AchimS 0 Posted May 30, 2014 Report Posted May 30, 2014 Hallo zusammen, ich hab einen Brief von der Telekom erhalten, dass Computer in unserem Netzwerk Teil von Bot-Netzen seien. Man hätte da "gesicherte Hinweise." Das letzte Mal hab ich diese Nachricht eigentlich ignoriert, weil auf allen unseren 15 Rechnern ESET Business und zusätzlich teilweise MS Essentials läuft, aber wenn da jetzt schon der zweite Brief kommt, muss ich ja 'aufschrecken'. Gibt es denn ein Mittel, wie man als Admin rausfinden kann, ob einer der PCs im Netzwerk infiziert ist? Lässt sich das am Datenverkehr feststellen? 15 PCs sind zwar wenig, aber ich mag trotzdem nicht an alle einzeln hingehen, Zusatzsoftware installieren und überall auf "Jetzt suchen" klicken. Da pflaumen mich auch die Mitarbeiter an, wenn ich das mache :-/ Ich hoffe, ihr könnt mir weiterhelfen und bedanke mich im Voraus :-) Achim
NorbertFe 2,306 Posted May 30, 2014 Report Posted May 30, 2014 Das Problem bei sowas ist, dass es sehr schwer feststellbar ist. Und vor allem muß es keiner deiner 15 Firmen-PCs sein, sondern könnte auch ein mobiles Gerät eines Kollegen sein (Handy, Pad, Notebook), was sich nur sporadisch verbindet. Habt ihr eine Firewall im Einsatz? Dann könnte man mal versuchen rauszufinden, was an Traffic so läuft. Oftmals sind solche Warnungen der Provider aus gutem Grund da, wenn nämlich Steuerkommandos für Bots und deren Rückmeldungen festgestellt werden. Dazu brauchts aber Zeit und vor allem sinnvolle Logfiles. Steht im Telekom Brief denn ggf. noch etwas mehr drin? Eventuell kann man die ja auch fragen, wenn sie sowas schicken, sollten sie einem ja evtl. auch helfen können. Bye Norbert
Davidxy 2 Posted May 30, 2014 Report Posted May 30, 2014 Sehr schwer festzustellen. Der Bot kann auch über gängige Ports (zb. Port 80) kommunizieren. Niemand weiss wie sich der Bot verhält. Vielleicht läuft über einen unbekannteren Port besonders viel Traffic. Ich würde wie gesagt den Traffic beobachten, alle Rechner scannen (sind nur 15) und auf den aktuellsten Stand bringen (auch Third-Party-Software). Notfalls nach Feierabend (mit dem Chef reden) Ausserdem würde ich überall die Passwörter resetten und zur Neueingabe auffordern (DC ?). Die Passwortrichtlinie würde ich auch verschärfen und den Benutzern nur die absolut notwendigsten Rechte geben. Habt ihr überhaupt einen DC ? ESET + MS Essentials gleichzeitig ?
NeMiX 76 Posted May 30, 2014 Report Posted May 30, 2014 Als erstes SMTP verbieten für alles was es nicht benötigt und dann in den Logs schauen was da versucht auf Port21 rauszugehen. Bei Port80/443 Sachen evtl. temporär einen Squid dazwischenhängen und mit Whitelist arbeiten für 1-2 Tage um herauszufinden was da passiert.
zahni 588 Posted May 30, 2014 Report Posted May 30, 2014 Und alle Rechner mal mit einem Offline-Scanner durchsuchen: z.b. http://www.avira.com/de/downloads#tools
Daniel -MSFT- 129 Posted May 31, 2014 Report Posted May 31, 2014 @Nemix: SMTP läuft auf Port 25. Den gilt es zu beobachten. @AchimS: Microsoft Security Essentials ist nur für Kleinunternehmen mit bis zu 10 PCs kostenfrei verfügbar.
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now