Zum Inhalt wechseln


Foto

Microsoft Web Seite nicht erreichbar


  • Bitte melde dich an um zu Antworten
51 Antworten in diesem Thema

#31 Herby70

Herby70

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Januar 2009 - 19:53

@Djmaker & Gulp

Wo Ihr recht habt, habt Ihr recht....

ABER: 50 Server mit Exchange 2003 / 2007 und Teil- wie Vollreplikaten mit ca 850GB Public Datenbank und alles in allem gegen 700 user mit entprechenden Userhomes und Postfächer etc einfach so mal neu installieren?! :suspect:

Da wir aber sowieso vor haben dieses Jahr die ganze Serverfarm zu virtualisieren, wir sich das neu aufsetzten so zum Glück "von alleine" erledigen :cool:

Was mich nun noch interessieren würde ist;
- Warum war des Root Kit "nur" auf den Servern und nicht auch auf allen Arbeitstationen??
- Wer oder was hat mir das Root Kit "eingeschleppt"

Jo, greetz @ all
Herby

#32 Gulp

Gulp

    Expert Member

  • 3.969 Beiträge

 

Geschrieben 08. Januar 2009 - 20:14

Da sag ich nur:

Microsoft: Kunden spielen "Russisches Roulette" mit ihren Systemen

ABER: 50 Server mit Exchange 2003 / 2007 und Teil- wie Vollreplikaten mit ca 850GB Public Datenbank und alles in allem gegen 700 user mit entprechenden Userhomes und Postfächer etc einfach so mal neu installieren?!


Tut mir leid aber Dein ABER kann ich nicht gelten lassen, es ist meines Erachtens grob fahrlässig seine Systeme nicht rechtzeitig zu patchen und dann zusätzlich offenbar ohne Virenschutz laufen zu lassen. Da spielt weder die Menge an Systemen oder zu erwartender Arbeit eine Rolle.

Was mich nun noch interessieren würde ist;
- Warum war des Root Kit "nur" auf den Servern und nicht auch auf allen Arbeitstationen??
- Wer oder was hat mir das Root Kit "eingeschleppt"


zu Frage 1: Vermutlich haben die Workstations den Patch wohl schon erhalten oder deren Virensignaturen waren aktuell.

zu Frage 2: Vermutlich hat man vergessen die Internetverbindung auf den betroffenen Servern zu sichern, der Patch war/ist nicht installiert, es gibt Benutzerkonten auf den Servern oder im AD mit einfach zu erratenden Passwörtern und/oder die Virensignaturen waren/sind nicht aktuell. Zudem kann der Wurm auch von gepachten Workstations mit Internetkontakt auf die Server per RPC gelangt sein, er hat unter anderem eine BrutForce Passwordliste an Bord um sich über die Administrativen Freigaben zu verbreiten.

Da wir aber sowieso vor haben dieses Jahr die ganze Serverfarm zu virtualisieren, wir sich das neu aufsetzten so zum Glück "von alleine" erledigen


Con****er schlägt bei Kärntner Regierung zu

Wenn ich aus dem Artikel Sachen wie:

Der Wurm versuchte gespeicherte Daten und insbesondere Passwörter auszuspähen und über das Internet zu transferieren, .......

lese kann ich nur sagen:

Na dann fangt am besten direkt mit den Neuinstallationen an! .... und ändert gleich alle Eure Passwörter!


Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#33 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 08. Januar 2009 - 20:23

ABER: 50 Server mit Exchange 2003 / 2007 und Teil- wie Vollreplikaten mit ca 850GB Public Datenbank und alles in allem gegen 700 user mit entprechenden Userhomes und Postfächer etc einfach so mal neu installieren?! :suspect:


Ja, jetzt hast du einen Grund um mal Gesamthaft euer Sicherheitskonzept zu überarbeiten. Evtl. Sinnvoll wenn ihr euch noch externe Hilfe dazuholt - Betriebsblindheit ist gefährlich.

#34 Herby70

Herby70

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Januar 2009 - 20:57

Jo folks..

Lest mal den ersten Eintrag hier im tread..

Da steht:

Auf allen Servern sind die aktuellen Service Pack's und Updates installiert.
Virenschutz ist Norman ab einem (1) Verteilserver.

Die Clients erhalten die Patch's per WSUS und die Virensignaturen ab dem Verteilserver, und sonst von niergends.
Virensignaturen werden sogar 4x täglich angefordert..

Und da soll unser System nicht geschützt sein?

Das mit dem Passwörterwechsel ist auf jeden Fall eine gute Idee, soviel ist klar.
Auch wird das Sicherheitssystem überdacht, neues Viren- Mailware konzept mit neuer Software etc..
und wie gehabt, wir werden bald möglichst mit der virtualisierung beginnen, somit fallen die alten Server raus.

Aber lassen wir das, das gehört sonst OT..

Danke allen für die Hilfe!
Greetz @ all
Herby

#35 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 08. Januar 2009 - 21:03

Wie jetzt: Hast Du einen Server direkt ohne weiteren Schutz am Internet ?

Das ist Grob fahrlässig. Da gehört 'ne anständige Firewall davor, und damit meine ich nicht das Software-Teil im Windows. Wenn, dann der ISA-Server von MS.

Der Remote-Clients sollten sich über eine gesicherte VPN-Verbindung einwählen, sonst nix. Eventuell in Kombination mit den neun NAP-Features in Windows XP SP3 und Vista ( Network Access Protection )


PS: Der Norman-Scanner gehörht nicht gerade zu den Besten Produkten:

http://www.virusbtn....news/2008/09_02

-Zahni

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#36 Herby70

Herby70

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Januar 2009 - 21:27

Lest den 1. Artikel!!!

- Alle Hardware neu gestartet, inkl Firewall, Router und Switch's

Juniper Firewall SSG 140 und ISA im Datacenter, SSG 5 VPN in den Niederlassungen etc..

Bitte wenn, denn erst alles von Anfang an lesen, ab erstem Eintrag!
Wobei ich dachte dass man hier Hilfe erhält und nicht dummes gemecker.. :suspect:

So, ich bin dann hier raus
Herby

#37 Gulp

Gulp

    Expert Member

  • 3.969 Beiträge

 

Geschrieben 08. Januar 2009 - 21:37

Lest den 1. Artikel!!!

- Alle Hardware neu gestartet, inkl Firewall, Router und Switch's

Juniper Firewall SSG 140 und ISA im Datacenter, SSG 5 VPN in den Niederlassungen etc..

Bitte wenn, denn erst alles von Anfang an lesen, ab erstem Eintrag!
Wobei ich dachte dass man hier Hilfe erhält und nicht dummes gemecker.. :suspect:

So, ich bin dann hier raus
Herby


Hat ja wirklich viel genutzt wenn man den Thread hier so verfolgt ..... und scheint ja auch ne echt sichere Sache zu sein Eure Config, war wohl nur ein virtueller Wurm oder ne Fata Morgana.

Zu schade wenn man die Wahrheit nicht vertragen kann, aber wie nannte Lukas das ..... Betriebsblindheit.

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#38 Jim di Griz

Jim di Griz

    Board Veteran

  • 828 Beiträge

 

Geschrieben 08. Januar 2009 - 21:58

hallo nochmal :)

apropos isa, kannst du nicht die logs (isa und firewall) nach den adressen durchsuchen ?
waere microsoft korrekt aufgelöst worden hättest ihr garnichts gemerkt, das finde ich gefährlich.

Ich würde den Ärger ueber die Beitraege hier runterschlucken.
Viele Aspekte an der Angelegenheit sind offen und es kann wirklich nicht schaden das netz und die clients mal etwas sorgfältiger zu betrachten.

mich wuerde es hoellisch aergern nicht zu wissen woher die attacke kam.......

#39 djmaker

djmaker

    Board Veteran

  • 3.455 Beiträge

 

Geschrieben 08. Januar 2009 - 22:56

Hmmm,

wenn die Systeme alle gepatcht waren und die X-Firewalls davor stehen hast:

Wie "zum Geier" kann dann ein Virus eindringen? An der Stelle solltest Du dringend die Firewall-Config prüfen und den VPN-Zugriff auf "sichere" Clients beschränken.
Thomas

K.Y.S.S. - Keep Your Signatur Short :)

#40 Alveran

Alveran

    Newbie

  • 20 Beiträge

 

Geschrieben 09. Januar 2009 - 10:50

Bitte keine Diskusionen über wer hat die Beste Firewall oder den besten Virenscanner. Danach ist man immer schlauer.

Nochmal zur Lösung des Problems. Ich kann ihn ja Mit dem Programm deaktivieren und danach aus der Registry entfernen. Das behebt aber nicht das Grundsatzproblem das ich ihn nach einer halben Stunde wieder habe.
Und nun?

Betroffen sind vorallem Windows XP SP3, dafür gibt es von Microsoft keinen Patch.

Momentan ist er nicht wieder auf Windows 2003 Server und Vista aufgetaucht.

#41 Gulp

Gulp

    Expert Member

  • 3.969 Beiträge

 

Geschrieben 09. Januar 2009 - 11:24

Nochmal zur Lösung des Problems. Ich kann ihn ja Mit dem Programm deaktivieren und danach aus der Registry entfernen. Das behebt aber nicht das Grundsatzproblem das ich ihn nach einer halben Stunde wieder habe.
Und nun?

Betroffen sind vorallem Windows XP SP3, dafür gibt es von Microsoft keinen Patch.

Momentan ist er nicht wieder auf Windows 2003 Server und Vista aufgetaucht.



Du wiegst Du mit dem entfernen allerdings in einer ziemlich trügerischen Sicherheit, denn Du weisst nicht was der Wurm alles noch heruntergeladen und installiert hat.

Dass es für XP SP3 keinen Patch gibt ist schlichtweg falsch:

Microsoft Security Bulletin MS08-067 – Critical

Ergibt einen Überblick über alle betroffenen Systeme und Bulletin Updates.

Daraus gibt es folgenden Downloadlink für XP SP3:

Security Update for Windows XP (KB958644)

Zitat: Supported Operating Systems: Windows XP Service Pack 2; Windows XP Service Pack 3

Zitat: Das Interessante bei dieser Wurm-Variante: Ist der Server-Dienst erst einmal ausgetrickst, spielt der Wurm den benötigten Sicherheits-Patch selbst auf das System, wobei die Sicherheitslücke damit nicht geschlossen ist. Lediglich andere Würmer werden daran gehindert, das System zu befallen.

Quelle: Confi_cker.A: Microsoft warnt vor Windows-Wurm

Das wäre mir alles irgendwie zu heiss ......

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#42 Jim di Griz

Jim di Griz

    Board Veteran

  • 828 Beiträge

 

Geschrieben 09. Januar 2009 - 12:11

oehm ausserdem sind hier 2 verschiedene systeme von 2 verschiedenen Würmern befallen, das jedesmal beim lesen auseinanderzuhalten nervt.

#43 Gulp

Gulp

    Expert Member

  • 3.969 Beiträge

 

Geschrieben 09. Januar 2009 - 12:27

Conf_icker und Downadup sind identisch, Symantec nennt den Downadup und die meisten anderen Hersteller eben Conf_icker (wobei ich den namen wegen dem f*cker eher bescheiden finde).

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#44 Jim di Griz

Jim di Griz

    Board Veteran

  • 828 Beiträge

 

Geschrieben 09. Januar 2009 - 12:34

ups, k, sry.

hatte in der symantec beschreibung gesucht, fand es erstaunlich wie intensiv der virus mit dem internet kommuniziert.
wenn der betroffene pc nur angeschaltet ist muesste man doch recht zeitnah die kommunikation im Netz ueberwachen koennen mit einfachen Mitteln, vor allem wenn eine erneute aktivierung regelmaessig jede 30 minuten erfolgt.

#45 Gulp

Gulp

    Expert Member

  • 3.969 Beiträge

 

Geschrieben 09. Januar 2009 - 13:12

Kein Problem, ich blick auch nicht immer durch die "konsistente" Benamsung der Virennamen durch die ganzen AntiVir Hersteller .... ;)

Hehe zumindest Du hast schon mal einen Kern erfasst (im Gegensatz zum TO), was meinst Du wieso in allen Artikeln zu dem Teil immer wieder das Wort "Firewall" so häufig vorkommt. ;)

Der andere Kern ist, dass man sich auch wenn man Downadup/Conf*cker entfernen kann (was ja an sich nicht schwer ist), man eben nicht weiss was das Teil so alles während seiner aktiven Zeit veranstaltet hat, wenn man schon nicht gemerkt hat, dass sich das Teil eingenistet hat, seine Systeme nicht mit wichtigen Patches bestückt, alte Virensignaturen verwendet (Symantec hatte schon Ende November Signaturen zur Erkennung, die anderen Hersteller dürften nicht weit davon weg liegen) oder gar alles zusammen praktiziert, dann hat man in der Regel auch keine wirklich ausgeklügelten Firewall Regeln oder Netzwerkprotokolle an der Hand ...... irgendwie ein Teufelkreis, isn't it? ;)

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!