Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows Server 2003 Log - Welcher Client will welchen Port nutzen

Mitglied: Markie84

Markie84 (Level 1) - Jetzt verbinden

13.03.2013 um 14:17 Uhr, 1621 Aufrufe, 9 Kommentare, 1 Danke

Im Windows Server 2003 Netzwerk wurde seitens der Telekom ein Bot entdeckt, der über unser Netzwerk Spam-Mails verschickt. Der generelle Internetzugang, auch vom Server, wurde direkt gekappt und alle möglichen Sicherheitstools wurden bei den Clients angewandt. Leider ohne Fund. Auch der permanent aktive Virenscanner brachte keinen Fund.

Nun wird's an einem kompletten Formatieren der Rechner kein Weg vorbei führen.

Dennoch würde ich gerne zuvor rausfinden, welche/r Client/s infiziert sind. Da der Mailversand bekanntlich über den Port 25 funktioniert, würde ich dazu gerne ein Programm/Firewall/Log haben wollen, der genau zeigt, wann welcher Client versucht eine E-Mail über diesen Port 25 zu versenden.

Kennt jemand ein solches Programm, welches die Versuche auch Loggen muss, da der Bot ja nicht permanent sendet!?
Mitglied: 106543
13.03.2013, aktualisiert um 14:50 Uhr
Hi du,

ganz einfach ;) Wireshark
schreibt sämtlichen Netzwerktraffic mit, sollte also passen.

Grüße
Exzellius
Bitte warten ..
Mitglied: Markie84
13.03.2013 um 14:41 Uhr
Vielen Dank für die rasche Antwort.

Klingt nach der Beschreibung des Programms tatsächlich nach dem was ich suche. Ich werd's mal installieren und schauen.

Danke nochmal für den Tipp.
Bitte warten ..
Mitglied: 106543
13.03.2013 um 14:51 Uhr
Immer gerne
Wenn du Ergebnisse hast, kanst du sie ja gerne hier posten.
Ansonten: https://www.administrator.de/faq/32

Grüße
Exzellius
Bitte warten ..
Mitglied: langerwo
13.03.2013 um 14:52 Uhr

Nun wird's an einem kompletten Formatieren der Rechner kein Weg vorbei führen.

um wieviel rechner handelt es sich ??

ich würde mich da nicht so einfach geschlagen geben ;)

wenn du den PC identifizier hast dann evtl mit einer Kaspersky Rescue CD fixen
Bitte warten ..
Mitglied: Markie84
13.03.2013 um 14:54 Uhr
Sind ca. 20 Rechner die neu aufgesetzt werden müssen.

Da ich leider offenbar nicht zweifelsfrei rausfinden werden kann, welcher Rechner betroffen ist, würde ich lieber auf Nummer Sicher gehen und alle formatieren.
Bitte warten ..
Mitglied: 106543
13.03.2013 um 14:57 Uhr
Hi nochmal ich

bei Virenbefall ist es immer das sicherste, das System/die Systeme neu aufzusetzen, weil sonst irgendwelche Überreste bleiben könnten.
Da es sich hierbei um begrenzten Aufwand handelt, sowieso

Grüße
Exzellius
Bitte warten ..
Mitglied: langerwo
13.03.2013 um 14:58 Uhr
Zitat von Markie84:
Sind ca. 20 Rechner die neu aufgesetzt werden müssen.

Da ich leider offenbar nicht zweifelsfrei rausfinden werden kann, welcher Rechner betroffen ist, würde ich lieber auf Nummer
Sicher gehen und alle formatieren.

OMG... na viel spaß ;)

konnte denn die telekom keine logfiles bieten .. evtl eine MAC adresse oder eine IP um das ganze einzugrenzen ?!

nehm doch alle PC´s vom netz ... brenne 20 CD´s und schau erst ob du die pc´s sauber bekommst ....außer du kannst mit Images arbeiten .. das ist natürlich schneller ;)
Bitte warten ..
Mitglied: Markie84
13.03.2013 um 15:03 Uhr
Die Telekom nennt mir nur die IP und den Zeitpunkt. Die IP ist leider natürlich der Router. Der Zeitpunkt hat mich bisher auch nicht weiter gebracht, weil ja immer alle 20 Rechner laufen.

Natürlich würde ich auch gerne nach und nach testen welcher Rechner infiziert ist. Nur sperrt die Telekom den Port 25 komplett nach 2 Ermahnungen. Und bei 20 Clients wären das also 10 Sperren inkl. Antrag auf Aufhebung. Und ich denke das übersteigt dann bald den Aufwand vom Formatieren. Zumal ich mir dann ja immer noch nicht 100% sicher sein kann, dass nicht noch ein zweiter Rechner infiziert ist und der Bot sich dann neu verteilt.

Die Idee mit dem Log war im Prinzip auch nur deswegen, weil ich gucken möchte ob evtl. alle Rechner betroffen sind oder nur einzelne Rechner.
Bitte warten ..
Mitglied: Markie84
15.03.2013 um 11:42 Uhr
Vielen Dank für deinen Tipp! Hat mir eine Menge arbeit erspart. Mittels dem Programm konnte ich die SMTP Abfragen im Netzwerk überwachen. Da jedem Clientanwender verboten wurde Outlook zu nutzen, aber es dennoch von einem Client aus einige SMTP Abfragen gab, konnte ich den befallenen Client ausfindig machen. Einige Detailprüfungen mit der entsprechenden Software ergab dann auch den Treffer.

Also nochmals vielen Dank für deine Hilfe!
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows log forwarding von Client zum Server

Frage von tobmesWindows Server1 Kommentar

Hi Experten, ich habe mir zum Testen eine kleine Windows Umgebung eingerichtet. Es gibt einen DC (Windows Server 2012 ...

Linux Netzwerk

Port 443 gemeinsam nutzen

Frage von otto66Linux Netzwerk6 Kommentare

Guten Abend, Ich betreibe Hobby mäßig einen Virtuellen Server den ich gemietet habe! Auf diesem Server läuft ein Apache ...

Server

Client bei Windows Server 2003 ändern

gelöst Frage von TherealcookieServer5 Kommentare

Hallo! Ich komm gleich zur Problemstellung: Mein Vater hat in seinem kleinen Unternehmen einen Server installiert. Vor ungefähr einem ...

Windows Server

Server 2003 Port 443

Frage von epspeterWindows Server4 Kommentare

Hallo zusammen, ich verzweifle gerade an folgendem Problem: Hier laufen 2 Server 2003 ohne Firewall! auf die soll eine ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++27 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...