Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Conficker und Apple XServe

Mitglied: ingobar

ingobar (Level 1) - Jetzt verbinden

20.06.2009, aktualisiert 10:23 Uhr, 3418 Aufrufe, 1 Kommentar

Guten Morgen,

so, jetzt haben wir hier in der Schule auch den Conficker. Ich habe mich jetzt mal durch die diversen Anleitungen etc. gelesen, habe aber nichts zu meiner speziellen Situation gefunden. Daher möchte ich hier nochmals nachfragen, ob mein Vorgehen passt.

Zunächst die Situation:
Wir haben hier eine Apple XServe mit 10.4.11 laufen an dem sich die Lehrer und Schüler anmelden. Die Userdateien werden auf dem Server gespeichert und entsprechend dann gemappt. Weiter gibt es Netzlaufwerke auf die die User dann zugreifen können. Die Schüler-Computer sind mit Wächterkarten geschützt. Die Lehrer-Computer haben keinen solchen Schutz.

Jetzt zum Conficker:
Ich auf dem Server in den Heimatverzeichnissen von 4 Lehrern und 1 Schüler und auf einem Netzlaufwerk die besagte autorun.inf und RECYCLER-Ordner gefunden.

Mein bisheriges Vorgehen:
Ich habe die RECYCLER-Ordner und autorun.inf-Dateien auf dem Server in den Heimatverzeichnissen der User sowie auf dem Netzlaufwerk gelöscht. Dann wollte ich morgen in die Schule gehen, jeden nicht mit Wächterkarte bestückten PC vom Netz nehmen und mit dem Tool von Kaspersky löschen. Dann wollte ich noch die Autorun-Funktion bei XP irgendwie deaktivieren, weiß aber noch nicht wie genau das geht.
Wenn ich alle Computer durch habe (ca. 30-40 Stück), kann ich sie wieder ins Netz hängen.

Ist das Vorgehen aus eurer Sicht in Ordnung?
Reicht das sichere Löschen der Dateien auf dem XServe?
Kann ich das Network Removaltool von bdtools benutzen?

Muss ich noch irgendetwas machen oder kann ich das Vorgehen irgendwie beschleunigen/vereinfachen?

Vielen Dank für alle erdenklichen Tipps und Tricks,

ingobar
Mitglied: BennyM85
16.01.2012 um 20:18 Uhr
Auch wenn das Thema alt ist, es hat aber über 1000 Leute interessiert....

Um den Conficker und weitere Schäden zu unterbinden:
- die autorun.inf ausfindig machen und schauen von welchem Account dieser erstellt worden ist und mit der entsprechenden Person reden (-> USB Sticks)
- um die Windows PCs einigermaßen sicher zu machen, gab es seinerseits ein Tool Ninja Pendisk, welches kostenlos aber dennoch sehr effektiv war um autostarts von Wechseldatenträgern zu unterbinden
- auf dem Server wird die infizierte Datei zwar weggesperrt, aber damit hat es sich nicht. Sobald vom Windows Client der Conficker in Aktion kommt, werden sämtliche (Netz-) Laufwerke befallen, somit also der Mac-Server über seine SMB Freigabe wieder infiziert. Ein Teufelskreis. Die Lösung besteht in der Erstellung eines dummy files. Hierzu über eine Schleife einfach eine leere Datei namens autorun.inf als root erzeugen und mit entsprechender Berechtigung (nur root darf sie beschreiben!) diese in die Benutzerverzeichnisse schreiben.
- Bei den Windows PCs sollte über eine ressourcenarme Virenlösung nachgedacht werden mit Aktualisierungspfad am besten auf dem Server, damit nicht jeder Rechner alles neu laden muss
- Wichtig ist das Checken der Firewallsettings auf den Windows PCs, bekanntlicherweise hatte ja der Conficker Unmegen Spam versandt/versenden wollen; evtl. sollte Port 23 generell auf den Maschinen zugemacht bzw. umgeleitet werden.
Bitte warten ..
Ähnliche Inhalte
Monitoring
Port abhören (Malware Conficker)
gelöst Frage von MesaricMonitoring8 Kommentare

Werte Profis :), ich benötige wieder einmal euren Rat. Ich würde gerne ein gewisses Port bei unserem Server abhören ...

Viren und Trojaner

Conficker Virus im Netzwerk ( PFsense , Snort )

Frage von cafepostViren und Trojaner20 Kommentare

Hallo Zusammen , ich hab denn conficker virus in meinem Netzwerk , in meinem netz sind ca 100 user ...

iOS

Apple Musik

Frage von Jonnie11iOS2 Kommentare

Hallo, wenn ich im iTunes Store was kaufe, wird der gekaufte Artikel, trotz Download und Offline Verfügbarkeit nicht in ...

E-Mail

GMX vs. Mail von Apple

Frage von HamburchE-Mail4 Kommentare

Hi Forum, Ich bin dann mal der Neue ;-) Hoffentlich gibt es hier einen Experten, der mir weiterhelfen kann. ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 12 StundenServer-Hardware3 Kommentare

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 21 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 2 TagenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung30 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
OU an eine Variable übergeben
gelöst Frage von oesi1989Batch & Shell22 Kommentare

Hallo, ich würde gerne alle OUs an eine Variable übergeben und danach einen Teil per .remove entfernen. Das Anzeigen ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing20 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...