Sunny61 773 Geschrieben 27. August 2014 Melden Teilen Geschrieben 27. August 2014 Als Maßnahme habe ich alle Windows Updates eingespielt und F-Secure auf allen Server laufen lassen (Clients + Spybotscan folgen nächste Woche) und wurde 4-5 Sachen gefunden: Gen:Variant.Symmi.35671 Trojan.Html.Bankfraud.AE Generic.Peed.Eml.1D25139B ...welche entfernt wurden und ich auch die Dateien dazu gelöscht habe. Neuinstallation der betroffenen Maschinen ist die einzige zulässige Methode. Und wenn so viel auf den Maschinen gefunden wurde, ist wohl noch mehr im Argen. Zitieren Link zu diesem Kommentar
Michi777 12 Geschrieben 28. August 2014 Autor Melden Teilen Geschrieben 28. August 2014 Als diese 3 Sachen wurde insgesamt gefunden, beim Scan auf 5 Servern, das müsste noch im überschaubaren Rahmen sein. Aber wsl. werde ich bei den Clients den Übeltäter finden und notiere mir natürlich Virus\Datei\Rechnername um dann evtl. wenn es sein muss diesen neuaufzusetzen; Da alle Server nun gescannt wurden (F-Secure und Spybot) und kein Outlook besitzen, liegt es wohl an einem Client. Werde dort ebeso die 2 Scans zu Bereinigung laufen lassen. Das mit Port 25 werde ich so so auf der Firewall einstellen. Dann mache ich dazu folgende Regel in der Policy: LAN "IP-Mailserver" darf via "Port 25" auf "WAN" aussenden; ...und suche nach Regeln wo Port 25 für die Clients freigeschalten ist. Wenn jetzt ein Trojaner Mails raussendet, müssten die doch unsere Domäne als Absender haben und nicht unsere Namen, mit fremder\generierter Domäne, oder? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 28. August 2014 Melden Teilen Geschrieben 28. August 2014 Als diese 3 Sachen wurde insgesamt gefunden, beim Scan auf 5 Servern, das müsste noch im überschaubaren Rahmen sein. Auch einen Server solltest Du Offline scannen und notfalls neu installieren. Ausser die Daten sind überhaupt nicht wichtig und es ist völlig egal wer bei euch auf Konten zugreift und Geld abbucht. Aber wsl. werde ich bei den Clients den Übeltäter finden und notiere mir natürlich Virus\Datei\Rechnername um dann evtl. wenn es sein muss diesen neuaufzusetzen; Wenn ein Client infiziert ist, *muss* er neu installiert werden. Ohne wenn und aber. Da alle Server nun gescannt wurden (F-Secure und Spybot) und kein Outlook besitzen, liegt es wohl an einem Client. Werde dort ebeso die 2 Scans zu Bereinigung laufen lassen. Du mußt die Server und Clients *Offline* scannen! Das mit Port 25 werde ich so so auf der Firewall einstellen. Dann mache ich dazu folgende Regel in der Policy: LAN "IP-Mailserver" darf via "Port 25" auf "WAN" aussenden; ...und suche nach Regeln wo Port 25 für die Clients freigeschalten ist. Schau dir lieber alle ALLOW Regeln an, weshalb sollte ein Client nach draussen telefonieren? HTTP + HTTPS sind ausreichend. Wenn jetzt ein Trojaner Mails raussendet, müssten die doch unsere Domäne als Absender haben und nicht unsere Namen, mit fremder\generierter Domäne, oder? Du kannst alles faken, also auch das. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 28. August 2014 Melden Teilen Geschrieben 28. August 2014 Wenn du Malware auf deinen Systemen hast kannst du nie sicher sein was noch drauf ist von dir aber nicht gefunden wurde. Einzig sichere Vorgehensweise ist eine Neuinstallation (auch nicht Restore von einem möglicherweise bereits infiziertem Backup). Zitieren Link zu diesem Kommentar
Michi777 12 Geschrieben 28. August 2014 Autor Melden Teilen Geschrieben 28. August 2014 @Melzer & Sunny: Das mit Port 25 ist eine gute Idee, damit sich SPAM Clients nicht selbstständig machen können, wurde soeben durchgeführt mit LAN auf WAN Port 25 geschlossen und extra Regel erlaubt für LAN IP "Mailserver". Okay, werde zusammenschreiben welcher Virus\Malware auf welchem Client ist und das dann posten, oftmals sind es ja ungefährliche Cookies dich auch gefunden werden, dann natürlich kein Resetup. Habe die IT erst übernommen und gesehen dass Leute sinnlose Adminrechte haben, teilweise kein Virenschutz ausgerollt wurde darauf und diese Lücken schließe ich natürlich. Was meinst du mit Offline Scannen? ...während des Scan's mit gewohnten F-Secure\Spybot einfach vom Netz nehmen? ...wieso das? @NorbertFe: Wenn man erst 22 Jahre alt ist, kann es in der schnelllebigen IT-Welt sowieso immer etwas Neues auftauchen (weil man zuvor einfach noch nie diesem Problemfall hatte), dann möchte ich mir dieses Wissen aneignen und im Forum nachfragen um das Problem zu lösen. Da ist es nicht hilfreich wenn man zum einzigen IT-Administrator sagt, hol dir externe IT-Hilfe. ...stell dir mal vor wenn man das dem Chef vorschlägt. Habe auf diese demütigenden Posts immer noch selbst den Fall erfolgreich gelöst und das für zukünftige Fälle in meinem Wissen abgespeichert... Zitieren Link zu diesem Kommentar
datmox 26 Geschrieben 28. August 2014 Melden Teilen Geschrieben 28. August 2014 (bearbeitet) Offline Scans... http://lmgtfy.com/?q=antivirus+offline+scan Du bootest also zumeist eine Linux Distri.. somit sind die Dateien alle "offline" und der Virus/Trojaner kann keine Dateien verstecken/vom Scan ausschließen. Genutzt habe ich in solchen Fällen meistens die Rescue CDs von Avira und Kaspersky. Habe gerade gesehen, dass Sophos nun auch eine anbietet, die ist bestimmt auch nicht verkehrt! Edit: Bevor du offline scannst, für ein funktionierendes Backup sorgen und die Scans evtl. zuerstmal nur auf "protokollieren" stellen um dann im Einzelfall entscheiden zu können ob die betroffene Datei gelöscht werden kann. Gruß Max bearbeitet 28. August 2014 von datmox Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 28. August 2014 Melden Teilen Geschrieben 28. August 2014 (bearbeitet) @NorbertFe: Wenn man erst 22 Jahre alt ist, kann es in der schnelllebigen IT-Welt sowieso immer etwas Neues auftauchen (weil man zuvor einfach noch nie diesem Problemfall hatte), dann möchte ich mir dieses Wissen aneignen und im Forum nachfragen um das Problem zu lösen. Da ist es nicht hilfreich wenn man zum einzigen IT-Administrator sagt, hol dir externe IT-Hilfe. ...stell dir mal vor wenn man das dem Chef vorschlägt. Habe auf diese demütigenden Posts immer noch selbst den Fall erfolgreich gelöst und das für zukünftige Fälle in meinem Wissen abgespeichert... Na wenn du meinst, dass man lieber erstmal lange selbst in die SCh.. greifen will, laß dich nicht bremsen. Ich hab nie behauptet, dass du das Problem nicht lösen können wirst. Aber es wird definitiv länger dauern. Ist ja deine Entscheidung, wenn deine Mails und die deines Chefs regelmässig nicht zugestellt werden können. Bye Norbert PS: Und dann erklärst du mir bitte noch, was genau du an meinem anderen Posting "demütigend" findest. Hast du so geringes Selbstwertgefühl, dass der gutgemeinte Rat, sich Wissen ranzuholen anstatt zu "fummeln" gleich eine Demütigung für dich darstellt? bearbeitet 28. August 2014 von NorbertFe Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 28. August 2014 Melden Teilen Geschrieben 28. August 2014 (bearbeitet) Das mit Port 25 ist eine gute Idee, damit sich SPAM Clients nicht selbstständig machen können, wurde soeben durchgeführt mit LAN auf WAN Port 25 geschlossen und extra Regel erlaubt für LAN IP "Mailserver". Lieber alles dicht machen und auf Anforderung erst öffnen. Alle Anforderungen schriftlich geben lassen und auf mögliche Risiken schriftlich hinweisen. Das hilft manchmal ungemein. Okay, werde zusammenschreiben welcher Virus\Malware auf welchem Client ist und das dann posten, oftmals sind es ja ungefährliche Cookies dich auch gefunden werden, dann natürlich kein Resetup. Habe die IT erst übernommen und gesehen dass Leute sinnlose Adminrechte haben, teilweise kein Virenschutz ausgerollt wurde darauf und diese Lücken schließe ich natürlich. Na dann los, das ist ja fast wie 'grüne' Wiese. Vegiss auch nicht die Adminpasswörter zu ändern, BIOS Passwörter anlegen und so weiter. Was meinst du mit Offline Scannen? ...während des Scan's mit gewohnten F-Secure\Spybot einfach vom Netz nehmen? ...wieso das? Heutzutage ist auch das benutzen einer Suchmaschine zwangsläufig Teil eines Sysadmin. Gewöhn dir das gleich an, selbst zu suchen bevor Du Fragen stellst. Das hilft dir und wenn Du dann noch in die Frage schreibst, was Du alles bisher schon gefunden und ausprobiert hast, hilft das den Lesern und Antwortern erst Recht. ;) Die Frage wurde dir ja schon beantwortet. Wenn man erst 22 Jahre alt ist, kann es in der schnelllebigen IT-Welt sowieso immer etwas Neues auftauchen (weil man zuvor einfach noch nie diesem Problemfall hatte), dann möchte ich mir dieses Wissen aneignen und im Forum nachfragen um das Problem zu lösen. Dagegen spricht auch nichts. Da ist es nicht hilfreich wenn man zum einzigen IT-Administrator sagt, hol dir externe IT-Hilfe. Das ist auch ein Zeichen von Kompetenz wenn Du sagst, Du traust dir das noch nicht zu. Und wenn es ein verknüftiger Dienstleister ist, kannst Du auch sehr viel von ihm lernen. Und ja, ist es hilfreich sich externe Hilfe zu holen. ...stell dir mal vor wenn man das dem Chef vorschlägt. Für so manche wäre das sicherliche eine gute Lösung. Es gibt auch viele die das machen. ;) Habe auf diese demütigenden Posts immer noch selbst den Fall erfolgreich gelöst und das für zukünftige Fälle in meinem Wissen abgespeichert... Super! Es ist aber oftmals hilfreich und es geht auch meistens schneller wenn ein Dienstleister die Arbeit macht, in die Du dich erst einlesen und einarbeiten mußt. bearbeitet 28. August 2014 von Sunny61 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.