19
Backup Job im Netzwerk finden
Hallo IT Speziallisten,
ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ? Ein ehemaliger Mitarbeiter aus der IT hat auf einen unbekannten Server oder vielleicht Client, einen Personal Backup Job angelegt, der ein mal im Monat ausgeführt wird. Dieser Job löscht einige hunderte cnc Programme aus dem Verzeichnis. Es war möglich die Programme aus den Schattenkopien wiederherzustellen ! Alle unsere Backup Jobs sind dokumentiert, außer dieser. Wir haben alle Server mit alles Benutzerprofile überprüft, leider ohne erfolg.
Vielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ? Ein ehemaliger Mitarbeiter aus der IT hat auf einen unbekannten Server oder vielleicht Client, einen Personal Backup Job angelegt, der ein mal im Monat ausgeführt wird. Dieser Job löscht einige hunderte cnc Programme aus dem Verzeichnis. Es war möglich die Programme aus den Schattenkopien wiederherzustellen ! Alle unsere Backup Jobs sind dokumentiert, außer dieser. Wir haben alle Server mit alles Benutzerprofile überprüft, leider ohne erfolg.
Vielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 388248
Url: https://administrator.de/contentid/388248
Printed on: April 19, 2024 at 10:04 o'clock
19 Comments
Latest comment
Hi,
schaue doch auf dem initiierenden Rechner, da sollte ja iwo der Link hinterlegt sein, welchen Job er abzuarbeiten hat.
Gruß
Edita: Je nach dem wie euer Netzwerk aufgebaut ist, kann man mit nach einer bestimmten Dateiendung absuchen lassen. In deinem Fall. *.buj im Explorer im Suchfeld mal eingeben. Ggf. hast Du Glück.
schaue doch auf dem initiierenden Rechner, da sollte ja iwo der Link hinterlegt sein, welchen Job er abzuarbeiten hat.
Gruß
Edita: Je nach dem wie euer Netzwerk aufgebaut ist, kann man mit
*.DATEIENDUNG
HI,
der initiierender Rechner ist unbekannt. Die Daten die gelöscht werden liegen auf unserem Fileserver. Auf den Fileserver selbst, konnte weder in der Ereignisanzeige noch in der Aufgabenplanung etc. etwas herausgefunden werden.
der initiierender Rechner ist unbekannt. Die Daten die gelöscht werden liegen auf unserem Fileserver. Auf den Fileserver selbst, konnte weder in der Ereignisanzeige noch in der Aufgabenplanung etc. etwas herausgefunden werden.
Hallo,
Mal ein ganz anderer Ansatz:
Der Zeitpunkt, wann dieser Job aktiv wird ist bekannt?
Wenn du Rechte des betreffenden Ordners am Fileserver total verweigerst bzw. diesen umbenennst, taucht evtl. beim ausführenden Rechner eine Fehlermeldung auf.
Gruß
eisbein
Mal ein ganz anderer Ansatz:
Der Zeitpunkt, wann dieser Job aktiv wird ist bekannt?
Wenn du Rechte des betreffenden Ordners am Fileserver total verweigerst bzw. diesen umbenennst, taucht evtl. beim ausführenden Rechner eine Fehlermeldung auf.
Gruß
eisbein
Im Sicherheitsprotokoll vom Server müsste zum Startzeitpunkt die Anmeldung stehen inkl. Rechnernamen. Ich weiß ist lang aber nützt ja nichts. Ggf dann mit filtern arbeiten.
Alternativ "Datei Protokollierung" auf dem Server aktivieren damit sollte sich das Recht schnell finden lassen. Achtung hier beim Datenschutz.
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
Alternativ "Datei Protokollierung" auf dem Server aktivieren damit sollte sich das Recht schnell finden lassen. Achtung hier beim Datenschutz.
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
Moin,
mach doch eine Startup GPO und durchsuche alle lokalen Laufwerke und lass das Ergebnis in eine Textdatei_Computername auf dem Server laufen.
Was macht Dich so sicher, dass es ein Backupjob ist mit genau dieser Endung und nicht ein Task der eine CMD o.ä. aufruft?
Gruss
mach doch eine Startup GPO und durchsuche alle lokalen Laufwerke und lass das Ergebnis in eine Textdatei_Computername auf dem Server laufen.
Was macht Dich so sicher, dass es ein Backupjob ist mit genau dieser Endung und nicht ein Task der eine CMD o.ä. aufruft?
Gruss
Zitat von @UnbekannterNR1:
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
Nicht wenn das unter einem anderen (System)-Account läuft.
Moin,
alle infragekommenden Freigaben auf einen LW-Buchstaben mappen und dann:
Dann bekommst Du alle Dateien auf allen Laufwerken angezeigt. Zusätzlich auch noch die Registry-Keys aus HKCU und HKLM, in denen die Endung auftaucht.
<edit>Das -ErrorAction Silently Continue dient zur Unterdrückung der Fehlermeldungen bei Verzeichnissen, auf die der User keinen Zugriff hat.</edit>
hth
Erik
alle infragekommenden Freigaben auf einen LW-Buchstaben mappen und dann:
Get-PSDrive | % {$drive=$_.name + ":\" ;cd $drive ;get-childitem *.buj -recurse -ErrorAction SilentlyContinue} Dann bekommst Du alle Dateien auf allen Laufwerken angezeigt. Zusätzlich auch noch die Registry-Keys aus HKCU und HKLM, in denen die Endung auftaucht.
<edit>Das -ErrorAction Silently Continue dient zur Unterdrückung der Fehlermeldungen bei Verzeichnissen, auf die der User keinen Zugriff hat.</edit>
hth
Erik
Zitat von @sabines:
Nicht wenn das unter einem anderen (System)-Account läuft.
Zitat von @UnbekannterNR1:
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
PS: Ihr solltet euer Gesamtkonzept wohl nochmal Prüfen den Account des Mitarbeiters habt Ihr ja sicherlich gesperrt. Das sollte dann auch alle seine Jobs automatisch deaktivieren.
Nicht wenn das unter einem anderen (System)-Account läuft.
und insbesondere dann sollte das Gesamtkonzept geprüft werden.
Moin..
was macht dich so sicher das es ein Personal Backup Job ist? könnte ja auch ein script sein!
an deiner stelle würde ich als erstes das CNC verzeichnis umbenennen, und die freigaben dazu neu erstellen!
Frank
Zitat von @hukahu23489:
Hallo IT Speziallisten,
ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ?
ja klar...Hallo IT Speziallisten,
ich bin am verzweifeln. Gibt es eine Möglichkeit, über das gesamte Netzwerk nach einem bestimmten Dateityp zu suchen ?
Ein ehemaliger Mitarbeiter aus der IT hat auf einen unbekannten Server oder vielleicht Client, einen Personal Backup Job angelegt, der ein mal im Monat ausgeführt wird.
kannst du den ex mitarbeiter nicht mal fragen?was macht dich so sicher das es ein Personal Backup Job ist? könnte ja auch ein script sein!
Dieser Job löscht einige hunderte cnc Programme aus dem Verzeichnis. Es war möglich die Programme aus den Schattenkopien wiederherzustellen !
gut, aber diese datein sind doch wohl auch in der datensicherung oder?an deiner stelle würde ich als erstes das CNC verzeichnis umbenennen, und die freigaben dazu neu erstellen!
Alle unsere Backup Jobs sind dokumentiert, außer dieser. Wir haben alle Server mit alles Benutzerprofile überprüft, leider ohne erfolg.
Vielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
Gruß FrankVielleicht gibt eine Möglich über ein PS script, due Dateiendung .buj im gesamten Netzwerk ausfindig zu machen ? Danke
Frank
Moin,
mich wunder das hier niemand die Installation des Ressourcen Managers auf dem Fileserver vorschlägt.
Dort einen Überwachungsjob auf die entsprechende Dateiendung anlegen und schauen woher es kommt.
So sollte im übrigen auch mit Crypto-Trojaner verfahren werden da dieses sich sonst gerne selbst löschen oder verstecken.
Gruß
Spirit
mich wunder das hier niemand die Installation des Ressourcen Managers auf dem Fileserver vorschlägt.
Dort einen Überwachungsjob auf die entsprechende Dateiendung anlegen und schauen woher es kommt.
So sollte im übrigen auch mit Crypto-Trojaner verfahren werden da dieses sich sonst gerne selbst löschen oder verstecken.
Gruß
Spirit
Hi,
klar, es könnte auch ein bat script oder eine .cmd sein. Der Ex-Mitarbeiter kann sich leider an nichts erinnern. Ja die CNC-programme sind in der Datensicherung. Das CNC-Verzeichnis kann ich unmöglich unbenennen. Viele Maschinen in der Produktion zeigen auf diesem Pfad, es wäre ein desaster alles neu einrichten zu müssen.
Ich werde wohl ein script erstellen, dass nach .buj .bat .cmd sucht und eine Checkliste mit allen Server und Clients machen, die diesen einen Job ausgeführt haben könnten. Fakt ist dass, der Job immer um 1:00 nach Mitternacht ausgeführt wird ( einmal im Monat ).
klar, es könnte auch ein bat script oder eine .cmd sein. Der Ex-Mitarbeiter kann sich leider an nichts erinnern. Ja die CNC-programme sind in der Datensicherung. Das CNC-Verzeichnis kann ich unmöglich unbenennen. Viele Maschinen in der Produktion zeigen auf diesem Pfad, es wäre ein desaster alles neu einrichten zu müssen.
Ich werde wohl ein script erstellen, dass nach .buj .bat .cmd sucht und eine Checkliste mit allen Server und Clients machen, die diesen einen Job ausgeführt haben könnten. Fakt ist dass, der Job immer um 1:00 nach Mitternacht ausgeführt wird ( einmal im Monat ).
Zitat von @hukahu23489:
Hi,
klar, es könnte auch ein bat script oder eine .cmd sein. Der Ex-Mitarbeiter kann sich leider an nichts erinnern. Ja die CNC-programme sind in der Datensicherung. Das CNC-Verzeichnis kann ich unmöglich unbenennen. Viele Maschinen in der Produktion zeigen auf diesem Pfad, es wäre ein desaster alles neu einrichten zu müssen.
Ich werde wohl ein script erstellen, dass nach .buj .bat .cmd sucht und eine Checkliste mit allen Server und Clients machen, die diesen einen Job ausgeführt haben könnten. Fakt ist dass, der Job immer um 1:00 nach Mitternacht ausgeführt wird ( einmal im Monat ).
Hi,
klar, es könnte auch ein bat script oder eine .cmd sein. Der Ex-Mitarbeiter kann sich leider an nichts erinnern. Ja die CNC-programme sind in der Datensicherung. Das CNC-Verzeichnis kann ich unmöglich unbenennen. Viele Maschinen in der Produktion zeigen auf diesem Pfad, es wäre ein desaster alles neu einrichten zu müssen.
Ich werde wohl ein script erstellen, dass nach .buj .bat .cmd sucht und eine Checkliste mit allen Server und Clients machen, die diesen einen Job ausgeführt haben könnten. Fakt ist dass, der Job immer um 1:00 nach Mitternacht ausgeführt wird ( einmal im Monat ).
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Zitat von @Spirit-of-Eli:
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Wie willst Du damit lokale Dateien suchen und damit die vermutliche Ursache des Problems beheben?
Zitat von @sabines:
Wie willst Du damit lokale Dateien suchen und damit die vermutliche Ursache des Problems beheben?
Zitat von @Spirit-of-Eli:
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Dafür ist kein Script nötig. Der gangbare Weg läuft über den Ressourcen Manager.
Diese Anleitung hilft die Konfiguration für dich zu adaptieren:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Wie willst Du damit lokale Dateien suchen und damit die vermutliche Ursache des Problems beheben?
Zugriffe monitoren und ggf. blocken. Dann steht fest woher und mit welchem User die Aktion ausgeführt wurde.
Das macht man üblicherweise nicht mit dem FSRM.
Hi
Und ne CNC Maschine ist es nicht zufälligerweise die einmal im Monat was auch immer tut zb neustarten und deine Daten löscht ?
Oder meinst du mit Maschine ein Computer System?
Welche Systeme laufen den nachts um 1 Uhr ???
Büro Arbeitsplätze sind es hoffentlich nicht.
Mit freundlichen Grüßen Nemesis
Und ne CNC Maschine ist es nicht zufälligerweise die einmal im Monat was auch immer tut zb neustarten und deine Daten löscht ?
Oder meinst du mit Maschine ein Computer System?
Welche Systeme laufen den nachts um 1 Uhr ???
Büro Arbeitsplätze sind es hoffentlich nicht.
Mit freundlichen Grüßen Nemesis
Hi,
nein, wir haben eine Fertigungsstraße mit mehreren Maschinen-Computer, die auf den Fileserver lesend zugreifen.
nein, wir haben eine Fertigungsstraße mit mehreren Maschinen-Computer, die auf den Fileserver lesend zugreifen.
Hallo,
Vielleicht ist ja noch etwas im Ereignisprotokoll..
Gruß,
Peter
Zitat von @hukahu23489:
nein, wir haben eine Fertigungsstraße mit mehreren Maschinen-Computer, die auf den Fileserver lesend zugreifen.
Schau doch mal beim Hersteller ob der dir helfen kann um zu ermiiteln wo und von welchem PC aus es gemacht wird. Das Programm kann installiert sein, muss es aber nicht. Es kann gescriptet sein, muss es aber nicht. http://personal-backup.rathlev-home.de/index-e.html dort steht das es auch vom USB Stick gestartet werden kann... Hast du den ausführende PC gefunden sollte sich der rest leichter nachvollziehen lassen, vor allem wenn es nur einmal im Monat laufen tut. Und ja, manche ehemaligen haben tatsächlich (auch unter Androhung von Gewalt) alles vergessennein, wir haben eine Fertigungsstraße mit mehreren Maschinen-Computer, die auf den Fileserver lesend zugreifen.
Vielleicht ist ja noch etwas im Ereignisprotokoll..Gruß,
Peter
Guten Tag,
ich wollte nur mal berichten, dass ich nun das Problem lösen konnte. Über die Ereignisanzeige des Fileservers habe ich den Zeitraum eingegrenzt und einen verdächtigen Task ausfindig gemacht. Der Task führt zum 1. eines jeden Monats ein Powershell script aus, dass lokal auf den Fileserver abgelegt war.
MFG
ich wollte nur mal berichten, dass ich nun das Problem lösen konnte. Über die Ereignisanzeige des Fileservers habe ich den Zeitraum eingegrenzt und einen verdächtigen Task ausfindig gemacht. Der Task führt zum 1. eines jeden Monats ein Powershell script aus, dass lokal auf den Fileserver abgelegt war.
MFG
