Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Symantec Endpoint Protection 11 - leere MAC Adresse

Mitglied: StevenMcMegabyte

StevenMcMegabyte (Level 1) - Jetzt verbinden

13.02.2009, aktualisiert 15:52 Uhr, 7774 Aufrufe

Hallo liebe Forenteilnehmer,

wir haben bei uns Symantec Endpoint Protection Version 11 im Einsatz.
Seit einiger Zeit poppen Meldungen an allen Clients auf

"MSRPC SrvSvc NetApi Buffer Overflow (2) erkannt.
Datenverkehr aus dieser Anwendung wurde blockiert: C:\WINDOWS\system32\ntoskrnl.exe"

Nach kurzem Googeln wird schnell deutlich, dass es sich hier wahrscheinlich um einen Angriff handelt und
Symantec sagt dazu folgendes

Severity: High
This attack could pose a serious security threat. You should take immediate action to stop any damage or prevent further damage from happening.

Beim Nachlesen in anderen Foren zeigt sich, dass hinter dem Angriff immer eine routbare IP-Adresse inkl. korrekter MAC-Adresse steht.

Bei uns ist dies nicht der Fall. Im Sicherheitslogbuch des Scanners steht immer eine APIPA-Adresse und eine leere Mac-Adresse als Quelle (00-00-00-00-00-00).

Ich habe mit Wireshark mal den Verkehr auf einigen Rechnern mitgesnifft.
Damit konnte ich die MAC Adresse eines Cisco 1800 Routers ausfindig machen.

Auch zeitlich lassen sich die Meldungen im Sicherheitslog mit Ethernetframes aus Wireshark übereinanderlegen.
Allerdings nicht alle Pakete, denn der Router versendet eine Menge Pakete mit einer APIPA Adresse.

Zu diesem Sachverhalt habe ich ein paar Fragen.
Vielleicht ist unter euch jemand, der bereits Erfahrungen aus einem ähnlich gelagerten Fall mitnehmen konnte.

Könnte es sein, dass ein anderer aktiver Knoten im Netzwerk sich der MAC des Routers bedient?
Könnte das IOS des Routers derart kompromitiert sein, dass er plötzlich Pakete mit APIPA Adressen versendet?
Ich bin ziemlich ratlos, wie ich weiter vorgehen könnte. Leider habe ich keinen Zugriff auf den Router. Hat jemand noch einen Tipp für mich?

Vielen Dank im Voraus.
Beste Grüße
Steven
Ähnliche Inhalte
Windows Server

Symantec Endpoint Protection deinstallieren

Frage von r00t-1337Windows Server1 Kommentar

Hallo zusammen, kennt jemand eine brauchbare Lösung um Symantec Endpoint Protection v 12.1.671.4971 via GPO bzw. automatisiert zu deinstallieren. ...

Sicherheits-Tools

Symantec Endpoint Protection Manager 12.1.6MP1a

Frage von Henning32Sicherheits-Tools2 Kommentare

Moin moin liebe "Administrator- Gemeinde" habe eine frage zu SEPM 12.1.6MP1a bzw. zum LUA. Ich möchte gerne einen eigenen ...

Viren und Trojaner

Symantec Endpoint Protection von 11.x auf 12.1.5 Dienste verschwunden

gelöst Frage von BastolyViren und Trojaner2 Kommentare

Hallo Zusammen, hab mich jetzt doch endlich dazu durchgerungen mich hier anzumelden, bisher war ich ein stiller mitleser. Nun ...

Erkennung und -Abwehr

Symantec Endpoint Protection und Mc Afee gleichzeitig betreiben

Frage von KarlariaErkennung und -Abwehr1 Kommentar

Hallo zusammen, Zur Zeit benutzen wir zum Schutz vor mal/spyware Symantec endpoint protection. Wir wollen jedoch auch Mc Afee ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 6 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 6 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 10 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server39 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...