butch80
-
Gesamte Inhalte
252 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von butch80
-
-
dummerweiße hab ich einen der Sticks an meinen Rechner gesteckt um mit einem anderen Virenkiller mal die Datei zu checken. hat nichts gebracht, dafür hat aber mein NAS im LAN auch den Ordner inkl. exe und inf. bekommen :-/
Jetzt muss ich den einfach mit einer AV-Lösung finden :-/
-
Hi all,
ein Kollege verseucht mit seinem Laptop, seine ganzen USB-Sticks evtl. mit einem Wurm. Sobald der einen USB-Stick reinsteckt, bekommt der Stick einen Ordner namens: "SEDAMNOCI", in diesem Ordner befindet sich eine exe. namens: "kadsepoveze.exe" und zudem wird noch im eine autorun.inf erstellt.
Ich habe mit dem neusten Antivir gescannt, kein Befund!
Vielleicht könnt ihr mir weiterhelfen :/
-
Hi all,
ich habe lediglich eine Verständnis-Frage und möchte mich vorher von euch absichern.
Folgendes: Wir hatten zwei physikalische Terminalserver, die wir nun mit Hilfe von Xenconvert in virtuelle Maschine umgewandelt haben. Auf diesen physikalischen Servern wurde anschließend Xenserver aufgespielt und die Terminalserver als virtuelle Maschinen importiert.
Wir haben jetzt ja zwei Xenserver die ja ehemals die zwei Terminalserver waren. Jetzt haben wir das Problem, dass sich ein virtueller Server nicht mehr exportieren bzw. sichern lässt. Jetzt kam ich auf die Idee, eine ganz normale Acronis-Imagesicherung von der virtuellen Kiste zu machen und anschließend auf unserem Ersatzserver komplett wiederherstellen. Anschließend nochmal neu mit xenconvert eine virtuelle Maschine zu konvertieren und anschließend wieder als virtuelle Kiste dem Produktiv-Xenserver imporitieren.
Nur leider ist diese Version dann nicht mehr treiberidentisch mit dem anderen virtuellen Server, oder sind die treiber nach der Virtualisierung sowieso unabhänig und universal?
Danke!
-
danke! Du hast mir sehr geholfen!
-
ich dachte, der Cache-Modus downloadet im Endeffekt die Mails, etc und speichert dier lokal in eine ost-datei ab.
Wenn ich jetzt eine Mail an jemanden sende, dann geht die doch sofort raus. Was hat das den mit dem Cache-Modus zu tun? kannst du mir da mal auf die Sprünge helfen?
-
Danke für die Info! warum bekam der Kollege aber diese Mail nicht schon vor einem Monat?
-
Hi all,
heute habe ich wirklich einen seltsamen Fall. Ein Kollege bekam eine Mail von einem Kollegen, die er schon vor über einen Monat verschickt hatte.
Laut ESM-Nachrichtenverlauf wurde heute die Mail dem Informationsspeicher übermittel und wie üblich weitergeleitet.
Hat jemand eine Idee, wie soetwas passieren kann?
Wir haben einen SBS03 im Einsatz und arbeiten mit Office 03.
Danke im Voraus!
-
danke für die info!
Das optionale Bundle von Watchguard klingt zwar sehr interessant, aber wir haben ja schon einen Spamfilter, sowie das McAfee Komplettpaket (Groupshield etc.) Beides wird schwer zu verwalten sein, bzw. evtl. Probleme mit sich bringen. :-/
-
wir haben meines Wissens keinen SMTP-Auth aktiviert. Immerhin haben wir folgende Einstellung: Ausgehende Sicherheit -->Anonymer Zugriff
oder lieg ich falsch?
-
Wir haben vermerhrt Einträge, die unlogisch für einen Angriff sind. Da versucht jemand mit einem "@" sich als Benutzername anzumelden?
Bei diesen Versuchen, stammt die Quell-IP auch von unseren SQL und Terminalservern.
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: @
Domäne:
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: Terminalserver
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.1.123
Quellport: 0
Wir haben Windows Server 2003 im Einsatz. Die Server wurden komplett gescannt und sind angeblich sauber.
Noch jemand eine idee?
-
hier etwas detaillierter:
21 Ausgehend
22 Ausgehend
25 Ein-/ Ausgehend
80 ausgehend
443 Ein-/ Ausgehend
1935 sowohl, als auch ( haben einen mediaserver im Haus)
53 ausgehend
NTP 123 (hatte ich zuvor vergessen) ausgehend
5060 Ein-/ Ausgehend
30000-30005 (telefonsoftware) Ein-/ Ausgehend
5004-5027 (telefonsoftware) Ein-/ Ausgehend
-
Hallo GuentherH,
da hast du auch wieder Recht!
der RDP Port ist aber nicht offen.
hier die offenen Ports:
21
22
25
80
443
1935
53
5060
30000-30005 (telefonsoftware)
5004-5027 (telefonsoftware)
thats all.
-
die Angriffe tauchen übrigens immer nachts auf und der Anmeldename wechselt nach ca. 5 Versuchen.
Sehr beunruhigend.
-
Oder was willst du jetzt hören?
Gruß, Nils
ob da irgendwas Auffälliges erscheint, womit man die Ursache dieser Logs eingrenzen kann. Z.B. ist ja keine Quellip vorhanden, deutet das auf eine kreativen Angriff, oder doch eher auf z.B. eine interne Malware hin?
Sollte die Firewall solche Angriffe nicht endecken und unterbinden?
Wir haben eine firebox550 von Watchguard im Einsatz.
trotzdem danke für deine Info Nils
-
Hi all,
heute Nacht hatten wir in der Ereignisanziege Sicherheit mehrere Fehlschläge wie folgt gesichtet:
Quelle: Security, Kategorie An/Abeldung, Ereigniskennung: 529
Benutzer: NT-Autorität\System
Computer:SBS
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: office
Domäne:
Anmeldetyp: 3
Anmeldevorgang: Advapi
Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation: SBS
Aufruferbenutzername: SBS$
Aufruferdomäne: Unsere-Domäne
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 2164
Übertragene Dienste: -
Quellnetzwerkadresse: -
Quellport: -
Weitere Einträge mit anderem Benutzernamen wie "test", "contact" wurden ebenfalls die gleichen Fehlschläge geloggt.
Wie geht man am Besten in solch einen Fall vor, damit man diese Art Bruteforce Attacken unterbindet? (leider fehlt mir die Quell-IP)
Danke im Voraus!
-
Letzte Woche habe ich dann den "Session Memory" von Windows per Registry erhört. .. geb bescheid falls das was gebracht hat.
lg
Moscht
Ich bin auf deine Info gespannt!
-
Ich kenne das Problem. Eine Lösung habe ich noch nicht gefunden (außer die TS-Sitzung schließen, connect neu connecten und schon gehts wieder).
Ich arbeite mit Citrix und hatte das Problem sowohl in der alten Farm (W2k3, MF XPa) und kenne es auch aus der Neuen (W2k8_x64 mit XenApp 5).
Meine Vermutung: Wenn du in deinem lokalen Zwischenspeicher Daten hast und im Zwischenspeicher deiner TS-Sitzung ebenfalls, kommen sich die beiden ab und an in die Quere. Ich kann den Fehler aber leider auch nicht 100%ig reproduzieren. Am RDP sollte es nicht liegen, da ich mit ICA arbeite...
erstmal danke für deine Info!
ja, über RDP hatte ich dieses Problem auch noch nicht, sondern auschließlich unter ICA.
Schade nur, dass dieses Problem anscheinend recht viele haben und es trotzdem keine Lösung gibt.
ich komm mir mittlerweile auch schon ein bisschen **** vor, wenn ich den Kollegen auf dieses Problem keine vernünftige Antwort geben kann. Immerhin fragen die oft genug und sind mittlerweile ien wenig verärgert.
-
-
gibt es hier inzwischen eine Lösung?
Wir haben das Problem auch!
-
ist schon klar. Nur muss man die zweite email-adresse im VON-Feld expliziert auswählen, was eben zu Fehler führen kann.
-
Danke für Deine Antwort!
das man ein zweites Outlook Profil öffnen muss, hat den Grund, da man somit verhindert, ausversehen von einer anderen emal-adresse etwas zu senden.
Das sollte also schon so sein. Also muss ich doch die Berechtigungen ind er AD für das neue Postfach wie oben erwähnt verteilen? oder wie ist in diesem Fall die vorgehensweise?
danke im voraus!
-
Hi all,
Einer unserer Mitarbieter soll unter anderer e-Mailadresse mails senden können.
meine bisherige Vorgehensweise:
ich habe für diese eMail-Adresse einen zweiten User +Postfach in der AD angelegt. Mit diesem Postfach soll dann wie gesagt einer unserer Mitarbeiter Mails versenden können. Bei dem User habe ich somit ein zweites Outlook Profil eingerichtet, damit der unter der email-adresse des neu angelegeten Users mails versenden kann.
Anschließend ging ich in der AD in das neue Benutzerprofil und hab dort unter Exchange-Erweitert--> Postfachberichtungen den jeweiligen User alle Berechigung für dieses Postfach gegeben. Zusätzlich habe ich noch unter der Registerkarte Sicherheit, den User hinzugefügt und ebenfalls für diverser Dinge wie "senden als" die Berechtiungen erteilt.
Das ging ein paar Tage gut und nun funktioniert es auf einmal nicht mehr. Obwohl die Berechtiungen nach wie vor noch in der AD gesetzt sind.
Uns ist es wichtig, dass der User einfach mit dem zweiten Outlook Profil mit anderer email-adresse schreiben kann, ohne das "im Auftrag von..." oder sonstiges auftaucht.
Vielleicht könnt ihr mir ja weiter helfen.
Danke im Voraus!
PS.wir haben einen SBS03 und office 03 im Einsatz.
-
Alles nur Benutzerrechter. Windows/Microsoft Updates werden mit dem WSUS zur Verfügung gestellt und den Rest machen wir mit GPOs im AD.
Die Lösung klingt gut!
Hast du einen link Sunny61, der mir diesbezüglich weiterhelfen kann?
-
Hi all,
ich wollte euch mal fragen, wie ihr das in eure Firma so mit den Softwareupdates-Anfragen diverser Standard-Programme wie Acrobat Reader, Quicktime, Java handhabt. Immerhin bekommen die Mitarbeiter diese Meldungen angezeigt und sind dann verwirrt.
Haben eure Mitarbeiter die Rechte, Updates dieser Programme zu installieren, macht ihr das selbst, oder wie ist das bei euch so grundsätzlich geregelt?
danke im voraus!
Ich bekomm den Rechner nicht clean
in Windows Forum — Security
Geschrieben
auf meinem PC und auf dem NAS im LAN. Ansonsten noch auf dem Laptop. :-/