8
Live CD Virus-Check am MS Exchange Server
Hallo Cracks,
ich brauche dringendst euren Rat!
Folgende Situation:
Ein SBS2011 als AD und DC sowie mehrere Clients mit Norton 360 als Anti-Virus und Firewall.
Aufm SBS läuft kein Antivirus. (Nennt sich sowas Endpoint-Protection???)
Jetzt haben wir mit ner Linux StartCD mehrere Trojaner auf einem Client entdeckt. Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten. Kann ich den Serverrechner mit ner Kaspersky Start-CD checken lassen, oder zerschieße ich mir damit die Exchange Datenbank (o. a.)? Hatte sowas in der Richtung mal gelesen glaub ich.
Danke für euer Hirnschmalz!
Chris
Ein SBS2011 als AD und DC sowie mehrere Clients mit Norton 360 als Anti-Virus und Firewall.
Aufm SBS läuft kein Antivirus. (Nennt sich sowas Endpoint-Protection???)
Jetzt haben wir mit ner Linux StartCD mehrere Trojaner auf einem Client entdeckt. Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten. Kann ich den Serverrechner mit ner Kaspersky Start-CD checken lassen, oder zerschieße ich mir damit die Exchange Datenbank (o. a.)? Hatte sowas in der Richtung mal gelesen glaub ich.
Danke für euer Hirnschmalz!
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201993
Url: https://administrator.de/contentid/201993
Printed on: April 24, 2024 at 10:04 o'clock
8 Comments
Latest comment
Hallo sirhc4022
In deinem Fall würde ich
a) Client platt machen und neu installieren
b) Einen anständigen AV einsetzen (Egal ob Kaspersky oder Trend Micro)
c) Einen SBS komplett neu aufsetzen mit AV etc. und dann das alte scannen und migrieren
Gruss
adminst
In deinem Fall würde ich
a) Client platt machen und neu installieren
b) Einen anständigen AV einsetzen (Egal ob Kaspersky oder Trend Micro)
c) Einen SBS komplett neu aufsetzen mit AV etc. und dann das alte scannen und migrieren
Gruss
adminst
Hallo,
Das würde ich so nicht unterschreiben.
Beide, Kaspersky und Trend Micro, haben bei uns schon mal was durchgelassen. Man kann sich auf keinen Wächter 100% verlassen.
Ich möchte aber keine Diskussion über die Hersteller auslösen, war nur ein Hinweis.
Klar, komplett neumachen ist das sicherste, aber woher weißt du dann das dein Backup nicht auch schon verseucht ist.
Sonst stelle den kompletten SBS mal auf einem anderem System her, und lass das scannen.
Ist da alles OK, sollte es der SBS selber auch sein, nur geht du so kein Risiko ein.
VG
Deepsys
Das würde ich so nicht unterschreiben.
Beide, Kaspersky und Trend Micro, haben bei uns schon mal was durchgelassen. Man kann sich auf keinen Wächter 100% verlassen.
Ich möchte aber keine Diskussion über die Hersteller auslösen, war nur ein Hinweis.
c) Einen SBS komplett neu aufsetzen mit AV etc. und dann das alte scannen und migrieren
Naja, ich finde es kommt drauf an was das für ein Trojaner war.Klar, komplett neumachen ist das sicherste, aber woher weißt du dann das dein Backup nicht auch schon verseucht ist.
Sonst stelle den kompletten SBS mal auf einem anderem System her, und lass das scannen.
Ist da alles OK, sollte es der SBS selber auch sein, nur geht du so kein Risiko ein.
VG
Deepsys
Danke für die Tipps! Lasse grad n Check von Trend Micro durchlaufen (gabs als Freeware auf deren Seite). Werde den SBS mal auf nem anderen System herstellen und tiefenscannen.
Hallo,
wenn Du einen Filescanner auf die Datenbankdatei läßt, hast Du hoffendlich ein gutes Backup!
Exchange braucht einen Exchangetauglichen virenscanner der die DB-Struktur innerhalb der DB scannt!
Activedirectorydatenbak und Exchangedatenbank sind IMMER aus der Überprüfung eines FileVirenscanners auszuschließen, ausßer man will seine Backups testen
Gruß
Chonta
(PS: es mus nichts kaput gehen aber die Warscheinlichkeit ist hoch das was kaput geht)
wenn Du einen Filescanner auf die Datenbankdatei läßt, hast Du hoffendlich ein gutes Backup!
Exchange braucht einen Exchangetauglichen virenscanner der die DB-Struktur innerhalb der DB scannt!
Activedirectorydatenbak und Exchangedatenbank sind IMMER aus der Überprüfung eines FileVirenscanners auszuschließen, ausßer man will seine Backups testen
Gruß
Chonta
(PS: es mus nichts kaput gehen aber die Warscheinlichkeit ist hoch das was kaput geht)
Moin.
Exchange-Clients können den Server nicht infizieren, falls Du das denkst. Allenfalls auf Netzwerkebene, und da dürfte ja nichts passieren, denn der SBS bekommt doch zeitnah eingespielte Windowsupdates, oder?
Gibt es denn überhaupt einen konkreten Anlass zu glauben, dass der Exchange infiziert ist? Oder ist das jetzt eher eine Panikreaktion?
Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten.
Du weißt, was ein Trojaner ist? Trojanische Pferde werden von Benutzern ausgeführt, die kommen nicht von allein, das wären Würmer.Exchange-Clients können den Server nicht infizieren, falls Du das denkst. Allenfalls auf Netzwerkebene, und da dürfte ja nichts passieren, denn der SBS bekommt doch zeitnah eingespielte Windowsupdates, oder?
Gibt es denn überhaupt einen konkreten Anlass zu glauben, dass der Exchange infiziert ist? Oder ist das jetzt eher eine Panikreaktion?
Moin,
jap, der Server zieht immer die aktuellsten Updates. Es war erstmal alles eine Panikreaktion. Da ich erst so langsam in die Materie "Server" eintauche blicke ich viele Zusammenhänge noch nicht. Wie ein Trojaner dem Grunde nach funktioniert ist mir *eigentlich* klar.
Vielmehr hatte ich jedoch Angst, dass das Pferdchen (welches ja durch serverseitig gespeicherte Profile letztlich auf dem Server gelandet war) aus irgendeinem Grund vom "Benutzer - SYSTEM" oder ähnliches aufgerufen werden könnte. Wieso auch immer. Diese 1000 Benutzer, die auf dem SBS rumschwirren und die für irgendwelche Sachen noch mehr Rechte haben, sind für mich eh noch ungewohnt und totales Neuland. Kein Plan, wann welches Benutzerkonto mit welchen Rechten wann wo ausgeführt wird.
Viel lernen ich noch muss. . .
Zwar off-topic, aber haste da irgendwo was nettes zum Lesen zu diesem Thema?
Schon spät und der Tag war lang. Ich hoffe du blickst mein Kauderwelsch :D
Gruß,
Chris
jap, der Server zieht immer die aktuellsten Updates. Es war erstmal alles eine Panikreaktion. Da ich erst so langsam in die Materie "Server" eintauche blicke ich viele Zusammenhänge noch nicht. Wie ein Trojaner dem Grunde nach funktioniert ist mir *eigentlich* klar.
Vielmehr hatte ich jedoch Angst, dass das Pferdchen (welches ja durch serverseitig gespeicherte Profile letztlich auf dem Server gelandet war) aus irgendeinem Grund vom "Benutzer - SYSTEM" oder ähnliches aufgerufen werden könnte. Wieso auch immer. Diese 1000 Benutzer, die auf dem SBS rumschwirren und die für irgendwelche Sachen noch mehr Rechte haben, sind für mich eh noch ungewohnt und totales Neuland. Kein Plan, wann welches Benutzerkonto mit welchen Rechten wann wo ausgeführt wird.
Viel lernen ich noch muss. . .
Zwar off-topic, aber haste da irgendwo was nettes zum Lesen zu diesem Thema?
Schon spät und der Tag war lang. Ich hoffe du blickst mein Kauderwelsch :D
Gruß,
Chris
Ok, ein paar Aufklärungsversuche:
Der Server würde nie etwas aus den Profilenausführen - wozu sollte er, das sind keine Systemdateien und auch keine Dienste/Programme. Auf diesem Weg wird nichts infiziert.
Wenn ein Benutzer etwas ausführt, was eine elevation of privilege Lücke benutzt, um höhere Rechte als Benutzerrechte zu bekommen, dann sieht das anders aus. El. of. P. kannst Du mal googeln, sollte man kennnen.
Was zu lesen habe ich nicht, nein. Wüsste leider wirklich nicht, wo Du starten könntest.
Der Server würde nie etwas aus den Profilenausführen - wozu sollte er, das sind keine Systemdateien und auch keine Dienste/Programme. Auf diesem Weg wird nichts infiziert.
Wenn ein Benutzer etwas ausführt, was eine elevation of privilege Lücke benutzt, um höhere Rechte als Benutzerrechte zu bekommen, dann sieht das anders aus. El. of. P. kannst Du mal googeln, sollte man kennnen.
Kein Plan, wann welches Benutzerkonto mit welchen Rechten wann wo ausgeführt wird.
Der Nutzer handelt als Nutzer, niemand sonst. Das Systemkonto handelt nie im Auftrag des Nutzers, außer der Admin hat dieses für bestimmte Zwecke gewährt - Beispiel: Windows Updates installieren oder per Softwareveröffentlichung (GPO) zugewiesene Software zu installieren.Was zu lesen habe ich nicht, nein. Wüsste leider wirklich nicht, wo Du starten könntest.
Hey DerWoWusste,
danke für deinen Post. Der war echt nützlich. Darauf lässt sich doch aufbauen. Werde wahrscheinlich um eine richtige Schulung früher oder später nicht herum kommen. Dafür ist der ganze Kram einfach zu komplex. . .
Danke nochmal, du bist der Beste!
danke für deinen Post. Der war echt nützlich. Darauf lässt sich doch aufbauen. Werde wahrscheinlich um eine richtige Schulung früher oder später nicht herum kommen. Dafür ist der ganze Kram einfach zu komplex. . .
Danke nochmal, du bist der Beste!
