Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Alle 5 Minuten ein Connect auf securityresponse.symantec.com

Frage Sicherheit Backup

Mitglied: TuXHunt3R

TuXHunt3R (Level 3) - Jetzt verbinden

28.09.2009, aktualisiert 29.09.2009, 7250 Aufrufe, 16 Kommentare

Hallo ans Forum

Ich habe gerade gemütlich mal die Firewall-Logs der Firma durchkämmt, bei der ich momentan arbeite.
Was ich entdeckt habe: Alle 5 Minuten wird ein HTTP-Connect auf die Seite securityresponse.symantec.com durchgeführt, und zwar immer vom gleichen Server aus. Die einzige Software von Symantec, die ich im Einsatz habe, läuft tatsächlich auf diesem Server. Es handelt sich dabei um Symantec Backup Exec 12.5.

Mir ist es unverständlich, wieso ein Backup-Programm alle 5 Minuten auf die Security-Seite von Symantec connected. Wieso ist das so, rsp. wie kann ich das abstellen?
Ich habe schliesslich nur ein Backup-Programm dieser Firma installiert und nicht einen Virenscanner.....

Grüsse aus der Schweiz
TuXHunT3R
Mitglied: dog
28.09.2009 um 16:46 Uhr
Ich glaube, sowas bezeichnet man als Update-Funktion
Bitte warten ..
Mitglied: Simone20100
28.09.2009 um 16:47 Uhr
Ich würde den dazugehörigen Dienst suchen und auf manuell stellen.

Viele Grüße
Simone
Bitte warten ..
Mitglied: bundlerteufl
28.09.2009 um 16:58 Uhr
hi du

das ist typisch symantec

schalte den Updatedienst aus bzw auf eine längere zeit ein

bzw schalte den dienst über die dienste-konsole auf manuell
Bitte warten ..
Mitglied: mc-doubleyou
28.09.2009 um 17:05 Uhr
für mich klingt das danach als würde er Updates machen wollen aber scheitern - dann aber stur weiter machen
Bitte warten ..
Mitglied: filippg
28.09.2009 um 19:30 Uhr
Hallo,

der Microsoft Network Monitor kann nicht nur ein tcpdump erzeugen, sondern er kann auch anzeigen, welcher Prozess die Verbindung hält. Damit kannst prüfen, wer der "Schuldige" ist. TCPView oder netstat machen das ohne weitere Installation, dafür sind sie bezüglich des zeitlichen Zusammenhangs schwieriger auszuwerten. Und manchmal lohnt es sich auch einfach ein Ticket beim Hersteller aufzumachen, dann bekommt der wenigstens mit, dass die Anwender diese Funktion nicht für so richtig toll halten.

Gruß

Filipp
Bitte warten ..
Mitglied: TuXHunt3R
28.09.2009 um 20:21 Uhr
Ich glaube, sowas bezeichnet man als Update-Funktion

Jaja, schon gut. Daran habe ich natürlich auch gedacht.
Die Frage ist allerdings, wieso ein Backupprogramm auf eine Website connected, die vor Viren warnt.
Das wollte ich eigentlich vor allem wissen.

Vor allem: Wenn es wirklich das Symantec Live Update ist, wieso connected es dann nicht auf eine Seite à la "update.symantec.com"?

What ever, ich schalte den LiveUpdate-Service mal aus und kontrolliere die FW-Logs.


edit:
Falls diese Connects wirklich für das Überprüfen auf Updates sind, wieso dann alle 5 Minuten? Und das für ein Backupprogramm?
Bitte warten ..
Mitglied: TuXHunt3R
29.09.2009 um 08:48 Uhr
Habs gerade getestet, das LiveUpdate ist es nicht. Werde mal weiterschauen.
Bitte warten ..
Mitglied: mc-doubleyou
29.09.2009 um 08:59 Uhr
überprüfung der lizenz?
Bitte warten ..
Mitglied: SymantecDeutschland
29.09.2009 um 12:40 Uhr
Hallo User TuXHunt3R,

danke für die Anfrage. Die Nachfrage bei den Technikern im Haus hat folgendes zu Tage gebracht:

Das „Liveupdate ist nicht der Grund für den Verbindungsaufbau zum Server „securityresponse.symantec.com“. Die in Symantec Backup Exec 12.5 eingebaute ThreatCon-Funktion ist der Auslöser. Was steckt dahinter:
Im so genannten ThreatCon wird die aktuelle Bedrohungslage im Internet wiedergegeben. Spitzt sich die Lage zu, steigt das ThreatCon-Level auf einer Skala von 1 bis 5 entsprechend an. Der Mediaserver fragt diese ThreatCon-Stufe periodisch ab und kann automatisch ein inkrementelles Backup auf den ausgewählten Servern durchführen. Diese Rechner und ihre Daten sind dann im Fall einer weltweit signifikanten Malware-Attacke schon vorab geschützt. Quasi ein präventiver Schutz wichtiger Informationen, den Sie als Anwender frei konfigurieren können. Sie dürfen die Stufe genauso auswählen wie die Art und Form des Backups, das dann automatisch angestoßen wird. Um immer den aktuellsten ThreatCon Status zu kennen, pollt der Mediaserver alle 5min, um sich selbstständig zu aktualisieren. Diese Abfrage haben Sie in den Logs lesen können.

Mit einer einfachen Konfigurationsänderung kann man diese Abfrage unterbinden:

Bearbeiten Sie das Host File auf jeden BE Media Server und ändern Sie folgenden Eintrag: securityresponse.symantec.com soll auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.


Grüße aus Aschheim Dornach

Ihr Symantec Team
Bitte warten ..
Mitglied: mc-doubleyou
29.09.2009 um 13:35 Uhr
jetzt wo ichs lese klingelts von diesem präventiv backup haben die in meiner arbeit vor kurzen geredet ^^
Bitte warten ..
Mitglied: filippg
29.09.2009 um 14:47 Uhr
Zitat von SymantecDeutschland:
Ihr Symantec Presseteam

Ich bin hochgradig begeistert! Ein Softwarehersteller findet sich in diesem Forum ein und gibt kompetente Antworten. Leider halten sich die Hersteller m.E. nach viel zu sehr zurück ("Community-Support" bedeutet, dass man der unbezahlten Communitiy den Support überlässt, und nicht, dass man mit dieser Community auch selber redet).
Am Profil sieht man, dass das leider erst der zweite Beitrag ist, aber ich hoffe, das wird noch ausgebaut. Wer kauft nicht lieber ein Produkt, bei dem er bei Störungen auch mal unkomplizierten Support bekommt?

Gruß

Filipp
Bitte warten ..
Mitglied: TuXHunt3R
29.09.2009 um 20:37 Uhr
Ich schliesse mich fillippg an, das hätte ich nun wirklich nicht erwartet, dass Symantec sich in diesem Forum persönlich meldet. Herzlichen Dank.

Ich schliesse diesen Thread. Danke an alle, die sich beteiligt haben.

PS: Das mit dem Host-File wäre meine letzte Möglichkeit gewesen. Zuerst hätte ich wie oben vorgeschlagen mit dem Microsoft Network Monitor den Dienst herausgekramt. Aber hat sich jetzt erledigt.
Bitte warten ..
Mitglied: degu-fdh
13.10.2009 um 08:33 Uhr
Wo finde ich dieses Host File?
Bitte warten ..
Mitglied: mc-doubleyou
14.10.2009 um 08:35 Uhr
C:\WINDOWS\system32\drivers\etc da liebt dann eine hosts Datei
Bitte warten ..
Mitglied: degu-fdh
14.10.2009 um 08:59 Uhr
Zitat von SymantecDeutschland:

Bearbeiten Sie das Host File auf jeden BE Media Server und
ändern Sie folgenden Eintrag: securityresponse.symantec.com soll
auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.

Ist dann also doch diese Datei.
Ich war etwas verwirrt, da im Beitrag was von "ändern" steht aber wohl "hinzufügen" gemeint war.
Bitte warten ..
Mitglied: mc-doubleyou
14.10.2009 um 09:12 Uhr
Einfach das:

securityresponse.symantec.com 127.0.0.1

dazu schreiben
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...