vermeintlicher Datenklau übers LAN

[Anna]

Ich hab ein ziemliches End-User Problem: Ein Freund von mir hat mein Laufwerk C ohne mein Wissen freigebeben... mir ist dies erst aufgefallen nachdem ich am Vortag ca. drei Stunden in einem Wohnheim LAN mit 40 Usern gesurft bin.
Meine Frage: Gibt es auf einem Windows 98 Rechner irgendeine Möglichkeit einen Zugriff auf meine Dateien festzustellen oder gar den Zugreifenden auszumachen ?

In Windows nach Dateien suchen, auf die zugegriffen wurde ist nicht aussagefähig, da meine Datumsanzeige spinnt und das suchen verschiedene Ergebnisse ausspuckt je nachdem, ob ich nach den letzten Tagen oder dem Datum suche, an dem ein Zugriff in Frage kommt...

Der Administrator konnte mir leider auch nicht weiterhelfen... vielleicht kann es jemand von euch ?

Anna

 

[Gulliver]

Nein.

mfg

 

[LySer]

Bei uns im Schulnetz hatte ein Kollege mal so ein Tool damit hat er immer gesehen welche Datei an wem in LAN übetragen wird,hab grad versucht ihn wegen näheren Details zu erreichen aber ohne Erfolg.....

So far .....
LyS

 

[Fishlander]

Tipp: LAss deinen PC nie aus den Augen

Ansonsten: Scheiße gelaufen!

 

[Tom66]

hi

gibt schon progis die das verhindern können und auch protoll schreiben darüber
norton internet security oder esave betriebssystem ist dabei egal alles was auf der netzwerkkarte vorgeht wird überprüft und bei richtiger einstellung braucht es deine erlaubnis ob rein oder raus

 

[softrunner]

Gibt es auf einem Windows 98 Rechner irgendeine Möglichkeit einen Zugriff auf meine Dateien festzustellen oder gar den Zugreifenden auszumachen ?

Von Haus aus gibt es diese Möglichkeit nicht soweit ich weiss. Ich würde an deiner Stelle so vorgehen: Zuerst alle wichtigen Daten sichern und dann einen Sniffer installieren. Mit dem Sniffer kannst du dann jeglichen Netzwerkverkehr überwachen und protokollieren lassen. Desweiteren hast du auch die Möglichkeit Filterregeln für die Protokollierung anzugeben, sodass das Protokoll nicht unnötig lang wird.

mfg, softrunner

 

[alt-f4]

jetzt wäre es noch nett wen du den namen und evtl. die url des sniffers verlauten würdest.

gruss alt

 

[Sneaker]

ich denk du kannst dafür jeden beliebigen sniffer verwenden, z.B. ethereal. mit den richtigen filterregeln logst du dann nur zugriffe auf deine freigaben

greetz,
Sneaker

 

[softrunner]

Ich perönlich fahre mit ethereal ganz gut. Den gibt es hier. Unter Windows muss möglicherweise vorher noch ein Capture-Treiber installiert werden. Dieser wird dort ebenfalls zum Download angeboten.

mfg, softrunner

 

[Master-X]

Mit dem Befehl "netstat -n" in der Eingabeaufforderung, kannst du normalerweise die IP Adressen derer sehen, die gerade auf deinen Rechner connecten. Wenn da eine Adresse steht, die nicht da sein sollte, mache den jenigen ausfindig und bitte ihn das zu unterlassen. Wenn er's nicht tut würde ich mir einen Nuker herunterladen und ihn damit kurzzeitig außer Gefecht setzen.
Desweiteren würde ich die Freigabe des Laufwerks wieder rückgängig machen, damit gar keiner mehr connecten kann. Oder habe ich da etwas falsch verstanden?

Master-X

 

[softrunner]

Desweiteren würde ich die Freigabe des Laufwerks wieder rückgängig machen, damit gar keiner mehr connecten kann. Oder habe ich da etwas falsch verstanden?

Grundsätzlich hast du natürlich recht, aber wenn sie herausfinden will ob Daten geklaut werden und ggf. von wem, so wäre es schon sinnvoll die Freigabe noch offen zu lassen und den Zugriff auf die Freigaben auf das LAN zu begrenzen. Auf frischer Tat ertappen kann man nur jemanden, der auch die Möglichkeit hat die Tat zu begehen.

Inwieweit man davon ausgehen darf,dass der Datendieb auch derjenige war der die Freigaben aktiviert hat ist natürlich eine andere Frage.

mfg, softrunner

 

[Master-X]

Dann ist's ja einfach. Holt euch 'n Nuker nuket die IP, die gerade connecten will (und somit mindestens einen Blick auf die Daten riskieren will). Der, dessen Rechner dann neu hochfährt (und der sich auch schwar ärgert, weil das scheiß Ding schon wieder abgeschmiert ist), war wenigstens dieses Mal dann der Datendieb (und der Gelackmeierte) .

Master-X

 

[Nornagest]

Über Verwaltung ->Sitzungen oder so kannst du auch sehen wer gerade mit deinem Rechner verbunden ist und die Verbindung beenden.

 

[E S]

Hi,

gheht wohl darum, festzustellen, wer im ungeschütztem zeitraum zugegriffen hat.

Wenn vorher keine Schutzmaßnamen ergriffen wurde geht das im nachhinein nicht mehr. Nur wenn die Zugriffe protokolliert wurden kann man später nachlesen, was gemacht wurde. Zu spät ist zu spät.

Ist wie die Haustür offen zu lassen (C: freigeben). Sehen ob jemand drinn war kann man nur, wenn was geändert wurde. Sehen wer es war nur dann, wenn der Besucher was persönliches hinterlassen hat. Abhilfe bringt eine Videoüberwachung (logs), nur nach dem "Einbruch" nützt das erst mal nichts.

Gruß
Elmar

 

[Darkfire]

Seid mir bitte nicht böse, aber diese Ratschläge mit nuken usw.... *Kopfschüttel*
Master-X, bist du ein Scriptkiddie oder was?
Und zu den Leuten die den Tipp geben mit Ethereal zu protokollieren... ähm irgendwann ist Schicht im Schacht wo soll man das alles speichern, und wieviel RAM benötigt man dazu? Schätze eine Menge. Man könnte allerhöchstens NFS protokollieren?
Ich weiß es nicht und bin mir auch nicht sicher.

Am besten wäre eine Log-Datei die übertragene Dateioperationen auf NFS-Ebene protokolliert. Welche Möglichkeiten hat man hierzu?

 

[E S]

Hi,

unter Linux ist das aber ganz einfach. logrotate sorgt dafür, dass die Meldungen von letzten Tag schön gepackt werden und löscht bei Festplattenmangel die älteren logs.

In meiner Acess.log stehen sämtliche IPs und deren Ziele schön säuberlich drinn und man kann bequem per "grep" nach der eigenen IP suchen und kann so Zugriffe feststellen.

Gruß
Elmar