Windows Client über Server herunterfahren um zu identifizieren

[Fireicke]

Hallo liebes Forum,

Server: Windows Server 2003

ich schildere gerade mal mein Fall:

In meiner Firma (unter 10 Mitarbeiter) also wirklich übersichtlich, musste ich letztens einen Laptop einrichten. Betriebssystem installiert, Netzwerktreiber installiert, plötzlich Fehlermeldung: Es gibt ein IP-Adressenkonflikt im Netzwerk...(IP ist .106) OKEY?:confused:

Bei uns laufen alle Clients auf DHCP und werden von .100 bis .200 vergeben, alle Clients oder Endgeräte mit festen IP's sind .1 bis .99. Also ich auf dem Server im DHCP nachgeguckt was los ist. Im DHCP ist auf der .106 der Laptop, welchen ich gerade am einrichten bin eingetragen. Hö komisch. Gut dachte ich, ok hat wieder irgendein Depp ne feste IP vergeben. Also Laptop ausm Netzwerk gezogen und Ping auf .106. bekommt antwort... hm.. Dann nslookup auf die IP sagte mir einen Pc mit dem Namen "DURON1300". Pff kp kenn ich nicht. Kollegen und Chef rumgefragt, keiner wollte solch einen Client haben. Dann habe ich in der AD geguckt, dort war auch der DURON1300 aufgeführt, unter Eigenschaften steht als Betriebssystem Windows XP Prof Service Pack 3... ok. Mittels ARP Befehl aufm Server auf die IP, habe ich die MAC Adresse von dem Gerät herausgefunden. Dann habe ich diese Mac bei unserem Managebarem Switch gesucht, und herausgefunden das diese auf Port 11 geht. Kabel vom Port 11 verfolgt, geht am Patch Panel in den Port mit der Beschriftung Chef Büro..

Chef Email geschrieben, nach nem halben Tag die Antwort: nö hat er nicht in seinem Büro.. Hmm, das komische ist das dieses Gerät dauerhaft seit 2 Wochen Pingbar ist aber niemand will das ding haben. Jetzt habe ich schon im AD das Computerkonto deaktiviert, sodass sich niemand mehr aus unserer Domäne dort anmelden kann. Ist aber auch noch nichts passiert. Remote Desktop auf diese IP funktioniert nicht, kann keine Ordner über \\............106 finden. Gibt es eventuell die Möglichkeit den PC von hier iwie runterzufahren, hab schon überall geschaut, auch den Befehl mit shutdown -m etc klappt alles nicht, da sagt er mir der Computername ist ungülig. Wie kann ich jezt noch vorgehen? Mir gehen die Ideen aus und Chef will bald mal ne Lösung..

Danke euch schonmal im Vorraus.

MfG

Fireicke

[afo]

Ihr seid ja nicht gerade ein riesiger Konzern.Warum klopfst du nicht einfach beim Chef an und fragst ihn nochmal direkt.

Andere Möglichkeit: Zieh das Kabel ab. Es wird sich schon wer beschweren. ;-)

[Fireicke]

also ich hatte klar schon persönlich mit ihm gesprochen und er hat mir versichert, dass er kein solches Gerät hat mit dieser IP geschweige denn diesen Namen.

Das Kabel vom Patch Panel kann ich nicht ziehen, da dort auch alle Arbeitsgeräte vom Chef dran hängen, somit hätte dieser dann keine Verbindung mehr und ich würde garantiert meine erste Abmahnung kassieren ^^

[afo]

Der Fall ist ganz einfach. Wenn an einem Port ein unbekanntes, nicht ausfindig zu machendes Gerät hängt dann ist dieser kompromittiert und es ist somit eigentlich sogar die Pflicht der IT diesen abzuklemmen.

Du wirst ums Testen nicht herumkommen.

1. Führt dieser Port tatsächlich aufs Büro vom Chef?

2. Führen noch andere Ports ins Büro vom Chef?

3. Hängt der Rechner vom Chef auch tatsächlich auf diesem Port?

4. Nachschauen!

Wie viele Ports habt ihr überhaupt? Mann, ihr seit 10 Leute. So viel kannd as nicht sein. In der Zeit in der du deine beiden Beiträge hier geschrieben hast hättest du auch kurz mal rumgehen und jeden Port unter die Lupe nehmen können.

[Fireicke]

also ich find deine Antwort ja schon fast frech. Ich meine ich stelle hier eine ganz normale Frage, die eigentlich darauf zu gehen sollte, ob ich den Zielrechner per IP ausfindig bzw. herunterfahren kann. Und egal was man schreibt, in solch Foren wird man immer wieder dargestellt als wäre man der größte Vollidiot.

Wir sind zwar ein kleines Unternehmen, aber wir haben trotzdem 2 Managebare Switches, einmal mit 48 Port und einmal mit 24 Port, da wir hier auch eigene Schulungsräume haben. Deine Frage ob der Port zum Chef geht, natürlich geht er dort hin. Ich war bei der Einrichtung dabei, die Ports sind ja nicht umsonst beschriftet. Die wurden alle gemessen, geprüft etc. Der Chef hat ca. 7 verschiedene Geräte in seinem Büro, welche alle verschiedene Tätigkeiten verrichten, und sogut wie alle davon dürfen nicht vom Netz gezogen werden, weil dort Daten von Mitarbeitern auserhalb und Kundendaten Live in einer Datenbank gesammelt werden. Somit fällt diese Möglichkeit weg, den ChefPort zu kappen. Nicht umsonst frage ich in diesem Forum ob es noch weitere Möglichkeiten gibt, denn auf diese Simplen Ideen wäre ich auch selbst gekommen.

Ich suche eher nach einer Lösung was ich über die IP in unserem Netz noch mit dem unbekannten Rechner oder Gerät anstellen kann. Herunterfahren, iwelche weiten Daten herausfinden, was auch immer.

[afo]

Wenn der Remote-Shutdown über shutdown -m (natürlich am besten mit Admin-Userdaten) nicht klappt und auch eine Remote-Desktopanmeldung nicht möglich ist, was soll dir dann noch übrig bleiben? Willst du mit metasploit drauffeuern bis das Gerät abstürzt oder du eine Shell bekommst?

Das größere Problem ist, daß du nur tröpfchenweise mit Informationen herausrückst.

Der Chef hat also 7 Geräte offiziell in seinem Büro. Wenn die auf einem Port hängen, dann wird er wohl nochmal seinen eigenen Switch haben, oder? Hängt da vielleicht noch ein achtes Gerät dran?

Wenn nein, sind die 7 Geräte wirklich alle so konfiguriert wie sie sein sollen?

Edit: Ich bleibe übrigens bei meiner Position vom kompromittierten Port. Was machst du wenn das ein Laptop ist der eine WLAN-Brücke in euer Intranet baut und jemand zieht damit fleißig Daten ab? ich weiß ja nicht in welcher Branche ihr seit. ;-)

Bearbeitet 18. April 2011 von afo

[schepp]

Schonmal mit nmap geguckt welche Dienste auf dem Rechner laufen / welche Ports offen sind?

Am Einfachsten wäre es wohl wenn Du Dir mal zusammen mit Deinem Chef seinen Switch in seinem Büro anguckst und die einzelnen Geräte auf ihre Konfiguration überprüfst. Du hast den Raum, was willst du jetzt noch lange herumsuchen?

Gruß

[afo]

Meine Rede. Aber er sitzt wohl lieber in seinem Stuhl. (Das war jetzt frech.)

[DocInfra]

Wenn jemand unbemerkt eine Kiste in das Netz hängt und auch noch in die Domäne hängen kann, dann hast du ein dickes Sicherheitsproblem. Daran solltest du arbeiten. Du weißt welcher Port? Du weißt welches Büro? Dann nimm das Büro auseinander. Auch wenn es das Büro vom Chef ist. Das ist DEIN Job.

[pantsoff]

Hallo,

also erstmal muss man dem TO zu Gute halten, dass er, wie in seinem ersten Post beschrieben, bereits viel unternommen hat, das Gerät ausfindig zu machen.

Eines würde mich aber interessieren, bei unter 10 Mitarbeitern hast du eine DHCP Range von ca. 100 IPs hast.

Hast du die ersten 24 Bits der Mac gegooglet? So hättest du schonmal den Hersteller, was eventuell helfen könnte. Bist du dir überhaupt sicher, dass das Endgerät ein PC/Laptop ist?

[Crash2001]

Da der Chef selber sagt, er hat kein derartiges Gerät in Betrieb, würde ich ihm sagen, dass du die Befürchtung hast, dass sich jemand in euer Netz gehackt hat und du ausfindig machen möchtest, wer/ wo dieses Gerät genau steht und was für ein Gerät es ist.

Vielleicht hat der Chef ja auch einfach einen Accesspoint dort stehen, der ungesichert ist und jemand von außen hat sich damit verbunden (evtl hat sich auch irgendwas automatisch damit verbunden dann, wie Spieleconsole oder sonst was, wobei Duron doch eher auf einen PC hindeuten würde).

Das sollte doch auch im Interesse des Chefs sein, dass dies geklärt wird und ihr kein unsicheres Netz habt.

Also falls dort ein AP stehen sollte, am besten mal draufschauen aufs Management, ob dort ein Gerät verbunden ist und falls noch nicht geschehen absichern mit WPA(2).

[DocInfra]

Da offenbar ein Computeraccount im AD vorhanden ist, fällt ein AP wohl raus. Wird wohl ein Rechner sein.

[afo]

Trotz allem würde mich ja jetzt interessieren was es war...

[Crash2001]

Da offenbar ein Computeraccount im AD vorhanden ist, fällt ein AP wohl raus. Wird wohl ein Rechner sein.

Ääähm ja klar wird das ein PC sein. Dieser könnte aber dennoch durchaus per AP an dem Switch im Büro deines Chefs angebunden sein, falls er nicht direkt per Kabel angeschlossen sein sollte...

Das könntest du überprüfen, indem du einfach mal nach WLANs scannst, ob da evtl ein unverschlüsseltes auftaucht.