Wer hat den Server runtergefahren?
Maxx666 20.02.2003 - 16:40 433 2
Maxx666
Kitemaniac
|
...bei uns in der Firma wurde ein Server runtergefahren. Leider gibt es zuviele "Admins", die dies können aber nicht dürften...
Schlauerweise wurde auch das Securitylog gelöscht.
Normalerweise wird aber beim Löschen des Securitylogs im neuem Log, der Eintrag gemacht, wer das alte gelöscht hat. Auch dieser Eintrag ist nicht vorhanden.
Kennt ihr eine Möglichkeit, trotzdem auf den Bösewicht zu kommen? Und wie löscht man die ersten 2 Eventeinträge, die nach einer Löschung gemacht werden?
|
AoD
aka AngelOfDeath
|
Sicher dass der Server nicht einfach ausgeschaltet wurde?
|
spunz
Super ModeratorSuper Moderator
|
einfach abschalten ist unwahrscheinlich, dann wären die logs nicht einfach leer.
es kommt mir komisch vor das unter security kein log vorhanden ist, das klingt fast als hätte jemand einen "root-kit" verwendet und sich ev eine hintertür geöffnet (auch eher unwahrscheinlich da er es gar etwas auffällig gemacht hat)
warum richtet ihr keine email bestätigung für jeden logon ein wenn ihr man den anderen admins nicht "trauen" kann? ein einfaches script mit einem snmp tool welches in der reg eingetragen wird wäre ausreichend um genau festzustellen wer sich wann einloggt.
|