Jump to content

Viren tracen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe ein Problem bzgl. Viren auf Windows Terminal Servern (Citrix) unter Windows 2003 Server SP1 / aktuellstes Patch Level.

Hat jemand eine Idee, wie ich feststellen kann/tracen kann wie und auf welchem Wege Viren auf die Server gelangen? Die Server stehen nicht direkt im Internet, die User surfen über einen Proxy, der Traffic von Intern (LAN) nach extern (WAN) ist gesperrt. Ich frage mich die ganze Zeit wie es sein kann dass trotzdem noch Viren auf den Server gelangen...Meine einzige Idee ist, dass die User beim surfen Skripte ausführen o.ä. die die Viren auf den Server bzw. in die Terminal Session befördern. Allerdings frage ich mich dann, wie ein Virus in das System32 gelangen kann, denn kein User hat Zugriff auf das Verzeichnis und selbst ein Skript kann doch nicht (ok, wenn als Admin angemeldet schon) auf das System32 durchgreifen...Hat jemand eine Idee wie die Viren auf den Server gelangen und wie ich das verifizieren/beobachten kann. Im Moment hab ich überhaupt keine Idee (außer den bereits erwähnten Internet Explodierer und Skripte)......Zur Info, ich setze Trend Micros Server Protect auf dem Terminal Server ein zur AV.

 

Danke, Maik

Link zu diesem Kommentar
  • 2 Wochen später...

hallo maik. ich würde mal ein NIDS (network intrusion detection system) installieren und den netzwerkverkehr mitloggen. daraufhin würde ich die logs aufmerksam überprüfen.

 

ferner würd ich den/die server trotzdem noch mal nach schwachstellen anhand eines security scanners (Nessus oder so) testen. trotz hohem patchlevel kann irgendwas vergessen worden sein.

 

gruss

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo,

 

wie sieht es denn mit Usb-Sticks, CD / DVD Rom´s und der lieben E-Mail aus?

Hast Du da für die User einen Riegel vorgeschoben? häufig ist diese Schwachstelle nicht bedacht.

 

Ansonsten wie Diceone schreibt NIDS HIDS eben mehrstufige Verteidigung ein guter Gedanke ist auch AV Produkte verschiedener Hersteller zu Benutzen.

 

MfG

Onewayticket

Link zu diesem Kommentar
  • 1 Monat später...
hallo maik. ich würde mal ein NIDS (network intrusion detection system) installieren und den netzwerkverkehr mitloggen. daraufhin würde ich die logs aufmerksam überprüfen.

 

ferner würd ich den/die server trotzdem noch mal nach schwachstellen anhand eines security scanners (Nessus oder so) testen. trotz hohem patchlevel kann irgendwas vergessen worden sein.

 

gruss

 

Hab ich auch schon gedacht / gemacht, aber: Muss / sollte das IDS nicht auf dem Gateway zum WAN laufen? Ich habe es leider nur auf einem Host in der DMZ installieren können (Linux / Ettercap) und dort ist nichts auffälliges passiert. Auf dem Gateway läuft zum WAN (Astaro) läuft sowieso ein IDS, aber dies gibt in dieser Hinsicht keinen Aufschluss auf den Eingang von Viren! Und: ja, ich kann USB und Mail ausschliessen. Nessus könnte ich noch installieren! Gibt es eine Windows Version? Gruß und Danke

Link zu diesem Kommentar
  • 3 Wochen später...

jepp es gibt ne windows version mitlerweile. is zwar glaub ich noch beta aber funzt perfekt!

 

Nessus einfach mal den downloadbereich checken! nach einer kleinen reg kriegt man dann den download!!! aber bitte mit vorsicht benutzen!

 

ansonsten kann ich nur die knoppix live cds von Main Page - Remote-exploit.org empfehlen. auf der auditor live cd ist nessus gleich mit drauf.

 

gruss

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...