Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Trojaner im Netzwerk finden

Frage Sicherheit Viren und Trojaner

Mitglied: riegerrobsi

riegerrobsi (Level 1) - Jetzt verbinden

19.04.2010 um 12:53 Uhr, 11119 Aufrufe, 13 Kommentare

hallo alle zusammen, ich hoffe ihr könnt mir helfen.

Ich habe ein kleines Netzwerk mit 20 Rechnern, auf irgendeinem dieser Rechner ist ein Trojaner o.ä. installiert,
es gehen willkürlich Emails nach aussen, und wir sind dadurch auch schon bei der ein oder anderen Blacklist geführt.
Nun zu meiner Frage, wie kann ich im Netzwerk so einen Trojaner der wild Emails verschickt aufspüren.
Ich hab mal Wireshark über eine ganze weile auf dem Mailserver (Exchange) mitlaufen lassen, da ich vermute,
das dieser als SMTP für den Trojaner dient, habe aber keinen verdächtigen SMTP Verkehr gefunden.
Hoffe ihr könnt mir weiter helfen.
Mitglied: matze2010
19.04.2010 um 13:00 Uhr
Hallo riegerrobsi,

eine ähnliche Frage hatten wir heute schon, nur mit einer anderen Begründung. Wenn du der Netzadministrator bist, dann kannst du sicherlich auf dem Monitoring-Port des Switch mitlauschen. Je nachdem, welche Vereinbarung über das private Surfen in eurem Unternehmen getroffen wurde darfst du den Netzwerkverkehr eurer Mitarbeiter __nicht__ mitlauschen. Ansonsten einfach auf dem Internetgateway (statt Exchange) mitlauschen oder SMTP Traffic, der nicht vom Exchange Server kommt blocken und protokollieren. Wenn du dann die Logs liest, dann siehst du die geblockte IP für SMTP.

Lg
Matze
Bitte warten ..
Mitglied: maretz
19.04.2010 um 13:06 Uhr
Moin,

in diesem Kontext ist es falsch - auch wenn private Nutzung erlaubt ist dann darf zur Störungsbeseitung z.T. der Verkehr mitgeschnitten werden. Insbesondere da man ja hier recht einfach sicherstellen kann das man keine privaten Dateien mitschneidet (Port 25 wird man im lokalen Netzwerk mit einem Exchange-Server u. Outlook-Clients so nie sehen -> da die über die MAPI gehen...). Damit gehe ich auch elegant an dem Problem mit privater Nutzung vorbei - und darf zur Störungsbeseitigung hier den Datenverkehr mitschneiden...

Ich würde allerdings vorher von Rechner zu Rechner gehen (bei 20 is das ja ein überschaubarer Aufwand) und mal die Prozessliste ansehen...
Bitte warten ..
Mitglied: lefgruen
19.04.2010 um 13:36 Uhr
Hallo,

erzeuge einen Startdatenträger - CD, Stick - mit einem brauchbaren Virenscanner, boote von dem und lasse den Scanner laufen! Ist das aktuelle Update zum Entfernen schädlicher Software installiert?
Bitte warten ..
Mitglied: matze2010
19.04.2010 um 13:48 Uhr
Hallo,

Zitat von maretz:
Moin,

in diesem Kontext ist es falsch - auch wenn private Nutzung erlaubt ist dann darf zur Störungsbeseitung z.T. der Verkehr
mitgeschnitten werden. Insbesondere da man ja hier recht einfach sicherstellen kann das man keine privaten Dateien mitschneidet
(Port 25 wird man im lokalen Netzwerk mit einem Exchange-Server u. Outlook-Clients so nie sehen -> da die über die MAPI
gehen...). Damit gehe ich auch elegant an dem Problem mit privater Nutzung vorbei - und darf zur Störungsbeseitigung hier den
Datenverkehr mitschneiden...

Ja und nein, insbesondere E-Mail-Verkehr (z.B. privater E-Mail-Verkehr ohne Exchange-Server) ist das __private__ Medium schlechthin. Den wirst du auch auf Port 25 hören. Pflicht ist aber dennoch den 20 Mitarbeitern vorher Bescheid zu sagen und diese über die "Wartungsarbeiten" zu informieren.

Ich würde allerdings vorher von Rechner zu Rechner gehen (bei 20 is das ja ein überschaubarer Aufwand) und mal die
Prozessliste ansehen...
Im Zweifel, ob das aber wirklich "schneller" ist hängt von der Trojaner-Gattung und Programmierkunst des Erstellers ab

Lg
Matze
Bitte warten ..
Mitglied: jhinrichs
19.04.2010 um 13:59 Uhr
Moin,
was den "privaten" Email-Verkehr angeht: Es ist eine Sache, private Mail über die bestehende Infrastruktur (in Eurem Falle Exchange) zuzulassen, dann wirst Du, wie von maretz gesagt, bedenkenlos Port 25 belauschen dürfen. Für den Zweck des "privaten" Mailverkehrs den Clients zu erlauben, am Exchange (oder sonstigen zentralen Mailserver) vorbei Mails per SMTP/POP/IMAP zu nutzen, halte ich für fahrlässig, da damit jegliche zentrale Malware- und ggf. Spam-Bekämpfung unterlaufen wird. Vielleicht ist ja der Trojaner so ins Netz gekommen?
Also würde ich auf der Firewall die Mailports (SMTP/POP/IMAP etc.) ausschließlich für das Mailgateway/den Mailserver freigeben und dann in den Logs studieren, wer da Verbindungsversuche startet. "Private" Mail an der Firmeninfrastuktur vorbei wäre dann, sofern man dasnicht auch blockt, immer noch über die Webmail-Interfaces der üblichen Verdächtigen möglich, aber doch mit weniger Risiko behaftet, da die eigentliche Mail nicht im Firmennetz landet.
Grüße
Bitte warten ..
Mitglied: mrtux
19.04.2010 um 13:59 Uhr
Hi !

Zitat von matze2010:
Im Zweifel, ob das aber wirklich "schneller" ist hängt von der Trojaner-Gattung und Programmierkunst des Erstellers

Den Übeltäter musst Du meist eh neu aufsetzen oder ein Backup-Image zurückspielen um ganz sicher zu sein und das ist auch Aufwand....Ich würde den verdächtigen Kandidaten auf jeden Fall erstmal mit einem Offlinescan beglücken um zu sehen was Sache ist. Im laufenden OS kann so eine Suche schnell mal zum Katz und Maus Spiel werden und meiner Erfahrung nach spielt man da meist den ähm Dummen...

mrtux
Bitte warten ..
Mitglied: riegerrobsi
19.04.2010 um 15:06 Uhr
Hi,

gute Neuigkeiten, habe im Firewall Log tatsächlich einen Rechner gefunden, der SMTP Verkehr en masse generiert hat, teilweise bis zu 20 Nachrichten pro Minute.
Hoffentlich war das der einzige Rechner, der infiziert war.
Wenn nicht würde ich nochmals um eure Hilfe bitten.

riegerrobsi
Bitte warten ..
Mitglied: maretz
19.04.2010 um 15:38 Uhr
Moin,

jemand der es den Clients erlaubt mit nem eigenen Email-Programm den privaten Email-Verkehr zu machen der hat andere Sorgen als nen Trojaner ;). Ganz ehrlich: Nen Admin der das so den Mitarbeitern erlaubt würde ich ohne zu zögern versetzen. Und zwar an die Stelle mit den 5 Mio. Kollegen! Denn dann hat man wirklich allem Tür & Tor geöffnet -> in dem Fall kann man sich m.E. auch sämtliche Firewalls u.ä. sparen und den Nutzern direkt Admin-Rechte geben... (Es wäre ja nur die halbe Todesstrafe auf Lebenszeit wenn man ausgehend alles zu Port 25 rauslässt. Aber falls das für nen Client beabsichtigt ist kann man ja davon ausgehen das auch eingehende Abholung via POP3/IMAP erlaubt ist -> und somit hat man definitiv die Pappnase... ganz davon abgesehen das man als Admin den Rechner dann praktisch nicht mehr anfassen kann ohne das der Benutzer direkt daneben sitzt.... klasse....)
Bitte warten ..
Mitglied: riegerrobsi
19.04.2010 um 15:49 Uhr
Hallo,

leider haben wir bei 20 Rechnern keinen eigenen Admin, was bei einem Unternehmen unserer größe wohl durchaus normal ist...
Ich bin zu diesem Problem ja auch eher wie die Jungfrau zum Kind gekommen, da ich eben der einzige bin der zumindest Computer interessiert ist.
Die Firewall wurde durch eine beauftragte Firma aufgesetzt, und das Regelwerk ebenso.
Bitte warten ..
Mitglied: aqui
19.04.2010 um 15:53 Uhr
Das muss man doch auch nicht. Du brauchst dir doch nur mit einme simplen Mausklick im Email Client einmal den kompletten Mail Header ansehen. Da steht doch genau der (böse) Absender mit seiner IP Adresse drin !!
arp -a am Router, dann hast du zur IP die Mac Adresse bzw. so oder so hast du über die IP ja schon den bösen Buhmann ausgemacht. Dafür benötigt man 5-10 Minuten...wo ist denn da nun dein eigentliches Problem ??
Bitte warten ..
Mitglied: riegerrobsi
19.04.2010 um 15:56 Uhr
Dazu würde ich doch aber so ein Spam mail benötigen oder? Wie kann ich sonst den Header auslesen?
Bitte warten ..
Mitglied: aqui
19.04.2010 um 16:04 Uhr
Ja, klar aber dafür gibts ja den kostenlosen Wireshark Sniffer den mal am Router Port auf TCP 25 und die IP des Mailservers lauschen lässt
Bei 20 Mails pro Minute hast du den Buhmann bzw. die IP dann im Handumdrehen !!
Und...kannst gleich anhand der Ziel IP und WhoIs auch noch sofort sehen wer denn der ominöse Empfänger ist !!
Bitte warten ..
Mitglied: maretz
19.04.2010 um 16:45 Uhr
Moin,

jap - das ist normal. Und da wird normal auch der externe Dienstleister die FW entsprechend konfigurieren so das du da nix raushauen kannst...

Und nur am Rande: GRAD wenn ihr keinen eigenen Admin habt dann ist natürlich umso mehr darauf zu achten das nix "einfach runtergeladen wird" u.ä. -> denn dann sind die Systeme selbst bei euch vermutlich auch nicht so extrem gesichert und ein Virus/Trojaner hat deutlich mehr chancen da richtig Schaden anzurichten...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
WDMYCLOUD nicht im Netzwerk sichtbar (4)

Frage von Ully45 zum Thema Netzwerkmanagement ...

Windows 10
Nach Start kein Netzwerk (11)

Frage von MegaGiga zum Thema Windows 10 ...

LAN, WAN, Wireless
gelöst Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz (4)

Frage von GKKKAT zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...