Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Symantec Endpoint Protection 11 - leere MAC Adresse

Frage Sicherheit Viren und Trojaner

Mitglied: StevenMcMegabyte

StevenMcMegabyte (Level 1) - Jetzt verbinden

13.02.2009, aktualisiert 15:52 Uhr, 7694 Aufrufe

Hallo liebe Forenteilnehmer,

wir haben bei uns Symantec Endpoint Protection Version 11 im Einsatz.
Seit einiger Zeit poppen Meldungen an allen Clients auf

"MSRPC SrvSvc NetApi Buffer Overflow (2) erkannt.
Datenverkehr aus dieser Anwendung wurde blockiert: C:\WINDOWS\system32\ntoskrnl.exe"

Nach kurzem Googeln wird schnell deutlich, dass es sich hier wahrscheinlich um einen Angriff handelt und
Symantec sagt dazu folgendes

Severity: High
This attack could pose a serious security threat. You should take immediate action to stop any damage or prevent further damage from happening.

Beim Nachlesen in anderen Foren zeigt sich, dass hinter dem Angriff immer eine routbare IP-Adresse inkl. korrekter MAC-Adresse steht.

Bei uns ist dies nicht der Fall. Im Sicherheitslogbuch des Scanners steht immer eine APIPA-Adresse und eine leere Mac-Adresse als Quelle (00-00-00-00-00-00).

Ich habe mit Wireshark mal den Verkehr auf einigen Rechnern mitgesnifft.
Damit konnte ich die MAC Adresse eines Cisco 1800 Routers ausfindig machen.

Auch zeitlich lassen sich die Meldungen im Sicherheitslog mit Ethernetframes aus Wireshark übereinanderlegen.
Allerdings nicht alle Pakete, denn der Router versendet eine Menge Pakete mit einer APIPA Adresse.

Zu diesem Sachverhalt habe ich ein paar Fragen.
Vielleicht ist unter euch jemand, der bereits Erfahrungen aus einem ähnlich gelagerten Fall mitnehmen konnte.

Könnte es sein, dass ein anderer aktiver Knoten im Netzwerk sich der MAC des Routers bedient?
Könnte das IOS des Routers derart kompromitiert sein, dass er plötzlich Pakete mit APIPA Adressen versendet?
Ich bin ziemlich ratlos, wie ich weiter vorgehen könnte. Leider habe ich keinen Zugriff auf den Router. Hat jemand noch einen Tipp für mich?

Vielen Dank im Voraus.
Beste Grüße
Steven
Ähnliche Inhalte
Netzwerkmanagement
gelöst MAC Adresse verändert sich? (35)

Frage von voidcount zum Thema Netzwerkmanagement ...

Netzwerkgrundlagen
gelöst Doppelte MAC Adresse (3)

Frage von Marius.Follert zum Thema Netzwerkgrundlagen ...

Netzwerkmanagement
DHCP Mac Adresse einer IP zuweisen (8)

Frage von vikozo zum Thema Netzwerkmanagement ...

Netzwerke
OpenVPN bestimmte Mac Adressen zulasssen (2)

Frage von gutknut zum Thema Netzwerke ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

Windows 7
Bluesreens unternehmensweit (19)

Frage von SYS64738 zum Thema Windows 7 ...

LAN, WAN, Wireless
IP Adressen - Modem - Switch - Accesspoint (17)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Windows 10
Programm Installation bei Win 10 Fehlerhaft (13)

Frage von Keineahnungvonnix zum Thema Windows 10 ...