hendrik2586
Goto Top

Sicherheitssoftware in euren Unternehmen!

Guten Morgen liebe Freunde. face-smile

Ich hab da mal eine Frage! face-smile

Wir haben zur Absicherung unseres Netzwerkes nach draußen eine Sophos UTM 9. Nun scheint aber doch ein relativ kleiner Schädling seinen Weg in unser Netz gefunden zu haben.

Leider hab ich bis jetzt die Quelle noch nicht ausfindig machen können.

Kennt ihr eine gutes Programm das, zur Sicherung des Netzwerkes dient, es scannt und Schädlinge beseitigen kann? ( bin heute nicht ganz auf der Höhe)

Normalerweise haben Wir Kaspersky aber ganz ehrlich gesagt funktioniert das im Domänen Bereich mehr schlecht als Recht bin ich der Meinung.

Ich bin dankbar für jedes Feedback.

Content-Key: 352073

Url: https://administrator.de/contentid/352073

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.10.2017 um 08:46:35 Uhr
Goto Top
Zitat von @Hendrik2586:

Kennt ihr eine gutes Programm das, zur Sicherung des Netzwerkes dient, es scannt und Schädlinge beseitigen kann? ( bin heute nicht ganz auf der Höhe)


Alles offline nehmen und ein gerät nach dem anderen scannen und dann wieder online schalten.

ist die einzige verlässliche Methode.

lks
Mitglied: Hendrik2586
Hendrik2586 18.10.2017 um 08:49:06 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Hendrik2586:

Kennt ihr eine gutes Programm das, zur Sicherung des Netzwerkes dient, es scannt und Schädlinge beseitigen kann? ( bin heute nicht ganz auf der Höhe)


Alles offline nehmen und ein gerät nach dem anderen scannen und dann wieder online schalten.

ist die einzige verlässliche Methode.

lks


Diese Methode hatte ich auch schon im Kopf, aber dsa kommt eigentlich nicht in Frage denn dafür sind es einfach zu viele für eine Person.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.10.2017 aktualisiert um 09:00:41 Uhr
Goto Top
Zitat von @Hendrik2586:

Diese Methode hatte ich auch schon im Kopf, aber dsa kommt eigentlich nicht in Frage denn dafür sind es einfach zu viele für eine Person.

Dann setzt einen tftp-server auf, mach da desinfect drauf und lass alle Kisten per WOL+PXE booten. Dann kann man den Scan in der Nacht machen. face-smile

lks
Mitglied: Hendrik2586
Hendrik2586 18.10.2017 um 08:57:12 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Hendrik2586:

Diese Methode hatte ich auch schon im Kopf, aber dsa kommt eigentlich nicht in Frage denn dafür sind es einfach zu viele für eine Person.

Dann setzt einen tftp-server auf, mach da desinfect drauf und lass alle Kisten per WOL+PXE booten. Dann kann man den Scan in der nacht machen. face-smile

lks
Ja das wäre natürlich eine Möglichkeit. Das Problem ist das 30% definitiv aufgrund des alters noch kein PoE unterstützen. :D
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.10.2017 um 09:04:49 Uhr
Goto Top
Zitat von @Hendrik2586:

Ja das wäre natürlich eine Möglichkeit. Das Problem ist das 30% definitiv aufgrund des alters noch kein PoE unterstützen. :D

PoE ist eine ganz andere Baustelle. Du verwechselst da offensichtlich etwas.

WoL: Einschalten der Kisten über Netzwerk.
PXE: booten der Kisten übers Netzwerk

Falls Du alte Kisten hacts, kannst Du Dir ein pxe-bootmedium machen, z.B. mit gPXE alias Etherboot. udn die Kisten dann davon booten lassen.

lks
Mitglied: Hendrik2586
Hendrik2586 18.10.2017 um 09:06:30 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Hendrik2586:

Ja das wäre natürlich eine Möglichkeit. Das Problem ist das 30% definitiv aufgrund des alters noch kein PoE unterstützen. :D

PoE ist eine ganz andere Baustelle. Du verwechselst da offensichtlich etwas.

Ach Sorry, ich hab mich gerade vertan. X-/ WoL natürlich.


WoL: Einschalten der Kisten über Netzwerk.
PXE: booten der Kisten übers Netzwerk

Falls Du alte Kisten hacts, kannst Du Dir ein pxe-bootmedium machen, z.B. mit gPXE alias Etherboot. udn die Kisten dann davon booten lassen.

lks
Mitglied: Hendrik2586
Hendrik2586 18.10.2017 um 09:23:10 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Hendrik2586:

Ja das wäre natürlich eine Möglichkeit. Das Problem ist das 30% definitiv aufgrund des alters noch kein PoE unterstützen. :D

PoE ist eine ganz andere Baustelle. Du verwechselst da offensichtlich etwas.

WoL: Einschalten der Kisten über Netzwerk.
PXE: booten der Kisten übers Netzwerk

Falls Du alte Kisten hacts, kannst Du Dir ein pxe-bootmedium machen, z.B. mit gPXE alias Etherboot. udn die Kisten dann davon booten lassen.

lks


Hast du ne Iso oder sowas für Desinfect? Finde da nur dumme Weiterleitungen.
Mitglied: Vision2015
Vision2015 18.10.2017 um 10:27:01 Uhr
Goto Top
Zitat von @Hendrik2586:

Guten Morgen liebe Freunde. face-smile
Guten Morgen,

Ich hab da mal eine Frage! face-smile
ok..

Wir haben zur Absicherung unseres Netzwerkes nach draußen eine Sophos UTM 9. Nun scheint aber doch ein relativ kleiner Schädling seinen Weg in unser Netz gefunden zu haben.
tja.. das eine hat ja auch nix mit dem anderen zu tun?

Leider hab ich bis jetzt die Quelle noch nicht ausfindig machen können.
das ist schlecht

Kennt ihr eine gutes Programm das, zur Sicherung des Netzwerkes dient, es scannt und Schädlinge beseitigen kann? ( bin heute nicht ganz auf der Höhe)
Endpoint Security for Business kann das...
was genau willst du scannen?

Normalerweise haben Wir Kaspersky aber ganz ehrlich gesagt funktioniert das im Domänen Bereich mehr schlecht als Recht bin ich der Meinung.
von welchen Kaspersky redest du den da genau?
Endpoint Security for Business scheint es aber nicht zu sein, oder du bist nicht mit der bedienung vertraut!
und warum meinst du das es eher schlecht als recht funktioniert?


Ich bin dankbar für jedes Feedback.
Alles offline nehmen und ein gerät nach dem anderen scannen und dann wieder online schalten.
ist die einzige verlässliche Methode.
Diese Methode hatte ich auch schon im Kopf, aber dsa kommt eigentlich nicht in Frage denn dafür sind es einfach zu viele für eine Person.
dann besorg dir Hilfe.... oder lass es sein!
Nun scheint aber doch ein relativ kleiner Schädling seinen Weg in unser Netz gefunden zu haben.
was für einer ist es den? und wie hast du ihn gefunden!

Frank
Mitglied: Hendrik2586
Hendrik2586 18.10.2017 um 12:22:02 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @Hendrik2586:

Guten Morgen liebe Freunde. face-smile
Guten Morgen,

Ich hab da mal eine Frage! face-smile
ok..

Wir haben zur Absicherung unseres Netzwerkes nach draußen eine Sophos UTM 9. Nun scheint aber doch ein relativ kleiner Schädling seinen Weg in unser Netz gefunden zu haben.
tja.. das eine hat ja auch nix mit dem anderen zu tun?

Leider hab ich bis jetzt die Quelle noch nicht ausfindig machen können.
das ist schlecht

Kennt ihr eine gutes Programm das, zur Sicherung des Netzwerkes dient, es scannt und Schädlinge beseitigen kann? ( bin heute nicht ganz auf der Höhe)
Endpoint Security for Business kann das...
was genau willst du scannen?

Normalerweise haben Wir Kaspersky aber ganz ehrlich gesagt funktioniert das im Domänen Bereich mehr schlecht als Recht bin ich der Meinung.
von welchen Kaspersky redest du den da genau?
Endpoint Security for Business scheint es aber nicht zu sein, oder du bist nicht mit der bedienung vertraut!
und warum meinst du das es eher schlecht als recht funktioniert?


Ich bin dankbar für jedes Feedback.
Alles offline nehmen und ein gerät nach dem anderen scannen und dann wieder online schalten.
ist die einzige verlässliche Methode.
Diese Methode hatte ich auch schon im Kopf, aber dsa kommt eigentlich nicht in Frage denn dafür sind es einfach zu viele für eine Person.
dann besorg dir Hilfe.... oder lass es sein!
Nun scheint aber doch ein relativ kleiner Schädling seinen Weg in unser Netz gefunden zu haben.
was für einer ist es den? und wie hast du ihn gefunden!

Frank


Deine Worte klingen ganzschön hochtrabend wenn ich ehrlich sein soll und sie gefallen mir gar nicht. Helfen kann man, aber das sollte man mit vernünftige Worten machen.


Weil der Kaspersky ESFB mir zu wenig erkennt, da ist der Standard Client der Sophos ja besser.

Tja wenn ich das genau wüsste. Es macht sich bemerkbar dadurch, das auf den VM Servern sehr komische Dienste auftauchen ( nur Zahlen, kein Name).
Mitglied: Vision2015
Vision2015 18.10.2017 um 13:50:16 Uhr
Goto Top
moin...
Deine Worte klingen ganzschön hochtrabend wenn ich ehrlich sein soll und sie gefallen mir gar nicht. Helfen kann man, aber das sollte man mit vernünftige Worten machen.

ich kann da jetzt nix hochtrabendes sehen... aber nun ja-...
warum lernst du nicht einfach mal deine Frage ordentlich zu stellen, und antoworten auf die fragen zu geben, die gestellt werden!
so kann dir keiner helfen!

Weil der Kaspersky ESFB mir zu wenig erkennt, da ist der Standard Client der Sophos ja besser.
da halte ich jetzt mal für ein gerücht!
was hast du wie & wo eingestellt ?
welche module sind wie und wo eingerichtet?
nun, einen 100% schutz bekommst du nirgendwo.... deswegen ab und an, muss der user seinen kopf einschalten!

Tja wenn ich das genau wüsste. Es macht sich bemerkbar dadurch, das auf den VM Servern sehr komische Dienste auftauchen ( nur Zahlen, kein Name).

was sind das für Server ? File oder RDP ?
ist ja super, das es VM´s sind... mach ne copy und teste das auf einen anderen Host.
am besten erstmal nen offlinescan machen!
ESXI oder Hyper-V ?
was sagt der process explorer ?

Frank
Mitglied: H41mSh1C0R
H41mSh1C0R 18.10.2017 um 15:15:16 Uhr
Goto Top
Vielleicht wäre es auch nicht verkehrt den Traffic nach außen zu blocken, wenn da schon obskure Dienste auftauchen.
Mitglied: Vision2015
Vision2015 18.10.2017 um 15:53:42 Uhr
Goto Top
Zitat von @H41mSh1C0R:

Vielleicht wäre es auch nicht verkehrt den Traffic nach außen zu blocken, wenn da schon obskure Dienste auftauchen.
JO, DA HAST DU RECHT..

normal wäre es, das Netz abzuschalten, und dann stück stück zu scannen!

Frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.10.2017 um 16:01:48 Uhr
Goto Top
Zitat von @Vision2015:

normal wäre es, das Netz abzuschalten, und dann stück stück zu scannen!

ebend. s.o.

lks
Mitglied: muftypeter
muftypeter 24.10.2017 um 07:37:57 Uhr
Goto Top
Hallo,
auf den VM-Servern (Host) oder Guest Systemen?
Was wird darauf gehostet?

Würde die Dinger auch erstmal offline nehmen oder wenigstens hinter einer Firewall laufen lassen wenn nicht abschaltbar. Wenn man schon weis, dass da was ist, dann sollte das nicht weiter sein Unwesen treiben dürfen.

Wenn es nur die VM-Umgebung getroffen hat, dann ist das ja ein einzugrenzender Raum.

Peter
Mitglied: Hendrik2586
Hendrik2586 25.10.2017 um 14:11:53 Uhr
Goto Top
Zitat von @muftypeter:

Hallo,
auf den VM-Servern (Host) oder Guest Systemen?
Was wird darauf gehostet?

Würde die Dinger auch erstmal offline nehmen oder wenigstens hinter einer Firewall laufen lassen wenn nicht abschaltbar. Wenn man schon weis, dass da was ist, dann sollte das nicht weiter sein Unwesen treiben dürfen.

Wenn es nur die VM-Umgebung getroffen hat, dann ist das ja ein einzugrenzender Raum.

Peter


Also wir haben nun rausgefunden was uns hier "besucht hat" !!!!

https://www.kaspersky.de/about/press-releases/2015_bank-trojaner-emotet- ...

Wir haben die angerouteten Sites sperren lassen. Zeitnahe wird alles vom Netz genommen, gescannt, bereinigt und dann wieder zusammen geschlossen.

Oder kennt dort jemand ein schönes Removal tool?????


Ihr solltet auch in euren Unternehmen die Leute nochmal darauf sensibilisieren. Ich tue dieses regelmäßig und trotzdem ist das Teil nun bei uns zu Besuch. Es kam definitv mit einer Mail rein.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.10.2017 um 15:45:58 Uhr
Goto Top
Zitat von @Hendrik2586:

Wir haben die angerouteten Sites sperren lassen. Zeitnahe wird alles vom Netz genommen, gescannt, bereinigt und dann wieder zusammen geschlossen.

bereinigt? Nicht neu aufgesetzt?


Oder kennt dort jemand ein schönes Removal tool?????

"restore backup"

Ihr solltet auch in euren Unternehmen die Leute nochmal darauf sensibilisieren. Ich tue dieses regelmäßig und trotzdem ist das Teil nun bei uns zu Besuch. Es kam definitv mit einer Mail rein.

Dann brauchst Du das passende LART, wie z.B.

lart
Cat9

oder

kloppe
Kloppe

lks

lks
Mitglied: Hendrik2586
Hendrik2586 26.10.2017 um 07:39:17 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Hendrik2586:

Wir haben die angerouteten Sites sperren lassen. Zeitnahe wird alles vom Netz genommen, gescannt, bereinigt und dann wieder zusammen geschlossen.

bereinigt? Nicht neu aufgesetzt?


Oder kennt dort jemand ein schönes Removal tool?????

"restore backup"

Ihr solltet auch in euren Unternehmen die Leute nochmal darauf sensibilisieren. Ich tue dieses regelmäßig und trotzdem ist das Teil nun bei uns zu Besuch. Es kam definitv mit einer Mail rein.

Dann brauchst Du das passende LART, wie z.B.

lart
Cat9

oder

kloppe
Kloppe

lks

lks

Neu aufsetzen definitiv nicht, dafür würde die Zeit nicht reichen. Ich bin alleine für fast alles verantwortlich und wir haben weit über 100 Clients. Da bräuchte ich schon mehr als ein WE für und was macht die Produktion und Ähnliches in der Zwischenzeit?

Ich werde mit der Sophos Endpoint Protection, Malewarbytes und Ähnlichem arbeiten und die Dienste Manuell killen. Hoffe das reicht. Mal schauen was google ncoh so anbietet.
Mitglied: Vision2015
Vision2015 26.10.2017 um 15:12:14 Uhr
Goto Top
Zitat von @Hendrik2586:

Zitat von @Lochkartenstanzer:

Zitat von @Hendrik2586:

Wir haben die angerouteten Sites sperren lassen. Zeitnahe wird alles vom Netz genommen, gescannt, bereinigt und dann wieder zusammen geschlossen.

bereinigt? Nicht neu aufgesetzt?


Oder kennt dort jemand ein schönes Removal tool?????

"restore backup"

Ihr solltet auch in euren Unternehmen die Leute nochmal darauf sensibilisieren. Ich tue dieses regelmäßig und trotzdem ist das Teil nun bei uns zu Besuch. Es kam definitv mit einer Mail rein.

Dann brauchst Du das passende LART, wie z.B.

lart
Cat9

oder

kloppe
Kloppe

lks

lks

Neu aufsetzen definitiv nicht, dafür würde die Zeit nicht reichen. Ich bin alleine für fast alles verantwortlich und wir haben weit über 100 Clients. Da bräuchte ich schon mehr als ein WE für und was macht die Produktion und Ähnliches in der Zwischenzeit?
Also keine Zeit, ist ja wohl in diesem Fall kein Argument!
ich denke, du solltest dir dann prof. Hilfe besorgen, und deinen GF, Chef sagen, das du das so Zeitlich nicht kannst....
ich verstehe das eure Produktion wichtig ist, nur wenn nix mehr geht, weil du etwas übersehen hast etc... was sagst du dann?
Sorry, es war keine zeit?

Ich werde mit der Sophos Endpoint Protection, Malewarbytes und Ähnlichem arbeiten und die Dienste Manuell killen. Hoffe das reicht. Mal schauen was google ncoh so anbietet.
wenn du nicht offline scannst, wird das nix.... glaub mir, wir machen sowas einmal die woche bei kunden... und wo schnell schnell gemacht wurde, kamm meist ein bumerang...
ich finde, ohne dir etwas zu wollen, du gehst da etwas naiv dran...
Frank
Mitglied: Hendrik2586
Hendrik2586 27.10.2017 um 07:00:40 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @Hendrik2586:

Zitat von @Lochkartenstanzer:

Zitat von @Hendrik2586:

Wir haben die angerouteten Sites sperren lassen. Zeitnahe wird alles vom Netz genommen, gescannt, bereinigt und dann wieder zusammen geschlossen.

bereinigt? Nicht neu aufgesetzt?


Oder kennt dort jemand ein schönes Removal tool?????

"restore backup"

Ihr solltet auch in euren Unternehmen die Leute nochmal darauf sensibilisieren. Ich tue dieses regelmäßig und trotzdem ist das Teil nun bei uns zu Besuch. Es kam definitv mit einer Mail rein.

Dann brauchst Du das passende LART, wie z.B.

lart
Cat9

oder

kloppe
Kloppe

lks

lks

Neu aufsetzen definitiv nicht, dafür würde die Zeit nicht reichen. Ich bin alleine für fast alles verantwortlich und wir haben weit über 100 Clients. Da bräuchte ich schon mehr als ein WE für und was macht die Produktion und Ähnliches in der Zwischenzeit?
Also keine Zeit, ist ja wohl in diesem Fall kein Argument!
ich denke, du solltest dir dann prof. Hilfe besorgen, und deinen GF, Chef sagen, das du das so Zeitlich nicht kannst....
ich verstehe das eure Produktion wichtig ist, nur wenn nix mehr geht, weil du etwas übersehen hast etc... was sagst du dann?
Sorry, es war keine zeit?

Ich werde mit der Sophos Endpoint Protection, Malewarbytes und Ähnlichem arbeiten und die Dienste Manuell killen. Hoffe das reicht. Mal schauen was google ncoh so anbietet.
wenn du nicht offline scannst, wird das nix.... glaub mir, wir machen sowas einmal die woche bei kunden... und wo schnell schnell gemacht wurde, kamm meist ein bumerang...
ich finde, ohne dir etwas zu wollen, du gehst da etwas naiv dran...
Frank
Guten Morgen Frank. face-smile

Ich danke dir für deine wahren aber sehr nett ausgedrückten Worte.

Natürlich habe ich bereits einen Zeitplan zwecks eines Offlinescanvorgangs, nur komplett alles neu aufsetzen ist zeitlich nicht drin. Ich habe mir aber schon einen Plan gemacht wie ich vorgehe.

Das Einzige was ich mir nun noch überlegen muss, ist ein Problem mit unserer Qnap denn die macht mir noch ein bisschen Sorgen. Sie lässt Veeam z.B nicht mehr auf die durch SMB freigegebenen Ordner zugreifen und das ist nicht wirklich gut.