firma er bezogen wird, erfordert konsequente Datenpflege, die mindestens gute bis sehr gute Linuxkenntnisse voraussetzt. Ein fehlerhaft konfigurierter und dadurch unsicherer vServer birgt ein hohes Schadensrisiko. Für eventuelle Schäden haftet in jedem Fall der Systemadministrator. Bei einem unmanaged vServer ist dies der Kunde. Wir möchten als verantwortungsbewusste Firma unsere Kunden auf dieses persönliche Risiko ausdrücklich hinweisen, obwohl wir uns darüber bewusst sind, dass es andere Hostingfirmen gibt, die diese Risiken verschweigen, um potentielle Kundenaufträge nicht zu verlieren.

    Quelle: https://www.netcup.de/vserver/vserver_guenstig_qualitaet.php (ganz unten)

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Mit welcher juristischen Grundlage willst du denn gegen diese Person vorgehen? Immerhin hast du ihr ja die Rechte dazu gegeben. Der Fehler lag ja damit bei dir und du trägst da zumindest eine Teilschuld zu bei. Da rechtlich gegen vorgehen zu wollen, ist schon recht riskant. Meiner Ansicht nach wirst du am Ende selbst noch die Kosten dafür tragen müssen.


    Mein Tipp: Nimm es einfach so hin. Lerne daraus, setze den Server neu auf(!) und sei in Zukunft etwas vorsichtiger ;)

  • Es geht mir ja jetzt in erster Linie darum die Logs zu bekommen. Die Leute die von dem Angriff ab von meinem Root aus betroffen wahren werden selber rechtlich nix machen. Und nebenbei er hat sich Zugriff über den Administrator Benutzer verschaft und er selber hatte nur einen normalen Benutzer mit keinen rechten also hat er da das Passwort umgangen oder ka was.

  • Es geht mir ja jetzt in erster Linie darum die Logs zu bekommen. Die Leute die von dem Angriff ab von meinem Root aus betroffen wahren werden selber rechtlich nix machen. Und nebenbei er hat sich Zugriff über den Administrator Benutzer verschaft und er selber hatte nur einen normalen Benutzer mit keinen rechten also hat er da das Passwort umgangen oder ka was.

    Die Verantwortung trägst am Ende aber trotzdem du. Sobald der User aber Admin Rechte "erhalten" hat, musst du mit den Logs aufpassen. Die können - wie mfnalex schon richtig erwähnt hat - manipuliert worden sein. D.h. die Logs an sich sind dann kein handfester Beweis mehr. Die Wahrscheinlichkeit ist zwar gering, sie ist aber da und im Zweifel gilt dann immer noch die Unschuldsvermutung. Es sei denn du loggst auf sichere Dritt-Systeme. Das wurde hier aber wohl nicht gemacht. Wenn du aber trotzdem mal schauen willst, was da passiert ist (mit Vorbehalt auch Richtigkeit), schau mal in die "Ereignisanzeige". So heißt wohl das Tool unter Windows, in dem die Logs stehen.

  • Stichwort "RDP Logging". Versuche mal danach zu suchen. Auf die Schnelle habe ich das hier gefunden: https://social.technet.microso…ections?forum=winserverTS


    Bin aber auch kein Windows-Admin. Daher kann ich hier nur begrenzt helfen. Es kann nämlich gut sein, dass man das erst aktivieren muss, bevor da überhaupt etwas geloggt wird. Da kann hier ein Windows Experte sicherlich mehr zu sagen. Gibt hier ja auch einige im Forum. Vielleicht meldet sich da ja noch jemand und kann uns aufklären :-).

  • Hay,


    tja, letztendlich bleibt sogar die Ungewissheit, ob es doch "der falsche" war, der das Problem verursacht hat.


    Vielleicht wurde der Server ja von jemand anderem gekapert, gerade Windows lädt mit seiner Einfachheit dazu ein, Mist zu konfigurieren. Ist ja schnell aufgesetzt und Windows kennt man ja von zuhause. Klick hier, klick da, Hacker freuts, wunderbar.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Nein es wahr mein ehemaliger Techniker. Ich habe gesehen das jemand mit einem Admin Account online wahr den habe ich gekickt und er fragte mich warum ich das gemacht habe.

  • Leider alles ausprobiert und nix gefunden. Es scheint als ob die Logs gar nicht erstellt werden.

    Das mein ich ja. Solche Sachen muss man ioft im Vorfeld einrichten. Das auch oft nicht etwas, was man zwischen tTür und Angel macht. Gerade wenn man sich erst da einarbeiten muss. Wenn man eh Admin ist und die Logs nicht extern sichert, hat man oft eh verloren, da man die Event auch einfach löschen kann und nix angezeigt wird.

  • Mit welcher juristischen Grundlage willst du denn gegen diese Person vorgehen? Immerhin hast du ihr ja die Rechte dazu gegeben. Der Fehler lag ja damit bei dir und du trägst da zumindest eine Teilschuld zu bei. Da rechtlich gegen vorgehen zu wollen, ist schon recht riskant. Meiner Ansicht nach wirst du am Ende selbst noch die Kosten dafür tragen müssen.

    Unter Umständen § 823 BGB (Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb), oder § 826 BGB. Aber das kann natürlich nicht pauschal beantwortet werden.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Das mein ich ja. Solche Sachen muss man ioft im Vorfeld einrichten. Das auch oft nicht etwas, was man zwischen tTür und Angel macht. Gerade wenn man sich erst da einarbeiten muss. Wenn man eh Admin ist und die Logs nicht extern sichert, hat man oft eh verloren, da man die Event auch einfach löschen kann und nix angezeigt wird.

    Wie kann ich das Einrichten um die Logs extern zu sichern? Kannst du mir da was empfehlen?

  • Wie kann ich das Einrichten um die Logs extern zu sichern? Kannst du mir da was empfehlen?

    Du brauchst halt ein Zielsystem (Linux mit einem Syslog Server z.B.) und einen Client der alles weiterleitet (ich nutze dafür ein Tool von qradar).

    Das ganze dann natürlich mittels TLS und FW Regeln abgesichert.