Toon posts:

Bestanden gebruikt/Gekopieerd?

Pagina: 1
Acties:

zaterdag 15 februari 2014 16:26

Acties:
  • 0 Henk 'm!
  • MrMilco
  • Registratie: Februari 2011
  • Laatst online: 18-10 12:20

MrMilco

Topicstarter
Hallo Mede-Tweakers,

Ik heb een vraag,

Ik heb thuis een Home-Server staan, met Windows server 2008, en daar is op ingebroken ( wat ik kan zien ik windows Logboeken)

Dit komt van buitenlandse ip's en is gebeurd via een rdp verbinding ( vermoedelijk)

Het begon allemaal op 31-01-2014 - 19:10

Nu heb ik met de politie gesproken, en daar verneem ik van, dat er data buit gemaakt moet zijn, Maar hoe kom ik hier achter. Is er een simpel tooltje voor te vinden in windows, of is er 1 voor te downloaden?

Ik hoor het graag. Zodra ik weet of er iets is buitgemaakt, kan ik andere stappen ondernemen.

Groeten,
Milco

Edit: er staat geen enkele poort open in de modem, dus hierdoor kunnen ze er ook niet in zijn gekomen

[ Voor 7% gewijzigd door MrMilco op 15-02-2014 16:28 ]

Geluidsoverlast??? Als je de politie moet sms'en omdat ze het niet verstaan dat is geluidsoverlast!!!

maandag 17 februari 2014 12:47

Acties:
  • 0 Henk 'm!
  • LnC
  • Registratie: Juni 2005
  • Laatst online: 03-08 11:16

LnC

The offending line...

Kan je terugzien in je logs onder welke user te zijn binnen gekomen? Misschien kan je zo achterhalen waar ze precies zijn geweest.
EventLog Analyzer misschien iets? En Privileged User Monitoring and Auditing (PUMA) Reports.
Met beide geen ervaring mee.

maandag 17 februari 2014 16:12

Acties:
  • 0 Henk 'm!
  • MrMilco
  • Registratie: Februari 2011
  • Laatst online: 18-10 12:20

MrMilco

Topicstarter
LnC schreef op maandag 17 februari 2014 @ 12:47:
Kan je terugzien in je logs onder welke user te zijn binnen gekomen? Misschien kan je zo achterhalen waar ze precies zijn geweest.
EventLog Analyzer misschien iets? En Privileged User Monitoring and Auditing (PUMA) Reports.
Met beide geen ervaring mee.
Jup. onder de "Administrator" account, dus ze kunnen overal zijn geweest.
Zaak ligt ondertussen al bij de politie, aangezien ze 1 grote fout hebben gemaakt. Nederlandse ip's... Hier kan de politie eigenlijk alleen wat mee, als het alleen buitenland was geweest was er niets mogelijk.

Ben vanmorgen op het bureau geweest... lange zit gehad, moest ook uitleggen hoe ik aan al die ip's kwam :/
Morgen wordt ik als het goed is gebeld door iemand van de afdeling die dat met de ict delicten doet, en dan is het even afwachten... Stonden wel bepaalde belangrijke bestanden op, zoals wachtwoorden, dus die worden ook allemaal gewijzigd :(

Geluidsoverlast??? Als je de politie moet sms'en omdat ze het niet verstaan dat is geluidsoverlast!!!

maandag 17 februari 2014 16:17

Acties:
  • 0 Henk 'm!
  • Schumaster
  • Registratie: Januari 2007
  • Laatst online: 18-10 13:34

Schumaster

MrMilco schreef op maandag 17 februari 2014 @ 16:12:
[...]


Jup. onder de "Administrator" account, dus ze kunnen overal zijn geweest.
Zaak ligt ondertussen al bij de politie, aangezien ze 1 grote fout hebben gemaakt. Nederlandse ip's... Hier kan de politie eigenlijk alleen wat mee, als het alleen buitenland was geweest was er niets mogelijk.

Ben vanmorgen op het bureau geweest... lange zit gehad, moest ook uitleggen hoe ik aan al die ip's kwam :/
Morgen wordt ik als het goed is gebeld door iemand van de afdeling die dat met de ict delicten doet, en dan is het even afwachten... Stonden wel bepaalde belangrijke bestanden op, zoals wachtwoorden, dus die worden ook allemaal gewijzigd :(
Er staat geen enkele poort open, maar toch is er vanaf een extern IP RDP-verbinding gemaakt?
Zou ik toch maar eens heel goed de config van je router nakijken...
En wie zegt dat die Nederlandse IP's niet gespoofed zijn, danwel via een VPN oid?

Reken er vooral niet teveel op dat de politie hier ook maar iets serieus mee gaat doen, ze hebben het druk genoeg met andere dingen...

maandag 17 februari 2014 16:19

Acties:
  • 0 Henk 'm!
  • MrMilco
  • Registratie: Februari 2011
  • Laatst online: 18-10 12:20

MrMilco

Topicstarter
Schumaster schreef op maandag 17 februari 2014 @ 16:17:
[...]


Er staat geen enkele poort open, maar toch is er vanaf een extern IP RDP-verbinding gemaakt?
Zou ik toch maar eens heel goed de config van je router nakijken...
En wie zegt dat die Nederlandse IP's niet gespoofed zijn, danwel via een VPN oid?

Reken er vooral niet teveel op dat de politie hier ook maar iets serieus mee gaat doen, ze hebben het druk genoeg met andere dingen...
Heb de modem goed nagekeken, geen enkele poort staat geforward naar de server.

Nederlandse ip is 1 van een provider hier in nederland. Ik kan er niet teveel over zeggen, maar daar vestig ik toch een beetje mijn hoop op O-)

Ja, ze moeten zelf weten wat ze eraan doen... Maar aangezien er een ip van een lokaal bedrijf bij zat, denk ik dat ze iets meer actie gaan ondernemen

Geluidsoverlast??? Als je de politie moet sms'en omdat ze het niet verstaan dat is geluidsoverlast!!!

maandag 17 februari 2014 16:20

Acties:
  • 0 Henk 'm!
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Achteraf is het lastig te zien. Je hebt er systemen voor die het monitoren, maar dat moet je al hebben draaien voor zij zijn begonnen. In verschillende logs kun je wel zien waar verbindingen zijn gemaakt, maar daar ben je al achter vermoed ik zo. De politie wil die gegevens van je hebben omdat je volgens de wet "recherchewerk" hebt uitgevoerd. Aangezien je het niet-commercieel hebt gedaan en voor jezelf kan dat niet veel kwaad, maar voor het politiedossier is het nodig om te weten wat je hebt gevonden en op welke manier. Hebben zij je systeem al veilig gesteld?

Ik zou er domweg van uit gaan dat ze alle gegevens van je hebben die beschikbaar waren. Had je een veilig wachtwoord ten tijde dat zij binnen zijn gekomen?
MrMilco schreef op maandag 17 februari 2014 @ 16:19:
[...]
Heb de modem goed nagekeken, geen enkele poort staat geforward naar de server.
Mogelijkerwijs malware die de poort van binnen heeft geopend. Een NAT-router is dom genoeg om een uitgaande verbinding altijd toe te staan ...

[ Voor 19% gewijzigd door w4rguy op 17-02-2014 16:21 ]

All-Round nerd | iRacing Profiel

maandag 17 februari 2014 16:24

Acties:
  • 0 Henk 'm!
  • MrMilco
  • Registratie: Februari 2011
  • Laatst online: 18-10 12:20

MrMilco

Topicstarter
w4rguy schreef op maandag 17 februari 2014 @ 16:20:
Achteraf is het lastig te zien. Je hebt er systemen voor die het monitoren, maar dat moet je al hebben draaien voor zij zijn begonnen. In verschillende logs kun je wel zien waar verbindingen zijn gemaakt, maar daar ben je al achter vermoed ik zo. De politie wil die gegevens van je hebben omdat je volgens de wet "recherchewerk" hebt uitgevoerd. Aangezien je het niet-commercieel hebt gedaan en voor jezelf kan dat niet veel kwaad, maar voor het politiedossier is het nodig om te weten wat je hebt gevonden en op welke manier. Hebben zij je systeem al veilig gesteld?

Ik zou er domweg van uit gaan dat ze alle gegevens van je hebben die beschikbaar waren. Had je een veilig wachtwoord ten tijde dat zij binnen zijn gekomen?
Recherche werk wil ik het niet noemen, staat zelfs in mijn schoolboek hoe het moet O-) , maar nee, omdat ik beter bij een agent aangifte kon doen, die over de ict ging, dan bij een "normale" Aangezien dat meer nut had vonden ze. Ik heb wel de tip meegekregen, om er nu niets meer mee te doen.

Morgen heb ik contact met de desbetreffende agent, om te kijken hoe en wat. Van mij mogen ze de server meenemen, op dit moment heb ik er toch niets aan.

Ja, ik had een "Veilige Wachtwoord" bestaande uit, Hoofdletters, Kleine letters, Leestekens & Cijfers.... Maar je moet nagaan, er is meer dan 34.000 keer geprobeerd om in te loggen op de server :O

Virussen worden dagelijks gescand, maar malware e.d. ligt soms nog een beetje achter...

Geluidsoverlast??? Als je de politie moet sms'en omdat ze het niet verstaan dat is geluidsoverlast!!!

maandag 17 februari 2014 16:50

Acties:
  • 0 Henk 'm!
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

MrMilco schreef op maandag 17 februari 2014 @ 16:24:
[...]


Recherche werk wil ik het niet noemen, staat zelfs in mijn schoolboek hoe het moet O-) , maar nee, omdat ik beter bij een agent aangifte kon doen, die over de ict ging, dan bij een "normale" Aangezien dat meer nut had vonden ze. Ik heb wel de tip meegekregen, om er nu niets meer mee te doen.

Morgen heb ik contact met de desbetreffende agent, om te kijken hoe en wat. Van mij mogen ze de server meenemen, op dit moment heb ik er toch niets aan.

Ja, ik had een "Veilige Wachtwoord" bestaande uit, Hoofdletters, Kleine letters, Leestekens & Cijfers.... Maar je moet nagaan, er is meer dan 34.000 keer geprobeerd om in te loggen op de server :O

Virussen worden dagelijks gescand, maar malware e.d. ligt soms nog een beetje achter...
Brute force...

Helaas moet ik je vertellen dat je volgens de wet wel aan het rechercheren bent geweest. Ik ben zelf in het bezit van het diploma Particulier Onderzoeker en op mijn werk hebben we te maken met dit soort zaken. Rechercheren wordt door de politie gezien als elke vorm van onderzoek om een verstoring te onderzoeken. Als je tijdens dit onderzoek mogelijk tekenen van een strafbaar feit tegen komt ben je aan het rechercheren.

Ik vind het persoonlijk ook te ver gaan, maar afijn, ik ben niet degene die het bepaalt.

Desalniettemin, heb je het zonder financieel gewin (commercie) uitgevoerd en kan het dus geen kwaad en dien je niet in het bezit te zijn van de "gele pas". De politie wil alleen weten wat je hebt onderzocht omdat de verdedigende partij jouw bewijs onrechtmatig zal proberen te verklaren. De politie helpt je om je bewijs rechtsgeldig te maken.

All-Round nerd | iRacing Profiel

maandag 17 februari 2014 16:53

Acties:
  • 0 Henk 'm!
  • MrMilco
  • Registratie: Februari 2011
  • Laatst online: 18-10 12:20

MrMilco

Topicstarter
w4rguy schreef op maandag 17 februari 2014 @ 16:50:
[...]


Brute force...

Helaas moet ik je vertellen dat je volgens de wet wel aan het rechercheren bent geweest. Ik ben zelf in het bezit van het diploma Particulier Onderzoeker en op mijn werk hebben we te maken met dit soort zaken. Rechercheren wordt door de politie gezien als elke vorm van onderzoek om een verstoring te onderzoeken. Als je tijdens dit onderzoek mogelijk tekenen van een strafbaar feit tegen komt ben je aan het rechercheren.

Ik vind het persoonlijk ook te ver gaan, maar afijn, ik ben niet degene die het bepaalt.

Desalniettemin, heb je het zonder financieel gewin (commercie) uitgevoerd en kan het dus geen kwaad en dien je niet in het bezit te zijn van de "gele pas". De politie wil alleen weten wat je hebt onderzocht omdat de verdedigende partij jouw bewijs onrechtmatig zal proberen te verklaren. De politie helpt je om je bewijs rechtsgeldig te maken.
Oke, noujaa... heb er geen hinder van als ze me daarvoor ondervragen, zolang ze er maar iets mee doen. Vind het wel jammer dat ik naderhand niet kan kijken of er iets met mappen is gedaan :( maarjaa... goede leer voor de volgende keer. Denk als alles achter de rug is dat er een FreeNAS komt, veel doe ik er toch niet mee, ja bestandsopslag :P

Geluidsoverlast??? Als je de politie moet sms'en omdat ze het niet verstaan dat is geluidsoverlast!!!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq