Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Live CD Virus-Check am MS Exchange Server

Frage Microsoft Windows Netzwerk

Mitglied: sirhc4022

sirhc4022 (Level 1) - Jetzt verbinden

19.02.2013 um 10:18 Uhr, 2004 Aufrufe, 8 Kommentare

Hallo Cracks,
ich brauche dringendst euren Rat!

Folgende Situation:

Ein SBS2011 als AD und DC sowie mehrere Clients mit Norton 360 als Anti-Virus und Firewall.
Aufm SBS läuft kein Antivirus. (Nennt sich sowas Endpoint-Protection???)

Jetzt haben wir mit ner Linux StartCD mehrere Trojaner auf einem Client entdeckt. Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten. Kann ich den Serverrechner mit ner Kaspersky Start-CD checken lassen, oder zerschieße ich mir damit die Exchange Datenbank (o. a.)? Hatte sowas in der Richtung mal gelesen glaub ich.

Danke für euer Hirnschmalz!
Chris
Mitglied: adminst
19.02.2013 um 10:54 Uhr
Hallo sirhc4022
In deinem Fall würde ich
a) Client platt machen und neu installieren
b) Einen anständigen AV einsetzen (Egal ob Kaspersky oder Trend Micro)
c) Einen SBS komplett neu aufsetzen mit AV etc. und dann das alte scannen und migrieren

Gruss
adminst
Bitte warten ..
Mitglied: Deepsys
19.02.2013 um 12:17 Uhr
Hallo,

Zitat von adminst:
b) Einen anständigen AV einsetzen (Egal ob Kaspersky oder Trend Micro)
Das würde ich so nicht unterschreiben.
Beide, Kaspersky und Trend Micro, haben bei uns schon mal was durchgelassen. Man kann sich auf keinen Wächter 100% verlassen.

Ich möchte aber keine Diskussion über die Hersteller auslösen, war nur ein Hinweis.


c) Einen SBS komplett neu aufsetzen mit AV etc. und dann das alte scannen und migrieren
Naja, ich finde es kommt drauf an was das für ein Trojaner war.
Klar, komplett neumachen ist das sicherste, aber woher weißt du dann das dein Backup nicht auch schon verseucht ist.

Sonst stelle den kompletten SBS mal auf einem anderem System her, und lass das scannen.
Ist da alles OK, sollte es der SBS selber auch sein, nur geht du so kein Risiko ein.

VG
Deepsys
Bitte warten ..
Mitglied: sirhc4022
19.02.2013 um 14:43 Uhr
Danke für die Tipps! Lasse grad n Check von Trend Micro durchlaufen (gabs als Freeware auf deren Seite). Werde den SBS mal auf nem anderen System herstellen und tiefenscannen.
Bitte warten ..
Mitglied: Chonta
19.02.2013 um 17:25 Uhr
Hallo,

wenn Du einen Filescanner auf die Datenbankdatei läßt, hast Du hoffendlich ein gutes Backup!
Exchange braucht einen Exchangetauglichen virenscanner der die DB-Struktur innerhalb der DB scannt!

Activedirectorydatenbak und Exchangedatenbank sind IMMER aus der Überprüfung eines FileVirenscanners auszuschließen, ausßer man will seine Backups testen

Gruß

Chonta

(PS: es mus nichts kaput gehen aber die Warscheinlichkeit ist hoch das was kaput geht)
Bitte warten ..
Mitglied: DerWoWusste
19.02.2013 um 23:52 Uhr
Moin.
Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten.
Du weißt, was ein Trojaner ist? Trojanische Pferde werden von Benutzern ausgeführt, die kommen nicht von allein, das wären Würmer.
Exchange-Clients können den Server nicht infizieren, falls Du das denkst. Allenfalls auf Netzwerkebene, und da dürfte ja nichts passieren, denn der SBS bekommt doch zeitnah eingespielte Windowsupdates, oder?
Gibt es denn überhaupt einen konkreten Anlass zu glauben, dass der Exchange infiziert ist? Oder ist das jetzt eher eine Panikreaktion?
Bitte warten ..
Mitglied: sirhc4022
26.02.2013 um 00:25 Uhr
Moin,

jap, der Server zieht immer die aktuellsten Updates. Es war erstmal alles eine Panikreaktion. Da ich erst so langsam in die Materie "Server" eintauche blicke ich viele Zusammenhänge noch nicht. Wie ein Trojaner dem Grunde nach funktioniert ist mir *eigentlich* klar.
Vielmehr hatte ich jedoch Angst, dass das Pferdchen (welches ja durch serverseitig gespeicherte Profile letztlich auf dem Server gelandet war) aus irgendeinem Grund vom "Benutzer - SYSTEM" oder ähnliches aufgerufen werden könnte. Wieso auch immer. Diese 1000 Benutzer, die auf dem SBS rumschwirren und die für irgendwelche Sachen noch mehr Rechte haben, sind für mich eh noch ungewohnt und totales Neuland. Kein Plan, wann welches Benutzerkonto mit welchen Rechten wann wo ausgeführt wird.
Viel lernen ich noch muss. . .
Zwar off-topic, aber haste da irgendwo was nettes zum Lesen zu diesem Thema?
Schon spät und der Tag war lang. Ich hoffe du blickst mein Kauderwelsch :D

Gruß,

Chris
Bitte warten ..
Mitglied: DerWoWusste
26.02.2013 um 18:45 Uhr
Ok, ein paar Aufklärungsversuche:
Der Server würde nie etwas aus den Profilenausführen - wozu sollte er, das sind keine Systemdateien und auch keine Dienste/Programme. Auf diesem Weg wird nichts infiziert.
Wenn ein Benutzer etwas ausführt, was eine elevation of privilege Lücke benutzt, um höhere Rechte als Benutzerrechte zu bekommen, dann sieht das anders aus. El. of. P. kannst Du mal googeln, sollte man kennnen.
Kein Plan, wann welches Benutzerkonto mit welchen Rechten wann wo ausgeführt wird.
Der Nutzer handelt als Nutzer, niemand sonst. Das Systemkonto handelt nie im Auftrag des Nutzers, außer der Admin hat dieses für bestimmte Zwecke gewährt - Beispiel: Windows Updates installieren oder per Softwareveröffentlichung (GPO) zugewiesene Software zu installieren.

Was zu lesen habe ich nicht, nein. Wüsste leider wirklich nicht, wo Du starten könntest.
Bitte warten ..
Mitglied: sirhc4022
27.02.2013 um 21:33 Uhr
Hey DerWoWusste,

danke für deinen Post. Der war echt nützlich. Darauf lässt sich doch aufbauen. Werde wahrscheinlich um eine richtige Schulung früher oder später nicht herum kommen. Dafür ist der ganze Kram einfach zu komplex. . .
Danke nochmal, du bist der Beste!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst ESET MailSecurity for MS Exchange Server (1)

Frage von MiSt zum Thema Windows Server ...

Windows Server
gelöst Neuer PDC - Exchange Server anpassungen? (6)

Frage von adrian138 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...