Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverupgrade steht an, was wäre besser normal Installation oder Virtualisieren?

Frage Microsoft Windows Server

Mitglied: meddie

meddie (Level 1) - Jetzt verbinden

25.06.2010 um 08:47 Uhr, 3491 Aufrufe, 19 Kommentare

Hallo Leute,

wie auch immer ist unser Server von einem Virus befallen. Der Exchnage versendet andauernd Spam. Trotz eine Server Antivirus Lösung. Leider habe ich den Virsu bisher nicht beseitigen können. Unser Antivirus hat bei dem komplett Scan nichts gefunden, auch andere Tools wie OnlineScans oder Stinger haben nichts gefunden. Der Exchange versendet fleissig weiter Spams. Nun weiss ich mir nicht anders zu helfen, und muss den Server neu installieren.

Jetzt stellt sich mir die Frage, soll ich den Server ganz normal aktualisiren, oder als virtuelle Maschine.
Als Virtuelle Maschine wäre der große Vorteil, dass wenn sich die Hosthardware ändert der Umzug ruck zuck vollzogen ist. Allerdings habe ich den NAchteil, dass der Host einen gewissen Anteil an Hardwareresourcen frisst, die dem Gastsystem dann abgehen.

Ich bin mit der Virtualisierung noch nicht so vertraut, und möchte nun Euch um Rat fragen was wäre besser für uns. Und wie sollte man es umsetzten.

Hier kurz was zu unsere Umgebung. Wir haben noch einen HP ProLiant ML350 G3. Mit 2,8 GHz 3 GB Ram und 72 GB Raid5 SCSi Platten. Im Moment Win Srv 2003 SBS.
insgesamt haben wir 11 PC und 3 Notebooks. (Wobei Notebooks ausser Internet nichts nutzen in der Firma)
Am Server läuft ledeglich Exchange, eine SQL DB für Faktura Software, und Tobit Faxserver.

Vielen Dank im Voraus.
Gruß Eddie
Mitglied: webstor
25.06.2010 um 09:00 Uhr
Wenn Dein Mailserver Spam versendet ist es kein Virus, sondern ich würde mal nachschauen ob Dein Server ein offenes Relay ist.
Bitte warten ..
Mitglied: meddie
25.06.2010 um 09:08 Uhr
Hääte ich schon gemacht. Aber ein paar Online Tests haben bestötigt, dass er nicht odden ist.
Bitte warten ..
Mitglied: noodyn
25.06.2010 um 09:10 Uhr
Zitat von meddie:
Hääte ich schon gemacht. Aber ein paar Online Tests haben bestötigt, dass er nicht odden ist.

Wie meinen? Das schwarze sind die Buchstaben, aber sie ergeben keinen Sinn.
Bitte warten ..
Mitglied: Ellerbrok
25.06.2010 um 09:12 Uhr
Hallöle,

irgendwie scheint der Virus auch deine Tastatur befallen zu haben.... da kommen ganz viele komische Spam-Buchstaben raus

Nein, mal im ernst. Ich würde auf jeden Fall virtualisieren. Die paar resourcen, die z.B. der (kostenlose) XEN Server verbraucht sind durch die Vorteile der Hardwareunabhängigkeit, möglichkeiten der Redundanz und viel einfachereren Sicherung (einfach Server-Container sichern.... alles drin) allemal aufgewogen.

Gruß,
Marcel
Bitte warten ..
Mitglied: Neomatic
25.06.2010 um 09:18 Uhr
Entweder ein offener SMTP-Relay Server oder einer der User im Netzwerk hat nen Virus auf dem Rechner. Schau mal im Log nach ob es der Server selbst ist der die Spam Mail verschickt, oder ob ein anderer Rechner der Ursprung ist und der Server nur als Relay genutzt wird.
Bitte warten ..
Mitglied: meddie
25.06.2010 um 09:21 Uhr
Ja stimmt , irgendwie wollte ich ganz schnell tippen, und habe gar nicht hingesehen, was ich getippt habe. Sorry.
Ich übersetzte es noch mal

"Hätte ich schon gemacht. Aber ein paar Online Tests haben bestätigt, dass er nicht offen ist."

Ich dachte Windows Server 2008 R2 installieren und mit Hyper-V einen Virtuell PC erstellen. Und auf diesen dann auch Win 2008 Srv R2 installieren. Oder ist eher nicht das wahre.?
Bitte warten ..
Mitglied: Gilneas
25.06.2010 um 09:25 Uhr
Ich an deiner Stelle würde zunächst mal die Hardware auf Kompatibilität zu einem Hypervisor prüfen. Evtl. hat sich die Sache dann ja schon erledigt, wobei das eigentlich nicht anzunehmen ist.
Dann bleibt die Entscheidung welchen Hypervisor du nehmen willst.

Für mich stellt sich die Frage, ob es sinnvoll ist einen Server zu virtualisieren nur um des Virtualisierens willen... wenn du schon davon redest, dass dir das Hostsystem Ressourcen frisst, dann scheinst du nicht vor zu haben irgendwann mehrere VMs auf einem Host betreiben zu wollen.
Nebenbei bräuchtest du für diesen Zweck wohl auch früher oder später ein bisschen mehr RAM.

Ich hab eher den Eindruck, als ob eine vernünftige Backuplösung zunächst die wichtigere Anschaffung wäre.
Bitte warten ..
Mitglied: Neomatic
25.06.2010 um 09:25 Uhr
Ich würde mir mal den kostenlosen ESXi Server von VMware anschauen. http://www.vmware.com/de/products/esxi/


Bei deinem Vorschlag hast du 2 Nachteile:

1. Du brauchst 2 Windows Lizenzen (1x Host, 1x Gast Betriebssystem)
2. Verbrauchst du durch den Windows Untergrund zuviel Ressourcen
Bitte warten ..
Mitglied: meddie
25.06.2010 um 09:26 Uhr
Zitat von Neomatic:
Entweder ein offener SMTP-Relay Server oder einer der User im Netzwerk hat nen Virus auf dem Rechner. Schau mal im Log nach ob es
der Server selbst ist der die Spam Mail verschickt, oder ob ein anderer Rechner der Ursprung ist und der Server nur als Relay
genutzt wird.


Sorry habe Dein Post übersehen. In den Logs stehtnichts drin, über die Mails, man sieht zwar dass welche versendet werden, aber keine Absender IP oder ähnliches, nichts woraus man was weite verfolgen kann.
Am Wochenende waren alles PCs aus ausser dem Server, und trotzdem sind am wochenende Spams versendet worden. Habe auch zum Test die Frewall alle eingehenden Verdinungen blocken lassen, und trotzdem sind Spams versendet worden, also gehe ich davon aus, dass der Server selber infiziert sein muss.
Bitte warten ..
Mitglied: thaenhusen
25.06.2010 um 09:27 Uhr
Moin.

Also eigentlich ist das virtualisieren eine Top-Sache, aber ich sehe Probleme mit dem Tobitfaxserver und den aktiven ISDN-Karten...
Das wird nicht ganz einfach.

Mal eine Grundsätzliche Frage: Wenn Ihr schon Tobit habt, warum löst Du nicht den Exchange mit dem Tobit komplett ab.
Das vereinfacht auch die Datensicherung ungemein.

HTH
MK
Bitte warten ..
Mitglied: meddie
25.06.2010 um 09:37 Uhr
@Gilneas:

Du hast Recht, ich plane oder wir planen nicht mehrere VMs zu betreiben. Vorerst nicht, was kommt wird sich noch zeigen. Aber wie gesagt erstaml nicht.
Virtualisieren will ich ja nicht um den Willen, dass ich auch eine VM habe, sondern, viel mehr darum wie oben im ersten Post schon geschrieben, wir haben einen HP ProLienat ML350 G3 also schon Uralt. Und es kann sein, dass über kurz oder Lang wir die Hardware upgraden müssen.
Und spätestens dann wird sich die Virtualisierung bezahlt machen.
Im Falles eines Ausfalls der Hardware ist die VM einfach genial.

@thaenhusen:
Ja das mit dem Tobit das stimmt, da muss ich mir auch was einfallen lassen. Wobei wir nicht den Tobit komplett haben sondern nur den Tobit MX also nur reiner Faxserver.
Und den Exchange möchte ich nicht missen, alleine wegen dem Outlook Webb Access, und Iphone Push. Aber das ist eine andere Geschichte.
Bitte warten ..
Mitglied: Gilneas
25.06.2010 um 10:09 Uhr
Zitat von meddie:
@Gilneas:

Du hast Recht, ich plane oder wir planen nicht mehrere VMs zu betreiben. Vorerst nicht, was kommt wird sich noch zeigen. Aber wie
gesagt erstaml nicht.
Virtualisieren will ich ja nicht um den Willen, dass ich auch eine VM habe, sondern, viel mehr darum wie oben im ersten Post schon
geschrieben, wir haben einen HP ProLienat ML350 G3 also schon Uralt. Und es kann sein, dass über kurz oder Lang wir die
Hardware upgraden müssen.
Und spätestens dann wird sich die Virtualisierung bezahlt machen.
Im Falles eines Ausfalls der Hardware ist die VM einfach genial.


Dann wäre doch aber für dich die einfachste Lösung neue Hardware anzuschaffen und direkt auf diesem deinen Server zu installieren. Hier könntest du theoretisch auch schon direkt virtualisieren, wobei mir das eher überstürzt vorkommt.
Bitte warten ..
Mitglied: maretz
25.06.2010 um 10:22 Uhr
Hmm - gut das du kein Arzt bist... Ich weiss nicht warum sie kopfschmerzen haben... Und da ich es nicht finde schneid ich einfach ma den kopf ab...

Darf ich dir mal ne provokante Frage stellen? Wenn du den Virus jetzt nicht findest und den Server neu installierst - was passiert wenn derselbe Virus wieder drauf kommt? Ich mein - einmal die Woche den Exchange neumachen - warum nicht? Wer sonst keine Hobbys hat...

Ansonsten würde ich mal den Virus versuchen auszumachen. Notfalls erstmal mit nem Wireshark die Netzwerkkarte überwachen um rauszufinden ob es überhaupt der Server ist. Wer sagt denn das es nicht MEIN Server ist - die Absender-Adresse fälschen ist ne sache von Sekunden. Das wäre ein Grund warum du keinen Virus findest - weil es nicht zwangsweise einen gibt... Also Schritt 1 jetzt: Überprüfen ob wirklich DEIN Server den Müll versendet.

Wenn das der Fall ist dann guckt man weiter. Irgendwas muss ja dann drauf laufen was Mails sendet. Also die Prozessliste Step by Step durchgehen... Notfalls mit nem Programm gucken (ich weiss aus dem Kopf nicht ob wireshark das kann) welcher Prozess da welchen Port nutzt. Und los gehts...

Vorteil: Du bereinigst deinen Server, findest ggf. die Schwachstelle und kannst das Problem beheben... Selbst wenn du den dann neu installierst dann kannst du dafür sorgen das sowas nicht wieder vorkommt... Ansonsten installierst du neu und entdeckst das irgendein Client leider nen Virus hat der den sofort wieder an den Server gibt.. Wäre dann eher suboptimal, oder?
Bitte warten ..
Mitglied: Neomatic
25.06.2010 um 10:25 Uhr
Zitat von maretz:
Also die Prozessliste Step by
Step durchgehen... Notfalls mit nem Programm gucken (ich weiss aus dem Kopf nicht ob wireshark das kann) welcher Prozess da
welchen Port nutzt. Und los gehts...


Wireshark kann das soweit ich weiß nicht.

Das Tool heißt TCPView. ;)
Bitte warten ..
Mitglied: meddie
25.06.2010 um 10:45 Uhr
Ich weiss, dass das suboptimal ist, aber ich kann mir im moment nicht anders helfen. Ich hatte soweit mein wissen reicht versucht den Schädling zu finden, und hatte keinen Erfolg.
Ich habe mit ProcessExplorer versucht. Werde aber mit TCPView nochmal probieren. Sicherlich wäre es die bessere Lösung den Virus oder was es auch immer sein mag zu neutralisieren.
Bitte warten ..
Mitglied: meddie
25.06.2010 um 11:40 Uhr
Ich habe mir jetzt die Prozessliste durchgesehen, mir fällt jetzt da zwar folgendes auf hier ein Auszug aus der Liste:

[System Process]:0 TCP server1.domain.local:12919 domainiminet.de:pop3 TIME_WAIT
[System Process]:0 TCP server1.domain.local:12930 domainiminet.de:pop3 TIME_WAIT

Die Domainnamen habe ich entfernt.

Bei dieser Domain hat aber der Server nichts zu suchen. Den der Pop3 Connector geht über eine andere Domain.
Aber wie gehts jetzt weiter?
Bitte warten ..
Mitglied: goscho
25.06.2010 um 12:13 Uhr
Zitat von meddie:
Bei dieser Domain hat aber der Server nichts zu suchen. Den der Pop3 Connector geht über eine andere Domain.
Aber wie gehts jetzt weiter?
Hallo meddie,
lies dir den Beitrag von maretz noch mal genau durch.

Gemacht, o.k.

Wer sagt, dass du der Spamversender bist, dein Provider, ein Empfänger oder dein Exchange-Log oder ist das nur ein Bauchgefühl?
Bitte warten ..
Mitglied: meddie
25.06.2010 um 12:26 Uhr
Das sehe ich am vServer vom Strato dass in der Queue sich Spammails sammeln. Diese lösche ich raus mit einem Script. (als Notlösund dabei) Und die Queue bleibt leer. Wenn unser Server aus ist.
Bitte warten ..
Mitglied: goscho
25.06.2010 um 12:43 Uhr
Zitat von meddie:
Das sehe ich am vServer vom Strato dass in der Queue sich Spammails sammeln.
Wird von dir über diesen versandt?
Diese lösche ich raus mit einem Script. (als
Notlösund dabei) Und die Queue bleibt leer. Wenn unser Server aus ist.
Und wie sieht dein SMTP-Log am Exchange aus, das muss doch auch überlaufen?

In diesen Mails steht doch auch, von wem sie sind, über wen sie versendet werden...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Hyper-V
gelöst Bestehende XP-Installation mit Hyper-V virtualisieren (30)

Frage von fox14ch zum Thema Hyper-V ...

Windows 10
gelöst Windows 8, Meldung ihr upgrade steht zur installation bereit (12)

Frage von StefanKittel zum Thema Windows 10 ...

Windows Installation
Server 2016 UEFI Installation von USB (2)

Tipp von DerWoWusste zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...