49110
Jan 25, 2010, updated at Feb 09, 2010 (UTC)
8863
24
0
Wenn bei einem Virus garnichts mehr Hilft? Virenspezialist?
Ein Unternehmen wird eines Viruses nicht mehr mächtig und kann diesen mit sämtlichen Sicherheitstools nicht mehr entfernen auch nicht mit der Enterprise Virenschutzlösung (Kaspersky Open Space Security). Der Virus hat mehrere Client PC's befallen und auch Server, das ausmaß der Verbreitung ist für den Betrieb "kritisch" weil nicht mehr gearbeitet werden kann.
Ein Unternehmen wird eines Viruses nicht mehr mächtig und kann diesen mit sämtlichen Sicherheitstools nicht mehr entfernen auch nicht mit der Enterprise Virenschutzlösung (Kaspersky Open Space Security). Der Virus hat mehrere Client PC's befallen und auch Server, das ausmaß der Verbreitung ist für den Betrieb "kritisch" weil nicht mehr gearbeitet werden kann.
In diesem fall ist trotz Vorkehrungen der Worst-Case eingetreten, wie der Virus in das Unternehmen kam, ist vorab zweitrangiger Priorität einzustufen, was könnte man in diesem Fall dem Unternehmen raten? Habt ihr Ideen / Anregungen, es gibt doch bestimmt Firmen die sich darauf spezialisiert haben und dem Unternehmen helfen könnten. Würdet Ihr direkt über Kaspersky gehen, hat jemand schon solche Erfahrungen gemacht?
In diesem fall ist trotz Vorkehrungen der Worst-Case eingetreten, wie der Virus in das Unternehmen kam, ist vorab zweitrangiger Priorität einzustufen, was könnte man in diesem Fall dem Unternehmen raten? Habt ihr Ideen / Anregungen, es gibt doch bestimmt Firmen die sich darauf spezialisiert haben und dem Unternehmen helfen könnten. Würdet Ihr direkt über Kaspersky gehen, hat jemand schon solche Erfahrungen gemacht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 134246
Url: https://administrator.de/contentid/134246
Printed on: April 19, 2024 at 08:04 o'clock
24 Comments
Latest comment
das wichtigste ist die Server voneinander abschotten um in Fleissarbeit jeden Server einzeln zu behandeln, wenn möglich.
Wenn Backups vorhanden sind, evtl. die Server sogar virtualisiert sind, alte VMs/Backups einspielen wo das Problem noch nicht bestand.
Um was für einen Virus geht es?
Client-Server oder Terminal-Server Lösung im Einsatz?
Viele Viele Fragen ^^
Wenn Backups vorhanden sind, evtl. die Server sogar virtualisiert sind, alte VMs/Backups einspielen wo das Problem noch nicht bestand.
Um was für einen Virus geht es?
Client-Server oder Terminal-Server Lösung im Einsatz?
Viele Viele Fragen ^^
Wir sind Dienstleister für ein Warenwirtschaftsystem in dem Unternehmen und nicht spezialisiert auf dem Gebiet was Virenentfernung anbelangt, also fällt das nicht in unseren Tätigkeitsbereich. Das Unternehmen hat eine eigene IT Abteilung die sich dem Problem bereits angenommen hat, diese wiederum haben sich an uns gewandt, weil Ihnen die gängigen mittel einfach nicht weiterhelfen. Dettailierte Fragen wurden seitens eines anderen Mitarbeiters nicht gestellt, wir wollen dem Unternehmen lediglich eine Firma / Spezialisten übermitteln die sich dem Problem professionell annehmen...Eine Formatierung von verschiedenen Systemen wäre in meinen Augen z.B. keine Lösung, im Heimbereich kann man das gerne mal machen aber bei einem Unternehmen mit 300 Mitarbeitern und 20 Servern ist das eher unangebracht.
einem Unternehmen mit 300 Mitarbeitern und 20 Servern ist das eher unangebracht.
Der Virus macht da wohl keine Unterschiede, also plattmachen, neu installieren und backups einspielen.
Gruß, Arch Stanton
Bei Servern wohl kein Problem wenn tägliche Backups des kompletten Systems vorhanden sind. Wir haben da kein Problem weil unsere Server mit Linux bei dem Kunden stehen...Über die Backupvorkehrungen weis ich auf den Windows Servern leider nicht bescheid, weil dies eben die eigene IT-Abteilung betreut, bei Clients, sprich den Arbeitsplätzen gibt es in vielen Unternehmen keine Backups weil sie lediglich das front-end bilden. Aber nun nochmals, mit so einer Aussage ist dem Unternehmen nicht unbedingt geholfen, Ihr wollt mir jetzt nicht ernsthaft weiss machen dass es keine IT Dienstleister im Umfeld IT-Sicherheit spezialisiert auf Viren- / Wurm- / Malwareentfernung gibt, die sich dem Problem annehmen würde?
Zitat von @Arch-Stanton:
> einem Unternehmen mit 300 Mitarbeitern und 20 Servern ist das eher unangebracht.
Der Virus macht da wohl keine Unterschiede, also plattmachen, neu installieren und backups einspielen.
Gruß, Arch Stanton
> einem Unternehmen mit 300 Mitarbeitern und 20 Servern ist das eher unangebracht.
Der Virus macht da wohl keine Unterschiede, also plattmachen, neu installieren und backups einspielen.
Gruß, Arch Stanton
Mir scheint so als ob hier die eigentlich Frage komplett / absichtlich überlesen wird? Mit System Plattmachen und neu aufsetzen ist nicht professionell geholfen. Die vorgehensweise wäre wie gesagt Server und Clients einzeln auseinander zu halten, vom netz zu trennen und dann versuchen die Schädlingssoftware zu entfernen, erst wenn das alles nicht hilft wird an Backups gedacht und diese werden zurückgespielt, aber selbst hier ist nicht sicher wann und wo der Virus das System/ die Systeme befallen hat. Hier geht es eigentlich nicht um die Frage nach dem eigentlichen Vorgang sondern wer den Vorgang ausführt, hier ist schon klar dass das Unternehmen selbst (die eigene IT Abteilung) Hilfe eines professionellen Dienstleisters braucht, der die Tätigkeiten die ihr hier vorschlagt ausführt! Und genau das ist meine Frage, wen Ihr hier wärmstens Empfehlen könntet?
Hallo,
wenn die schon Kaspersky einsetzen, würde ich als erstes mal mit deren Support Kontakt aufnehmen.
wenn die schon Kaspersky einsetzen, würde ich als erstes mal mit deren Support Kontakt aufnehmen.
professionell ist also das tagelange herumdoktern mit Virenschutzprogrammen? Meines Erachtens verhält es sich mit einem Firmen-Pc genau wie mit einem Privat-PC. Wenn systemrelevante Dateien zerstört sind, was bei deinem Kunden noch zu ermitteln sein wird, dann wird man um eine Neuinstallation nicht herumkommen. Warum findest Du keine Dienstleister? Es gibt doch genug Hersteller von A wie Avira bis ... Einfach mal bei denen melden.
Gruß, Arch Stanton
Gruß, Arch Stanton
Hi Tommy
Das ist eine sehr gute Idee, diese habe ich bereits vorgeschlagen, stellt sich nur die Frage ob es über Kaspersky einen Fachmann gibt der sich das vor Ort anschaut, bin gespannt auf deren Antwort. Hat vielleicht noch jemand Erfahrungen damit gemacht und sich mal externe Hilfe geholt?
Danke für dein Beitrag Tommy
Das ist eine sehr gute Idee, diese habe ich bereits vorgeschlagen, stellt sich nur die Frage ob es über Kaspersky einen Fachmann gibt der sich das vor Ort anschaut, bin gespannt auf deren Antwort. Hat vielleicht noch jemand Erfahrungen damit gemacht und sich mal externe Hilfe geholt?
Danke für dein Beitrag Tommy
Zitat von @Arch-Stanton:
professionell ist also das tagelange herumdoktern mit Virenschutzprogrammen? Meines Erachtens verhält es sich mit einem
Firmen-Pc genau wie mit einem Privat-PC. Wenn systemrelevante Dateien zerstört sind, was bei deinem Kunden noch zu ermitteln
sein wird, dann wird man um eine Neuinstallation nicht herumkommen. Warum findest Du keine Dienstleister? Es gibt doch genug
Hersteller von A wie Avira bis ... Einfach mal bei denen melden.
Gruß, Arch Stanton
professionell ist also das tagelange herumdoktern mit Virenschutzprogrammen? Meines Erachtens verhält es sich mit einem
Firmen-Pc genau wie mit einem Privat-PC. Wenn systemrelevante Dateien zerstört sind, was bei deinem Kunden noch zu ermitteln
sein wird, dann wird man um eine Neuinstallation nicht herumkommen. Warum findest Du keine Dienstleister? Es gibt doch genug
Hersteller von A wie Avira bis ... Einfach mal bei denen melden.
Gruß, Arch Stanton
Arch-Stanton
Mittlerweile hast du also auch geschnallt um was es hier geht, genau das ist eben die Frage...Bietet der Dienstleister einen Service an wo ein Mitarbeiter vor Ort kommt und sich das ganze anschaut oder bietet er z.B. nur die Software anversich an und ich Frage hier einfach nur wer damit schon Erfahrung gemacht hat und Empfehlungen aussprechen kann. Alle anderen Vorschläge zur Vorgehensweise haben einen Hauch von persönlichen Vorgehensweisen wie man das Problem angehen "könnte". Aber ist ja auch okey dass man sich auch damit befasst / beschäftigt, also Danke für deine Vorschläge...
da du dich so auf das behandeln festlegst:
- ruf die Firmen an und frage ob die dir einen Fachmann vorbei schicken auch wenn der im Fall des Falles selber deinen Backup einspielt und Sauber Geld dabei einsackt
Ich denke wenn ihr den Service bezahlt, wird jedes AV Unternehmen einen Fachmann vorbeischicken, nur wird das bei steigender Größe des Serverparks keine Aldiaktion.
Wie groß ist die IT Abteilung in dem betroffenen Unternehmen?
- ruf die Firmen an und frage ob die dir einen Fachmann vorbei schicken auch wenn der im Fall des Falles selber deinen Backup einspielt und Sauber Geld dabei einsackt
Ich denke wenn ihr den Service bezahlt, wird jedes AV Unternehmen einen Fachmann vorbeischicken, nur wird das bei steigender Größe des Serverparks keine Aldiaktion.
Wie groß ist die IT Abteilung in dem betroffenen Unternehmen?
Ich glaub die interne IT Abteilung bei denen hat ca. 5 Mitarbeiter...Bisher hab ich keine Info von Ihnen wie es um einen Fachmann von Kaspersky steht der das ganze wieder gerade biegt. ICh muss ehrlich sagen ich hatte bisher intern das vergnügen mal einen befallenen Exchange wieder auf fordermann zu bringen und als Zuckerschlecken war das nicht zu bezeichnen. Ich frag mich ja selbst wozu das Unternehmen eine 5 köpfige IT Abteilung hat die das dann nach aussen weitergeben will, vielleicht ist das Problem Ihnen schlichtweg über den Kopf gewachsen, nimm mal an sonst hätten Sie auch nicht hier bei mir angerufen...Ich schweif jetzt auch mal ein bissl vom Thema ab...Mir sind in dem Bereich etwas die Hände gebunden, allein im IT Sicherheitsbereich sich frei zu bewegen ist nicht sonderlich einfach, man möge nur dran denken, du bist bei einer Firma angestellt und bietest z.B. IT Sicherheit in Form von einer AV Lösung einem Kunden an, dem passiert genau sowas wie jetzt, dieser stellt dann eine Schadensersatzforderung an dich und klagt das ganze natülich gesetzlich ein...Welche Vorkehrungen für solch einen Fall hast du getroffen?
1. Welcher Schädling?
2. Welche Versuche wurden unternommen um ihn zu entfernen?
3. Gibt es von Antivirus Herstellern bekannte Gegenmittel? Wenn die nicht helfen: Support anrufen!
4. letzte (!) Möglichkeit: Neuinstallation aus Backups.
2. Welche Versuche wurden unternommen um ihn zu entfernen?
3. Gibt es von Antivirus Herstellern bekannte Gegenmittel? Wenn die nicht helfen: Support anrufen!
4. letzte (!) Möglichkeit: Neuinstallation aus Backups.
Hallo,
ich bin ein Spezialist für solche Problemfälle. Ich/Wir haben vielfach schon genau solche Probleme gelöst.
Referenzen haben wir auch genau in dem Bereich. Gerne stehen wir hierfür, falls noch Bedarf besteht bereit.
Gruß
mic
ich bin ein Spezialist für solche Problemfälle. Ich/Wir haben vielfach schon genau solche Probleme gelöst.
Referenzen haben wir auch genau in dem Bereich. Gerne stehen wir hierfür, falls noch Bedarf besteht bereit.
Gruß
mic
Moin isAG-fz, ich würde alle rechner Plattmachen - damit kann man sich sicher sein das der Virus entfernt wurde.
Dann würde ich ein Rechner mit M0n0wall zur firewall umfunktionieren.
Dann würde ich ein Rechner mit M0n0wall zur firewall umfunktionieren.
Vielleicht ein wenig unprofessionel, aber in kleineren Netzwerken hats funktioniert...
1. alle Kabel ziehen
2. z.B. Desinfect (heise aus der ct) lizenziert einsetzten, sprich enthaltene Virenscanner kaufen (oder unterliege ich da einem Irrtum, dass das dann immer noch nicht legal ist?)
3. Virensignaturen auf USB Stick ziehen
4. jeden Rechner scannen
5. Daumen drücken, dass keine Systemrelevanten Dateinen weg oder beschädigt sind (sonst aus Backup oder von sauberem System neu einspielen)
Dafür braucht man meiner Meinung nach nicht unbedingt einen Virenspezialisten.
Vorher kann man ja noch ein Vollbackup ziehen, damit man den Ausgangszustand wieder herstellen kann.
Könnte funktionieren, muss aber nicht...
Gruß
FalconTR
1. alle Kabel ziehen
2. z.B. Desinfect (heise aus der ct) lizenziert einsetzten, sprich enthaltene Virenscanner kaufen (oder unterliege ich da einem Irrtum, dass das dann immer noch nicht legal ist?)
3. Virensignaturen auf USB Stick ziehen
4. jeden Rechner scannen
5. Daumen drücken, dass keine Systemrelevanten Dateinen weg oder beschädigt sind (sonst aus Backup oder von sauberem System neu einspielen)
Dafür braucht man meiner Meinung nach nicht unbedingt einen Virenspezialisten.
Vorher kann man ja noch ein Vollbackup ziehen, damit man den Ausgangszustand wieder herstellen kann.
Könnte funktionieren, muss aber nicht...
Gruß
FalconTR
Hallo isAG-fz,
ich gebe dir da recht : Plattmachen ist in einer solchen Umgebung kaum realisierbar.
Jeder Virus ist auch manuel wieder entfernbar, allerdings stellt sich die Frage der Zeit, des Ausfalles und des Arbeitsaufwandes.
Gibt es aktuelle Backups, dann einspielen und verlustierte Daten nachpflegen, bedarf ein wenig Koordination der IT mit den "Dateneingebern".
Als Beispiel :
Ich arbeite in einem größeren, sicherheitsrelevanten Unternehmen.
Wenn die Unternehmensdaten so "relevant" sind darf man NIE auf eine AV und eine FW-Lösung setzen.
[Mind. 2-Stufenkonzept].
Zusammensetzen der IT´ler, Plan machen ! Planloses Vorgehen erschwert die Arbeit.
Festsetzen von Prioritätsservern/Schlüsselservern - Diese zuerst abarbeiten [FInanzdatenbankserver etc.]
Dann sekundäre Server abarbeiten.
Feststetzen von Prioritätsworkstations/schlüsse-PC´s. - Diese zuerst abarbeiten, dann sekundäre PC´s. [Buchhaltung/Controlling etc.]
1. Frage, Klärung wie ist der Virus in das System gekommen.
Kann die Frage nicht geklärt werden, ist eine Neuinfektion [nach manueller Entfernung oder nach "Plattmachen"] sehr wahrscheinlich
2. Ist das "Eindringen" bekannt, zuerst den Weg versperren
3. Identifizierung des Viruses [Trojaner ? Keylogger ? - Internetzugang trennen !]
4. Schaffung einer Insellösung [1 PC mit Internetzugang ohne Zugang auf das "infizierte" System]
5. Kommunikation , nach Identifizierung des Infekts, mit AV-Hersteller
6. Genaue Instruktionen für Desinfektion vom AV-Hersteller holen
Herunterfahren ALLER Workstations [Vermutlich nur nachts machbar ?]
Server vom Netz trennen.
Aufteilung der IT´ler, jeder IT´ler nimmt sich einen Server vor [Netzwerk ist getrennt] und arbeiteten die Desinfektion ab [Vermutlich ja nur nachts machbar ?]
Das mit allen Servern.
Nun die Server mit aktuellem Virenpattern scannen [AV-Hersteller wird ja wohl mittlerweile an aktuelles Pattern geliefert haben.
Server an das Netz erst klemmen wenn alle Workstations sicher Desinfiziert wurden.
Server ans Netz, Workstations ans Netz - Erneuter Scan [Intensity].
Professionelle Unternehmen arbeiten da nicht anders, mit Zeitausfall etc. ist definitiv zu rechnen, das läßt sich nicht vermeiden.
Sicherheitskonzept überdenken [Mind. 2 Stufenkonzept !]
Bei Systemdefekten auf den Servern kann ich nur hoffen das es DC´s sind welche sich mit anderen DC´s in z.B. Vertrauenstellung replizieren, dann stellt selbst ein Serversystem-Defekt kein so großes Problem dar.
Notfalls Systemreparaturen durchführen, dieses Thema ist aber größer und kann hier nicht ohne weiteres ausgeführt werden.
Da gibt es einiges mehr zu beachten ...
[Ev. Systemstate gesichert ?]
Ein Konzept wäre :
1.Eine XY-AV Lösung auf der FW
2.Eine andere XY-AV Lösung [Client-Server Applikation] für die Server und Workstations [Muß Emailprogramm implementierbar sein, sowie einen Webguard besitzen]
[2 Stufen AV]
3. z.B. Nutzung von Exchange mit Emailarchivierungssystem : Ein weiteres AV-Packet nur für Exchange und Emailarchiv [Häufigster Weg der Infizierung]
[Bis hier wäre es dann bereits ein 3 Stufenkonzept]
4. Vermeidung von Infizierungen von intern durch Nutzung "fremder" Datenträger bzw. Speichermedien
a. Abschalten/ausbauen von Datenträgerlaufwerken [CD/DVD/Disk] wenn möglich
b. Autorun-Funktion unter Windows deaktivieren [Über DC GPO einrichtbar]
c. Endpoint Secure Appliance installieren [Wenn CD/DVD/Speichermedien-Nutzung benötigt wird]
Hier dann nur die firmeneigenen Geräte erlauben [USB-Sticks etc.]
Unternehmensrichtlinie entwerfen und mit GF / Betriebsrat abklären : "Es sind KEINE firmenfremden bzw. von der IT vorgescannte Datenträger zu nutzen !"
usw.usw.usw.
Eine 100% Sicherheit gibt es nicht, allerdings kann man das Risiko auf ein Minimum reduzieren.
ich gebe dir da recht : Plattmachen ist in einer solchen Umgebung kaum realisierbar.
Jeder Virus ist auch manuel wieder entfernbar, allerdings stellt sich die Frage der Zeit, des Ausfalles und des Arbeitsaufwandes.
Gibt es aktuelle Backups, dann einspielen und verlustierte Daten nachpflegen, bedarf ein wenig Koordination der IT mit den "Dateneingebern".
Als Beispiel :
Ich arbeite in einem größeren, sicherheitsrelevanten Unternehmen.
Wenn die Unternehmensdaten so "relevant" sind darf man NIE auf eine AV und eine FW-Lösung setzen.
[Mind. 2-Stufenkonzept].
Zusammensetzen der IT´ler, Plan machen ! Planloses Vorgehen erschwert die Arbeit.
Festsetzen von Prioritätsservern/Schlüsselservern - Diese zuerst abarbeiten [FInanzdatenbankserver etc.]
Dann sekundäre Server abarbeiten.
Feststetzen von Prioritätsworkstations/schlüsse-PC´s. - Diese zuerst abarbeiten, dann sekundäre PC´s. [Buchhaltung/Controlling etc.]
1. Frage, Klärung wie ist der Virus in das System gekommen.
Kann die Frage nicht geklärt werden, ist eine Neuinfektion [nach manueller Entfernung oder nach "Plattmachen"] sehr wahrscheinlich
2. Ist das "Eindringen" bekannt, zuerst den Weg versperren
3. Identifizierung des Viruses [Trojaner ? Keylogger ? - Internetzugang trennen !]
4. Schaffung einer Insellösung [1 PC mit Internetzugang ohne Zugang auf das "infizierte" System]
5. Kommunikation , nach Identifizierung des Infekts, mit AV-Hersteller
6. Genaue Instruktionen für Desinfektion vom AV-Hersteller holen
Herunterfahren ALLER Workstations [Vermutlich nur nachts machbar ?]
Server vom Netz trennen.
Aufteilung der IT´ler, jeder IT´ler nimmt sich einen Server vor [Netzwerk ist getrennt] und arbeiteten die Desinfektion ab [Vermutlich ja nur nachts machbar ?]
Das mit allen Servern.
Nun die Server mit aktuellem Virenpattern scannen [AV-Hersteller wird ja wohl mittlerweile an aktuelles Pattern geliefert haben.
Server an das Netz erst klemmen wenn alle Workstations sicher Desinfiziert wurden.
Server ans Netz, Workstations ans Netz - Erneuter Scan [Intensity].
Professionelle Unternehmen arbeiten da nicht anders, mit Zeitausfall etc. ist definitiv zu rechnen, das läßt sich nicht vermeiden.
Sicherheitskonzept überdenken [Mind. 2 Stufenkonzept !]
Bei Systemdefekten auf den Servern kann ich nur hoffen das es DC´s sind welche sich mit anderen DC´s in z.B. Vertrauenstellung replizieren, dann stellt selbst ein Serversystem-Defekt kein so großes Problem dar.
Notfalls Systemreparaturen durchführen, dieses Thema ist aber größer und kann hier nicht ohne weiteres ausgeführt werden.
Da gibt es einiges mehr zu beachten ...
[Ev. Systemstate gesichert ?]
Ein Konzept wäre :
1.Eine XY-AV Lösung auf der FW
2.Eine andere XY-AV Lösung [Client-Server Applikation] für die Server und Workstations [Muß Emailprogramm implementierbar sein, sowie einen Webguard besitzen]
[2 Stufen AV]
3. z.B. Nutzung von Exchange mit Emailarchivierungssystem : Ein weiteres AV-Packet nur für Exchange und Emailarchiv [Häufigster Weg der Infizierung]
[Bis hier wäre es dann bereits ein 3 Stufenkonzept]
4. Vermeidung von Infizierungen von intern durch Nutzung "fremder" Datenträger bzw. Speichermedien
a. Abschalten/ausbauen von Datenträgerlaufwerken [CD/DVD/Disk] wenn möglich
b. Autorun-Funktion unter Windows deaktivieren [Über DC GPO einrichtbar]
c. Endpoint Secure Appliance installieren [Wenn CD/DVD/Speichermedien-Nutzung benötigt wird]
Hier dann nur die firmeneigenen Geräte erlauben [USB-Sticks etc.]
Unternehmensrichtlinie entwerfen und mit GF / Betriebsrat abklären : "Es sind KEINE firmenfremden bzw. von der IT vorgescannte Datenträger zu nutzen !"
usw.usw.usw.
Eine 100% Sicherheit gibt es nicht, allerdings kann man das Risiko auf ein Minimum reduzieren.
Würde mich interessieren wie der Fall ausgegangen ist.
Die einzige Loesung in diesem Fall war und ist: Backups von allen Daten machen; sofern dies nicht schon standardmaessig vollzogen wurde, alles plattmachen und Neuinstallieren. Nachtarbeit einplanen und genuegend Kaffe in Thermobehaeltern bereitstellen.
Diese Entscheidung haette bereits nach dem ersten Tag gefaellt werden muessen.
Schaeden entstanden durch Betriebsausfaelle kann ein Unternehmen u.U.von der Steuer absetzen.
Solche Probleme enstehen, wenn ein Unternehmen bei der IT-Sicherheit sich auf sog. AV-Loesungen verlaesst, ohne ein vernuenftiges Sicherheitskonzept erarbeitet und umgesetzt zu haben. Der beste Beweis dafuer ist dieser Thread an sich; dass hier geragt wird, wie weiter vorgegangen werden muss.
In einem vernuenftigen Sicherheitskonzept wird auch das Worst-case Szenario behandelt.
@ crashzero:
Das ist FALSCH!
@secure75
...
Saludos
gnarff
Diese Entscheidung haette bereits nach dem ersten Tag gefaellt werden muessen.
Schaeden entstanden durch Betriebsausfaelle kann ein Unternehmen u.U.von der Steuer absetzen.
Solche Probleme enstehen, wenn ein Unternehmen bei der IT-Sicherheit sich auf sog. AV-Loesungen verlaesst, ohne ein vernuenftiges Sicherheitskonzept erarbeitet und umgesetzt zu haben. Der beste Beweis dafuer ist dieser Thread an sich; dass hier geragt wird, wie weiter vorgegangen werden muss.
In einem vernuenftigen Sicherheitskonzept wird auch das Worst-case Szenario behandelt.
@ crashzero:
Jeder Virus ist auch manuel wieder entfernbar, allerdings stellt sich die Frage der Zeit, des Ausfalles und des Arbeitsaufwandes.
Das ist FALSCH!
@secure75
Ich/Wir haben vielfach schon genau solche Probleme gelöst.
Referenzen haben wir auch genau in dem Bereich.
Referenzen haben wir auch genau in dem Bereich.
...
Saludos
gnarff
@gnarff
Du hast mit deinem Allgemeinen Sicherheitskonzept natürlich recht! Von einem Worst-Case sollte man immer ausgehen, dann sind die Abläufe klar, nur wie man es so kennt haben viele Unternehmen in der Hinsicht nichts getan. Das Unternehmen um das es hier geht ist nicht gerade klein und hat daraus gelernt.
@cashzero + alle andern
Es wurde grössten Teil so vorgegangen wie cashzero es beschrieben hat, es handelte sich um einen Trojaner der sich auf den Clients und den Servern breit gemacht hat. Die Verbindung zum Internet wurde gekappt, der Serverraum wurde komplett gekapselt von den Clientrechnern und die Server untereinander waren auch nicht mehr erreichbar. Die Server Systeme wurden über Nacht mit einer speziellen Kaspersky Rescue CD gebootet, speziell für Windows Server, die Schädlinge sauber entfernt und danach wieder gestartet, bei dem Schädling handelte es sich wie gesagt und einen bekannten entfernbaren Schädling der normalerweise auch im abgesicherten Modus und ein paar manuellen Eingriffen in der Registry + Entfernungstool entfernt werden kann.
Das hat diese Kaspersky Rescue CD aber alles selbst getan, natürlich nur mit aufforderung durch den Benutzer damit keine wichtigen Systemdateien gelöscht werden. Somit hatten es der Domain, Backupdomain und Exchangeserver schonmal überstanden. Diverse Citrixserver haben wohl bis auf einen auch das Szenario komplett überstanden, die Linuxserver hat es natürlich grossartig nicht gekümmert das da ein Trojaner umherwüted (auf denen lief zum Glück das Herzstück des Unternehmens, die Datenbank des Warenwirtschaftsystems von uns).
Alles in allem konnten die Server innerhalb von einer Woche wieder auf vordermann gebracht werden, die Clients wurden nebenher ebenfalls untersucht und gesäubert, bis jetzt verhält sich anscheinend alles Still und die Virenscanner schlagen keinen Alarm mehr. Alles in allem ist es klimpflich ausgegangen, mit jeder menge Nachtschicht für das Unternehmen dass den Trojaner professionell entfernt hat und einem Arbeitsausfall von ca. einer Woche für externe Mitarbeiter über Citrix und Interne Arbeitsplatzrechner...
Auch das besagte IT Sicherheitskonzept wurde anscheined überarbeitet....Gottseidank lernen Kunden erst dann wenn es zu spät ist und der Wagen sprichwörtlich gegen den Baum gefahren ist....Was natrülich jetzt für funktionen vom trojaner genutzt wurden und welche Unternehmenkritische Daten vielleicht ausspioniert wurden bleibt ein Rätsel, jedenfalls sollte das Konzept hoffentlich eine komplett neue Benutzernamen & Passwort Struktur haben und zwar für so ziemlich alle Systeme, egal ob Firewall, Client oder Server weil zum Portfolio des trojaners ein Keylogger gehörte! Gesehen hab ich das Konzept nicht...Es hiess lediglich es gab eins, es wurde überarbeitet und mal schaun wie es künftig dort zugeht.
"closed"
Nachtrag: Cashzeros kurz zusammengestelltes Konzept in einem FORUM im INTERNET könnten sich sogar viele von euch und auch Unternehmen mal zu gemüte führen. Dein Beitrag war so ziemlich der Hilfreichste, neutral und fremd jeglicher Kritik. Kritik und Spott Hilft in so einem Fall recht wenig @gnarff
Was dein 3 Stufenkonzept angeht umfasst die Firewall des Kunden -> Watchguard (Sec. Appliance mit GW AV), die Kaspersky Enterprise Space Securtiy (Server/Client Lösung) und spezielle Kaspesky Exchange Spam / AV Client wie Serverseitig das ganze. Mir ist schleierhaft wie die sich das Ding einfangen konnten...
Du hast mit deinem Allgemeinen Sicherheitskonzept natürlich recht! Von einem Worst-Case sollte man immer ausgehen, dann sind die Abläufe klar, nur wie man es so kennt haben viele Unternehmen in der Hinsicht nichts getan. Das Unternehmen um das es hier geht ist nicht gerade klein und hat daraus gelernt.
@cashzero + alle andern
Es wurde grössten Teil so vorgegangen wie cashzero es beschrieben hat, es handelte sich um einen Trojaner der sich auf den Clients und den Servern breit gemacht hat. Die Verbindung zum Internet wurde gekappt, der Serverraum wurde komplett gekapselt von den Clientrechnern und die Server untereinander waren auch nicht mehr erreichbar. Die Server Systeme wurden über Nacht mit einer speziellen Kaspersky Rescue CD gebootet, speziell für Windows Server, die Schädlinge sauber entfernt und danach wieder gestartet, bei dem Schädling handelte es sich wie gesagt und einen bekannten entfernbaren Schädling der normalerweise auch im abgesicherten Modus und ein paar manuellen Eingriffen in der Registry + Entfernungstool entfernt werden kann.
Das hat diese Kaspersky Rescue CD aber alles selbst getan, natürlich nur mit aufforderung durch den Benutzer damit keine wichtigen Systemdateien gelöscht werden. Somit hatten es der Domain, Backupdomain und Exchangeserver schonmal überstanden. Diverse Citrixserver haben wohl bis auf einen auch das Szenario komplett überstanden, die Linuxserver hat es natürlich grossartig nicht gekümmert das da ein Trojaner umherwüted (auf denen lief zum Glück das Herzstück des Unternehmens, die Datenbank des Warenwirtschaftsystems von uns).
Alles in allem konnten die Server innerhalb von einer Woche wieder auf vordermann gebracht werden, die Clients wurden nebenher ebenfalls untersucht und gesäubert, bis jetzt verhält sich anscheinend alles Still und die Virenscanner schlagen keinen Alarm mehr. Alles in allem ist es klimpflich ausgegangen, mit jeder menge Nachtschicht für das Unternehmen dass den Trojaner professionell entfernt hat und einem Arbeitsausfall von ca. einer Woche für externe Mitarbeiter über Citrix und Interne Arbeitsplatzrechner...
Auch das besagte IT Sicherheitskonzept wurde anscheined überarbeitet....Gottseidank lernen Kunden erst dann wenn es zu spät ist und der Wagen sprichwörtlich gegen den Baum gefahren ist....Was natrülich jetzt für funktionen vom trojaner genutzt wurden und welche Unternehmenkritische Daten vielleicht ausspioniert wurden bleibt ein Rätsel, jedenfalls sollte das Konzept hoffentlich eine komplett neue Benutzernamen & Passwort Struktur haben und zwar für so ziemlich alle Systeme, egal ob Firewall, Client oder Server weil zum Portfolio des trojaners ein Keylogger gehörte! Gesehen hab ich das Konzept nicht...Es hiess lediglich es gab eins, es wurde überarbeitet und mal schaun wie es künftig dort zugeht.
"closed"
Nachtrag: Cashzeros kurz zusammengestelltes Konzept in einem FORUM im INTERNET könnten sich sogar viele von euch und auch Unternehmen mal zu gemüte führen. Dein Beitrag war so ziemlich der Hilfreichste, neutral und fremd jeglicher Kritik. Kritik und Spott Hilft in so einem Fall recht wenig @gnarff
Was dein 3 Stufenkonzept angeht umfasst die Firewall des Kunden -> Watchguard (Sec. Appliance mit GW AV), die Kaspersky Enterprise Space Securtiy (Server/Client Lösung) und spezielle Kaspesky Exchange Spam / AV Client wie Serverseitig das ganze. Mir ist schleierhaft wie die sich das Ding einfangen konnten...
Erneut moinsen ....
Zitat :
"Mir ist schleierhaft wie die sich das Ding einfangen konnten..."
Ja, das kannst du laut sagen.
Ich habe auch schon die ominösesten Fälle gehabt.
4 AV Engines mit aktuellen Pattern [Standartvirus im Netz], im Pattern aber die Signatur des Viruses bekannt, aber trotzdem im Netz.
[Client/Server AV].
Das einzige was ich herausgefunden habe :
3-4 Workstations hatten seid geraumer Zeit Updateprobleme mit dem AV-Server.
Die Pattern waren auf einem Stand von vor ca. 14 Tagen, allerdings wir/ist die Signatur des Viruses bereits seid Monaten bekannt, hätten also den Clients bekannt sein müssen.
Meine Vermutung : Bewußte Infizierung. Dienst des AV auf dem Client nicht richtig geschützt, wurde beendet, dann mit externem Datenträger infiziert, DIenst erneut gestartet,Ereignisprotokoll gelöscht.
[Allerding hätte das zumindest im Ereignisprotokoll des AV-Server zu sehen sein müssen.]
@gnarff
Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als andere.
Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden Betrieb löschbar.
Bisher hatte ich lediglich eine Virenvariante die sich nicht so einfach "löschen" ließ.
Aber auch dafür gibt es Werkzeuge, Mittel und Methoden.
Ich habe schon einiges an Viren und deren Auswirkungen gesehen und kann behaupten : Das wird sicherlich nicht das Ende der Fahnenstange sein.
Meine Meinung :Die schlimmsten Viren : Polymorphe, Stealthtechniknutzende-,Würmer mit Keyloggfunktion und Backdoor.
Zitat :
"Mir ist schleierhaft wie die sich das Ding einfangen konnten..."
Ja, das kannst du laut sagen.
Ich habe auch schon die ominösesten Fälle gehabt.
4 AV Engines mit aktuellen Pattern [Standartvirus im Netz], im Pattern aber die Signatur des Viruses bekannt, aber trotzdem im Netz.
[Client/Server AV].
Das einzige was ich herausgefunden habe :
3-4 Workstations hatten seid geraumer Zeit Updateprobleme mit dem AV-Server.
Die Pattern waren auf einem Stand von vor ca. 14 Tagen, allerdings wir/ist die Signatur des Viruses bereits seid Monaten bekannt, hätten also den Clients bekannt sein müssen.
Meine Vermutung : Bewußte Infizierung. Dienst des AV auf dem Client nicht richtig geschützt, wurde beendet, dann mit externem Datenträger infiziert, DIenst erneut gestartet,Ereignisprotokoll gelöscht.
[Allerding hätte das zumindest im Ereignisprotokoll des AV-Server zu sehen sein müssen.]
@gnarff
Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als andere.
Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden Betrieb löschbar.
Bisher hatte ich lediglich eine Virenvariante die sich nicht so einfach "löschen" ließ.
Aber auch dafür gibt es Werkzeuge, Mittel und Methoden.
Ich habe schon einiges an Viren und deren Auswirkungen gesehen und kann behaupten : Das wird sicherlich nicht das Ende der Fahnenstange sein.
Meine Meinung :Die schlimmsten Viren : Polymorphe, Stealthtechniknutzende-,Würmer mit Keyloggfunktion und Backdoor.
Zitat von @crashzero2000:
@gnarff
Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als andere.
Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden Betrieb
löschbar.
@gnarff
Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als andere.
Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden Betrieb
löschbar.
Das kann man so nicht stehen lassen. Also nochmal in aller Deutlichkeit, nein das ist schlicht falsch!
Es lassen sich nicht alle Viren wieder manuell entfernen. Mal völlig abgesehen davon, ist ein einmal infiziertes System nicht mehr vertrauenswürdig!
Daher ist die einzige wirklich sichere Methode das neu aufsetzen des Systems und rücksichern der Daten.
Zitat von @elknipso:
> Zitat von @crashzero2000:
> @gnarff
> Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als
andere.
> Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
> Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden
Betrieb
> löschbar.
Das kann man so nicht stehen lassen. Also nochmal in aller Deutlichkeit, nein das ist schlicht falsch!
Es lassen sich nicht alle Viren wieder manuell entfernen. Mal völlig abgesehen davon, ist ein einmal infiziertes System nicht
mehr vertrauenswürdig!
Daher ist die einzige wirklich sichere Methode das neu aufsetzen des Systems und rücksichern der Daten.
> Zitat von @crashzero2000:
> @gnarff
> Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als
andere.
> Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
> Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden
Betrieb
> löschbar.
Das kann man so nicht stehen lassen. Also nochmal in aller Deutlichkeit, nein das ist schlicht falsch!
Es lassen sich nicht alle Viren wieder manuell entfernen. Mal völlig abgesehen davon, ist ein einmal infiziertes System nicht
mehr vertrauenswürdig!
Daher ist die einzige wirklich sichere Methode das neu aufsetzen des Systems und rücksichern der Daten.
Das Variiert ziemlich stark von Schädling zu Schädling und ich sage Bewusst Schädling weil das Wort Virus, Trojaner, Wurm usw. umfasst. Man darf nie verallgemeinern und in diesem Fall war der bekannte Trojaner von Systemen entfernbar ohne dass Risiken zu einer Neuinfektion bestehen.
Wenn man sich natürlich einen Schädling einfängt der sich rapide vermehrt und immer tiefer ins System eingräbt und es schlichtweg nicht mehr Überschaubar ist welche Dateien er befallen hat und das Risiko einer erneuten Infektion groß sind ist deine Variante mit "System neu aufsetzen" sicherlich die bessere. Aber einfach mal so altdaten in das neue saubere System einschleusen grenzt dann doch wiederum an idiologie...Wie Ihr lesen könnt ist das interpretationsfrage ;)
Ich bin jetzt mal davon ausgegenagen dass elknipso die altdaten einfach gesichert hat ohne sie zu prüfen und den Schädling gleich mit.
Zitat von @49110:
Ich bin jetzt mal davon ausgegenagen dass elknipso die altdaten einfach gesichert hat ohne sie zu prüfen und den
Schädling gleich mit.
Ich bin jetzt mal davon ausgegenagen dass elknipso die altdaten einfach gesichert hat ohne sie zu prüfen und den
Schädling gleich mit.
Selbstverständlich muss man die Altdaten entsprechend auch überprüfen, wenn man nicht sicher weiss, dass die letzte Sicherung von einem Schädlings freien Systeme erfolgte.
@isag
Kritik ist immer dann gut solange sie konstruktiv ist und wie du selbst bemerkt hattest du mir Recht gegeben.
Den Spottfaktor kann ich in meinem Kommentar beim besten Willen nicht entdecken.
Saludos
gnarff
Kritik ist immer dann gut solange sie konstruktiv ist und wie du selbst bemerkt hattest du mir Recht gegeben.
Den Spottfaktor kann ich in meinem Kommentar beim besten Willen nicht entdecken.
Saludos
gnarff
