Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zugriffe auf bestimmte IP (Drucker) im LAN loggen (Grund, BugBear-Virus)

Mitglied: Enricobl

Enricobl (Level 1) - Jetzt verbinden

02.12.2009, aktualisiert 13:15 Uhr, 7662 Aufrufe, 11 Kommentare

Hallo Liebe Administratoren Gemeinde,

ich bin neu hier im Forum, könnte aber schon des Öfteren hier hilfreiche Tipps finden.
Leider habe ich bei meinem jetzigen Problem keine Lösungsmöglichkeit gefunden und ich hoffe ihr könnte mir helfen.

Nun zum Thema:

Seit letzter Woche, haben ein Teil meiner Netzwerkdrucker, die doofe Angewohnheit gelegentlich mal ein ganzes Paket Papier mit Hieroglyphen zu bedrucken. Nach einigem Suchen im WWW habe ich dann rausbekommen, dass es sich mit ziemlicher Sicherheit um den BugBear Virus handelt.

Alle Server/Arbeitsstationen sind aber mit einem Virenprogramm ausgestattet und aktuell, leider hat noch keins davon Alarm geschlagen.

Erste Idee war das LOG-Protokoll des Servers, um zu sehen von welchen PC diese Druckaufträge kommen. Leider ohne Erfolg. Der Virus scheint die Druckaufträge direkt an die Drucker-IP zu senden, so dass ich nichts im Spool oder auf dem Server davon sehe.

Nun meine Frage:

Wie kann ich alle Anfragen die auf die IP des Druckers kommen, loggen/monitoren, um zu sehen von welcher IP der Drucker angesprochen wird?

Besten Dank für eure Hilfe.

Gruß Enrico
Mitglied: Snowman25
02.12.2009 um 13:17 Uhr
Wireshark mit filter auf die IP des Druckers
Bitte warten ..
Mitglied: Enricobl
02.12.2009 um 14:23 Uhr
Hi Snowman,

danke für die Info.
Also habe Wireshark mal ausprobiert. Sieht schon mal vielversprechend aus. Wenn ich das aber richtig gesehen habe, protokolliert er nur das was über die eigene Netzwerkkarte geht. Wie müsste ich das jetzt anstellen, wenn ich die Adresse des Druckers überwachen will und der Druckauftrag ja nicht erst zum Server geht sondern direkt zum Drucker.

Danke Enrico
Bitte warten ..
Mitglied: Snowman25
02.12.2009 um 14:43 Uhr
probier mal folgendes programm: http://www.sophos.com/support/cleaners/bugbesfx.exe
ist. Ein selbstentpackendes Archiv, in dem BUGBECLI enthalten ist.
Das Prog kommt von Sophos und desinfiziert netzwerkrechner vom Bugbear-B
Anleitung ist im Archiv enthalten ;)
die kryptischen zeichen die ausgedruckt werden, kommen übrigens von bugbear selbst, der versucht sich auf den netzwerkdrucker zu kopieren. Also auch alle netzlaufwerke scannen!
Bitte warten ..
Mitglied: Enricobl
02.12.2009 um 15:24 Uhr
hhmm, so habe mir mal die Anleitung zu gemüde geführt. die "netzwerk-desinfektion" funtkioniert ja dann nur bei den PC's die in der Domäne sind und neue gestartet werden (Anmeldescript). Da ich mir aber eigentlich sicher bin, dass es kein domänenrechner sein kann, sondern ehr einer der nicht inder Domäne ist z.b. en Besucher, fällt diese schöne variante raus.

Noch ne andere Frage, es sind auch nicht alle netzwerk drucker betroffen. eigentlich nur 2 sorten von kopierern (die neueren), die älteren (selber hersteller (TA)) bzw. auch die hp tintenstrahler, machen keine mucken. ne idee warum die nicht dafür anfällig sind?

danke für deine mühe

enrico
Bitte warten ..
Mitglied: Snowman25
02.12.2009 um 15:29 Uhr
möglicherweise sind die für den user, der den wurm hat garnicht sichtbar?
Bitte warten ..
Mitglied: Enricobl
02.12.2009 um 15:38 Uhr
sind alle im selben subnetz und auch für alle freigegeben.jeder user kann theoretisch auf jeden drucker durcken. die freigabe oder der treiber sollten ja sowie so keine rolle spielen, da sie ja anscheinend direkt über die ip angesprochen werden und nichts über den server-spooler läuft. deswegen bräuchte ich ja das loggen auf die ip des druckers, um zu sehen von wo der wurm sich ausdrucken will. kennst du ne möglichkeit alle anfragen die auf die ip eines pc's/laptop kommen auf den drucker umzuleiten und "mitzuschneiden".
Bitte warten ..
Mitglied: Snowman25
02.12.2009 um 15:58 Uhr
lass wireshark doch auf dem server bzw. PC laufen, an dem der Drucker dranhängt.
Wireshark scannt nicht nur pakete, die für dich bestimmt sind, sondern alles, was an der netzwerkkarte des PC's so vorbeiläuft
Bitte warten ..
Mitglied: Enricobl
02.12.2009 um 16:03 Uhr
das ist ja das problem, der netzwerkdrucker hängt ja an einer switch und nicht an einem rechner. daher laufen die paket usw. nicht zwangsläufig über den server sondern werden direkt verarbeit.
Bitte warten ..
Mitglied: paegger
02.12.2009 um 17:43 Uhr
Hi Enricobl,

das mit Wireshark ist schon der richtige Ansatz.
Wie du schon richtig erkannt hast, siehst du erst mal nur die Pakete welche für deine eigene Netzwerkadresse bestimmt sind.
Das liegt am Switch. Setzt du statt dem Switch einen Hub ein, so siehst du alle Pakete die in diesem Netzwerksegment auflaufen.
Du müsstest also zwischen Drucker und Switch einen Hub einbauen und an diesem deinen PC mit Wireshark anschließen.

Die elegantere Alternative wäre natürlich einen Mirror-Port am Switch zu definieren. Dafür muss dieser allerdings managable sein.

Gruß,
Paegger.
Bitte warten ..
Mitglied: Enricobl
03.12.2009 um 17:06 Uhr
hi Paegger,

haben jetzt einen Mirror-Port eingerichtet und Wireshark zeichnet fleißig auf. Danke für den Tipp.

Vielen Dank für die Unterstützung, Feedback folgt.

Gruß Enrico
Bitte warten ..
Mitglied: Enricobl
09.12.2009 um 09:23 Uhr
Hi Leute,

also das mit dem Mirror Port war ein Erfolg, Verursacher konnte ausfindig gemacht werden.

Nochmals vielen Dank für eure Hilfe.

Gruß Enrico
Bitte warten ..
Ähnliche Inhalte
Samba
RedHat Samba User-Zugriffe loggen
gelöst Frage von AkroshSamba6 Kommentare

Hallo zusammen, ich habe einen RedHat 6 Fileserver mit Samba, das gute Stück ist locker 10 Jahre alt und ...

Windows Server

SBS2008 AD funktioniert nur im LAN mit bestimmter IP. wie ändern?

Frage von tomeknfrWindows Server13 Kommentare

Hi moin zusammen. folgendes Problem treibt mich in den Wahnsinn. Ich habe einen SBS2008 als vhd übernommen hyper-v eingerichtet ...

Netzwerkmanagement

Netzwerkstruktur mit zwei DHCP, Drucken und direkter Zugriff auf IP

Frage von Eddy2909Netzwerkmanagement

Moin Gemeinde, folgende Probleme: Möchte wieder von LAN Geräten drucken können. Möchte wieder von LAN Geräten aus auf WLAN ...

Router & Routing

Netscreen NS5GT: Routing auf Grund von eingehenden IP-Adressen

gelöst Frage von Maexx77Router & Routing5 Kommentare

Hallo, bisher routen wir den Datenverkehr auf Grund von eingehenden Ports auf gestimmte Server. Network / Interfaces / VIP ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 10 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 10 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server22 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...