butch80

auf meinem PC und auf dem NAS im LAN. Ansonsten noch auf dem Laptop. :-/

dummerweiße hab ich einen der Sticks an meinen Rechner gesteckt um mit einem anderen Virenkiller mal die Datei zu checken. hat nichts gebracht, dafür hat aber mein NAS im LAN auch den Ordner inkl. exe und inf. bekommen :-/ Jetzt muss ich den einfach mit einer AV-Lösung finden :-/

Hi all, ein Kollege verseucht mit seinem Laptop, seine ganzen USB-Sticks evtl. mit einem Wurm. Sobald der einen USB-Stick reinsteckt, bekommt der Stick einen Ordner namens: "SEDAMNOCI", in diesem Ordner befindet sich eine exe. namens: "kadsepoveze.exe" und zudem wird noch im eine autorun.inf erstellt. Ich habe mit dem neusten Antivir gescannt, kein Befund! Vielleicht könnt ihr mir weiterhelfen :/

Hi all, ich habe lediglich eine Verständnis-Frage und möchte mich vorher von euch absichern. Folgendes: Wir hatten zwei physikalische Terminalserver, die wir nun mit Hilfe von Xenconvert in virtuelle Maschine umgewandelt haben. Auf diesen physikalischen Servern wurde anschließend Xenserver aufgespielt und die Terminalserver als virtuelle Maschinen importiert. Wir haben jetzt ja zwei Xenserver die ja ehemals die zwei Terminalserver waren. Jetzt haben wir das Problem, dass sich ein virtueller Server nicht mehr exportieren bzw. sichern lässt. Jetzt kam ich auf die Idee, eine ganz normale Acronis-Imagesicherung von der virtuellen Kiste zu machen und anschließend auf unserem Ersatzserver komplett wiederherstellen. Anschließend nochmal neu mit xenconvert eine virtuelle Maschine zu konvertieren und anschließend wieder als virtuelle Kiste dem Produktiv-Xenserver imporitieren. Nur leider ist diese Version dann nicht mehr treiberidentisch mit dem anderen virtuellen Server, oder sind die treiber nach der Virtualisierung sowieso unabhänig und universal? Danke!

danke! Du hast mir sehr geholfen!

ich dachte, der Cache-Modus downloadet im Endeffekt die Mails, etc und speichert dier lokal in eine ost-datei ab. Wenn ich jetzt eine Mail an jemanden sende, dann geht die doch sofort raus. Was hat das den mit dem Cache-Modus zu tun? kannst du mir da mal auf die Sprünge helfen?

Danke für die Info! warum bekam der Kollege aber diese Mail nicht schon vor einem Monat?

Hi all, heute habe ich wirklich einen seltsamen Fall. Ein Kollege bekam eine Mail von einem Kollegen, die er schon vor über einen Monat verschickt hatte. Laut ESM-Nachrichtenverlauf wurde heute die Mail dem Informationsspeicher übermittel und wie üblich weitergeleitet. Hat jemand eine Idee, wie soetwas passieren kann? Wir haben einen SBS03 im Einsatz und arbeiten mit Office 03. Danke im Voraus!

danke für die info! Das optionale Bundle von Watchguard klingt zwar sehr interessant, aber wir haben ja schon einen Spamfilter, sowie das McAfee Komplettpaket (Groupshield etc.) Beides wird schwer zu verwalten sein, bzw. evtl. Probleme mit sich bringen. :-/

wir haben meines Wissens keinen SMTP-Auth aktiviert. Immerhin haben wir folgende Einstellung: Ausgehende Sicherheit -->Anonymer Zugriff oder lieg ich falsch?

Wir haben vermerhrt Einträge, die unlogisch für einen Angriff sind. Da versucht jemand mit einem "@" sich als Benutzername anzumelden? Bei diesen Versuchen, stammt die Quell-IP auch von unseren SQL und Terminalservern. Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: @ Domäne: Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Name der Arbeitsstation: Terminalserver Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.1.123 Quellport: 0 Wir haben Windows Server 2003 im Einsatz. Die Server wurden komplett gescannt und sind angeblich sauber. Noch jemand eine idee?

hier etwas detaillierter: 21 Ausgehend 22 Ausgehend 25 Ein-/ Ausgehend 80 ausgehend 443 Ein-/ Ausgehend 1935 sowohl, als auch ( haben einen mediaserver im Haus) 53 ausgehend NTP 123 (hatte ich zuvor vergessen) ausgehend 5060 Ein-/ Ausgehend 30000-30005 (telefonsoftware) Ein-/ Ausgehend 5004-5027 (telefonsoftware) Ein-/ Ausgehend

Hallo GuentherH, da hast du auch wieder Recht! der RDP Port ist aber nicht offen. hier die offenen Ports: 21 22 25 80 443 1935 53 5060 30000-30005 (telefonsoftware) 5004-5027 (telefonsoftware) thats all.

die Angriffe tauchen übrigens immer nachts auf und der Anmeldename wechselt nach ca. 5 Versuchen. Sehr beunruhigend.

ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin? Sollte die Firewall solche Angriffe nicht endecken und unterbinden? Wir haben eine firebox550 von Watchguard im Einsatz. trotzdem danke für deine Info Nils

Hi all, heute Nacht hatten wir in der Ereignisanziege Sicherheit mehrere Fehlschläge wie folgt gesichtet: Quelle: Security, Kategorie An/Abeldung, Ereigniskennung: 529 Benutzer: NT-Autorität\System Computer:SBS Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: office Domäne: Anmeldetyp: 3 Anmeldevorgang: Advapi Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Name der Arbeitsstation: SBS Aufruferbenutzername: SBS$ Aufruferdomäne: Unsere-Domäne Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 2164 Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Weitere Einträge mit anderem Benutzernamen wie "test", "contact" wurden ebenfalls die gleichen Fehlschläge geloggt. Wie geht man am Besten in solch einen Fall vor, damit man diese Art Bruteforce Attacken unterbindet? (leider fehlt mir die Quell-IP) Danke im Voraus!

Ich bin auf deine Info gespannt!

erstmal danke für deine Info! ja, über RDP hatte ich dieses Problem auch noch nicht, sondern auschließlich unter ICA. Schade nur, dass dieses Problem anscheinend recht viele haben und es trotzdem keine Lösung gibt. ich komm mir mittlerweile auch schon ein bisschen **** vor, wenn ich den Kollegen auf dieses Problem keine vernünftige Antwort geben kann. Immerhin fragen die oft genug und sind mittlerweile ien wenig verärgert.

push push

gibt es hier inzwischen eine Lösung? Wir haben das Problem auch!

ist schon klar. Nur muss man die zweite email-adresse im VON-Feld expliziert auswählen, was eben zu Fehler führen kann.

Danke für Deine Antwort! das man ein zweites Outlook Profil öffnen muss, hat den Grund, da man somit verhindert, ausversehen von einer anderen emal-adresse etwas zu senden. Das sollte also schon so sein. Also muss ich doch die Berechtigungen ind er AD für das neue Postfach wie oben erwähnt verteilen? oder wie ist in diesem Fall die vorgehensweise? danke im voraus!

Hi all, Einer unserer Mitarbieter soll unter anderer e-Mailadresse mails senden können. meine bisherige Vorgehensweise: ich habe für diese eMail-Adresse einen zweiten User +Postfach in der AD angelegt. Mit diesem Postfach soll dann wie gesagt einer unserer Mitarbeiter Mails versenden können. Bei dem User habe ich somit ein zweites Outlook Profil eingerichtet, damit der unter der email-adresse des neu angelegeten Users mails versenden kann. Anschließend ging ich in der AD in das neue Benutzerprofil und hab dort unter Exchange-Erweitert--> Postfachberichtungen den jeweiligen User alle Berechigung für dieses Postfach gegeben. Zusätzlich habe ich noch unter der Registerkarte Sicherheit, den User hinzugefügt und ebenfalls für diverser Dinge wie "senden als" die Berechtiungen erteilt. Das ging ein paar Tage gut und nun funktioniert es auf einmal nicht mehr. Obwohl die Berechtiungen nach wie vor noch in der AD gesetzt sind. Uns ist es wichtig, dass der User einfach mit dem zweiten Outlook Profil mit anderer email-adresse schreiben kann, ohne das "im Auftrag von..." oder sonstiges auftaucht. Vielleicht könnt ihr mir ja weiter helfen. Danke im Voraus! PS.wir haben einen SBS03 und office 03 im Einsatz.

Die Lösung klingt gut! Hast du einen link Sunny61, der mir diesbezüglich weiterhelfen kann?

Hi all, ich wollte euch mal fragen, wie ihr das in eure Firma so mit den Softwareupdates-Anfragen diverser Standard-Programme wie Acrobat Reader, Quicktime, Java handhabt. Immerhin bekommen die Mitarbeiter diese Meldungen angezeigt und sind dann verwirrt. Haben eure Mitarbeiter die Rechte, Updates dieser Programme zu installieren, macht ihr das selbst, oder wie ist das bei euch so grundsätzlich geregelt? danke im voraus!