am 14.09.09 daten gelöscht!

[Baddy]

hallo @all, ich hoffe ich bin hier richtig gelandet?

volgendes auf meinem server wurden am 14.09.09 daten gelöscht, kan ich irgendwo im system sehen wer die gelöscht hat?


den an sich haben nur zwei personen auf den server zugriff ich und meine freundinn

allerdings die daten die gelöscht wurden auf denen habe nur ich zugriff, und da ich die daten nicht gelöscht habe würde ich gerne herausfinden wollen wer oder was es war was mir die daten löscht.

hoffe mir kan jemand helfen?!?

nachtrag: soweit ich das beurteilen kan bin ich aber auch virenfrei... (avast am laufen)

MfG
Baddy

[Nobby1805]

keine Chance

und da ich die daten nicht gelöscht habe würde ich gerne herausfinden wollen wer oder was es war was mir die daten löscht.

Sag lieber, du hast sie nicht bewusst gelöscht

Inzwischen wirst du auch die Log-Files des DriveExtenders nicnt mehr finden (werden 7 Tage aufbewahrt) um dort evtuelle Unregelmäßigkeiten zu erkennen.

So wie es für mich aussieht, hat dort jemand etwas hinkopiert, dann gemerkt dass das das falsche Ziel war und dann versehentlich alles gelöscht

[Baddy]

nein der jemand kan nur ich sein

wen ich sie gelöscht hätte so hätte ich sie im papierkorb, den habe ich seit dem whs inbetrieb nahme noch nie geleert (demenstprechend voll iser auch)

dan hätte ich da die daten gefunden, du siehst die ansteigende kurve, da habe ich daten hinzu gefügt, danach mit dem whs nix mehr zu tun gehabt....

habe mir auch die daten kurven vion allen andern odernern angeschaut is in dem zeitraum nix hinzu gekommen so das ich es hätte ggv. verschoben haben können...

zumal wen ich nach den daten über die "Windows Search" suche suche hat er sie njoch drinnen kan aber nicht darauf zu greifen...

nachtrag: ok auch das geht nun nicht mehr....

[Nobby1805]

nein der jemand kan nur ich sein

wen ich sie gelöscht hätte so hätte ich sie im papierkorb, den habe ich seit dem whs inbetrieb nahme noch nie geleert (demenstprechend voll iser auch)

dan hätte ich da die daten gefunden, du siehst die ansteigende kurve, da habe ich daten hinzu gefügt, danach mit dem whs nix mehr zu tun gehabt....

habe mir auch die daten kurven vion allen andern odernern angeschaut is in dem zeitraum nix hinzu gekommen so das ich es hätte ggv. verschoben haben können...

zumal wen ich nach den daten über die "Windows Search" suche suche hat er sie njoch drinnen kan aber nicht darauf zu greifen...

nachtrag: ok auch das geht nun nicht mehr....

Jetzt hast du mich verblüfft, ich war bisher davon ausgegangen, dass der Papierkorb bei WHS-Shares nicht funktioniert ... habe das aber noch nie ausprobiert.
Außerdem lösche ich meist sowieso mit Shift-Del

[Baddy]

vieleicht ja von interesse


aber mein problem löst es nihct :/

ich bin der überzeugung das es jemand / etwas von ausem gewesen sein muss, nur denke mal sowas wird nicht gelogt ?!?

dir logst aus system32 hab ich schon durchgeschaut da find ich nix aufälliges und die ereignisse im system bei der computer verwaltung sagen auch nix aufschluss reiches....

müsste ich dafür ein zusatz tool implementieren? das wiklich alles logt? jede bewegung die auf dem server passiert (wirklich alles) ?

oder finde ich das doch irgenwo, wo ich nur nich weis wo ich noch schauen könnte?

[sTunTe]

Hallo Baddy.

Ich ahne schlimmes....

Wenn ich Dich richtig verstanden habe:
Hast Du Daten direkt auf dem WHS in Deine Freigabe
D:\Shares\Freigabenamen
kopiert, und nicht (wie es sich gehört) über
\\Servername\Freigabename
....
Sehe ich das richtig?

Falls dem so ist, kannst Du Dich mit ziemlicher Sicherheit von Deinen Daten verabschieden.
Ich vermute mal, dass der Demigrator dank der fehlenden Tombstones die Daten als "vom User gelöscht" betrachtet und diese dann auch in's Datennirvana befördert hat.

Daten immer über die Netzwerkumgebung in die Shares kopieren.
Auch wenn man direkt vor dem WHS sitzt!!!

Sorry.

@Norbert:
Nein, gelöschte Daten aus den Freigaben werden nicht in den Papierkorb des WHS abgelegt.
Hier gilt: Gelöscht ist gelöscht.
Der volle Papierkorb von Baddy erklärt sich durch oben genanntes (Fehl-)Verhalten.

Edit:
Wieso sehe ich da die Vistaoberfläche und den dazugehörigen Papierkorb?
Das ist nicht Dein WHS...

Edit2:
Alles klar, RDP....
Ich glaub ich brauch 'ne neue Brille.....


Gruß
sTunTe

[Nobby1805]

Wenn ich Dich richtig verstanden habe:
Hast Du Daten direkt auf dem WHS in Deine Freigabe
D:\Shares\Freigabenamen
kopiert, und nicht (wie es sich gehört) über
\\Servername\Freigabename
....
Sehe ich das richtig?

Falls dem so ist, kannst Du Dich mit ziemlicher Sicherheit von Deinen Daten verabschieden.
Ich vermute mal, dass der Demigrator dank der fehlenden Tombstones die Daten als "vom User gelöscht" betrachtet und diese dann auch in's Datennirvana befördert hat.

Daten immer über die Netzwerkumgebung in die Shares kopieren.
Auch wenn man direkt vor dem WHS sitzt!!!

Hallo sTunTe,

das ist jetzt schon zum 2x mal in kurzer Zeit das dieser Hinweis hier kommt .... Wieso ???? Aus meiner Sicht ist es KEIN Unterschied ob ich auf dem Server direkt d:... anspreche oder über die Freigabe gehe. Es wird auf jeden Fall auf D ein Tombstone angelegt und die Datei auf eine der Pool-Platte gespeichert. Das habe ich jetzt mehrfach getestet !! Danach kopiert dann irgendwann der DEmigrator die Daten bei Duplizierung auf die 2. Platte.

Was mich an dem Screenshot viel mehr stört ist, dass da anscheinend jemand Ordner auf D:/shares gelöscht hat

[sTunTe]

Hallo Norbert.

Aus meiner Sicht ist es KEIN Unterschied ob ich auf dem Server direkt d:... anspreche oder über die Freigabe gehe. Es wird auf jeden Fall auf D ein Tombstone angelegt und die Datei auf eine der Pool-Platte gespeichert. Das habe ich jetzt mehrfach getestet !! Danach kopiert dann irgendwann der DEmigrator die Daten bei Duplizierung auf die 2. Platte.

Wenn ich mich noch recht erinnere hatte ich mal das Problem, dass beim direkten Kopieren keine Dublikate angelegt wurden.
Das war allerdings noch vor PP1.
Möglicherweise hat MS hier Änderungen vorgenommen, so dass ein direktes Kopieren mittlerweile möglich ist.
Ich für meinen Teil bleib aber bei der üblichen Methode.
Mir sind meine Daten einfach zu wichtig...

Was mich an dem Screenshot viel mehr stört ist, dass da anscheinend jemand Ordner auf D:/shares gelöscht hat

Sieht so aus.


Gruß
sTunTe

[Nobby1805]

Wenn ich mich noch recht erinnere hatte ich mal das Problem, dass beim direkten Kopieren keine Dublikate angelegt wurden.
Das war allerdings noch vor PP1.

JA, das ist irgendwo beschrieben ... ist wohl mit PP1 geändert worden. So weit ich mich erinnere wurde "damals" die Datei direkt im Share angelegt und dann vom DEmigrator kopiert und durch den Tombstone ersetzt.

[Baddy]

*g* war nur zu faul zum ausschneiden bei dem scrren schoot hab den über remote desktop gemacht (über vista)

also der screen ist schon vom whs

zum kopieren, mache ich es immer über die "netzwerk freigaben" weils einfacher ist, wozu sollte ich da auch den umweg übern remote gehen, das währe mir zu kompliziert

aber nochmal zu meiner frage bitte, gibt es ne möglichkeit zu schauen ob es ein eingriff von aussen war (inet) "eindringling" der mir die daten gelöscht hat? (meinet wegen auch verschoben) wie die daten verschwunden sind is da ja nebensechlich, mich interessiert mehr wer und ob ich an die ggv wieder ean kommen kann.

zumal es daten in einem ordner wahre der sich auch SECURE nannte, schon komisch das es ausgerechnet der ist wo ich besonders wert drauf lege und kein anderer ....

aber schomals danke bis hier her

EDIT:
was den papierkorb angeht so lösche ich teilweise sachen über RDP wie man anhand des papierkorb inhaltes auch sieht experementiere ich teils rum, d.h. ich kopiere über netzwerk was auf meine "shares" und siehe die übern rdp auf den desctop um da zu basteln / probieren und wens nix is landets im müll, teils auch aus den shares heraus, aber dan eher zufall weil ich gerade übern RDP on bin und nicht im "netwerk" arbeite

hofe is einigermassen klar was ich miene ?!?

[Nobby1805]

aber nochmal zu meiner frage bitte, gibt es ne möglichkeit zu schauen ob es ein eingriff von aussen war (inet) "eindringling" der mir die daten gelöscht hat? (meinet wegen auch verschoben) wie die daten verschwunden sind is da ja nebensechlich, mich interessiert mehr wer und ob ich an die ggv wieder ean kommen kann.

du kannst ja mal versuchen, ob in den Log-Files des IIS noch etwas steht ... Hast du denn Browser-Access frei gegeben ? Wenn ja, wer kennt die Passworte dafür ?

zumal es daten in einem ordner wahre der sich auch SECURE nannte, schon komisch das es ausgerechnet der ist wo ich besonders wert drauf lege und kein anderer ....

Wie hast du diesen Ordner denn angelegt ? Über die Konsole ? oder "von Hand" auf ´c:\Shares ?

[sTunTe]

Hallo Baddy.

aber nochmal zu meiner frage bitte, gibt es ne möglichkeit zu schauen ob es ein eingriff von aussen war (inet) "eindringling" der mir die daten gelöscht hat?

Ein Angriff durch einen "normalsterblichen Fremden" ist praktisch auszuschließen...
Guckst Du hier:
viewtopic.php?p=18690#p18690
Und ein wirklicher Hacker/Cracker/whatever hat null Interesse an einem privat betriebenen Server.

Edit:
Oh man.... jetzt erst gesehen, dass Du den Thread schon kennst....
Wie gesagt: Ich brauch 'ne neue Brille....

Wie Norbert schon gesagt hat:
Schau Dir die LogFiles des IIS für den entsprechenden Tag an.
Ich denke aber, dass Du dort nichts finden wirst.
Bekanntlich sitzen 99% aller Fehler vor dem eigenen Monitor....


Gruß
sTunTe