Jump to content
Sign in to follow this  
bind_maik

Viren tracen

Recommended Posts

Hallo zusammen,

 

ich habe ein Problem bzgl. Viren auf Windows Terminal Servern (Citrix) unter Windows 2003 Server SP1 / aktuellstes Patch Level.

Hat jemand eine Idee, wie ich feststellen kann/tracen kann wie und auf welchem Wege Viren auf die Server gelangen? Die Server stehen nicht direkt im Internet, die User surfen über einen Proxy, der Traffic von Intern (LAN) nach extern (WAN) ist gesperrt. Ich frage mich die ganze Zeit wie es sein kann dass trotzdem noch Viren auf den Server gelangen...Meine einzige Idee ist, dass die User beim surfen Skripte ausführen o.ä. die die Viren auf den Server bzw. in die Terminal Session befördern. Allerdings frage ich mich dann, wie ein Virus in das System32 gelangen kann, denn kein User hat Zugriff auf das Verzeichnis und selbst ein Skript kann doch nicht (ok, wenn als Admin angemeldet schon) auf das System32 durchgreifen...Hat jemand eine Idee wie die Viren auf den Server gelangen und wie ich das verifizieren/beobachten kann. Im Moment hab ich überhaupt keine Idee (außer den bereits erwähnten Internet Explodierer und Skripte)......Zur Info, ich setze Trend Micros Server Protect auf dem Terminal Server ein zur AV.

 

Danke, Maik

Share this post


Link to post

hallo maik. ich würde mal ein NIDS (network intrusion detection system) installieren und den netzwerkverkehr mitloggen. daraufhin würde ich die logs aufmerksam überprüfen.

 

ferner würd ich den/die server trotzdem noch mal nach schwachstellen anhand eines security scanners (Nessus oder so) testen. trotz hohem patchlevel kann irgendwas vergessen worden sein.

 

gruss

Share this post


Link to post

Hallo,

 

wie sieht es denn mit Usb-Sticks, CD / DVD Rom´s und der lieben E-Mail aus?

Hast Du da für die User einen Riegel vorgeschoben? häufig ist diese Schwachstelle nicht bedacht.

 

Ansonsten wie Diceone schreibt NIDS HIDS eben mehrstufige Verteidigung ein guter Gedanke ist auch AV Produkte verschiedener Hersteller zu Benutzen.

 

MfG

Onewayticket

Share this post


Link to post
hallo maik. ich würde mal ein NIDS (network intrusion detection system) installieren und den netzwerkverkehr mitloggen. daraufhin würde ich die logs aufmerksam überprüfen.

 

ferner würd ich den/die server trotzdem noch mal nach schwachstellen anhand eines security scanners (Nessus oder so) testen. trotz hohem patchlevel kann irgendwas vergessen worden sein.

 

gruss

 

Hab ich auch schon gedacht / gemacht, aber: Muss / sollte das IDS nicht auf dem Gateway zum WAN laufen? Ich habe es leider nur auf einem Host in der DMZ installieren können (Linux / Ettercap) und dort ist nichts auffälliges passiert. Auf dem Gateway läuft zum WAN (Astaro) läuft sowieso ein IDS, aber dies gibt in dieser Hinsicht keinen Aufschluss auf den Eingang von Viren! Und: ja, ich kann USB und Mail ausschliessen. Nessus könnte ich noch installieren! Gibt es eine Windows Version? Gruß und Danke

Share this post


Link to post

jepp es gibt ne windows version mitlerweile. is zwar glaub ich noch beta aber funzt perfekt!

 

Nessus einfach mal den downloadbereich checken! nach einer kleinen reg kriegt man dann den download!!! aber bitte mit vorsicht benutzen!

 

ansonsten kann ich nur die knoppix live cds von Main Page - Remote-exploit.org empfehlen. auf der auditor live cd ist nessus gleich mit drauf.

 

gruss

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...