9
Windows Server 2003 Log - Welcher Client will welchen Port nutzen
Im Windows Server 2003 Netzwerk wurde seitens der Telekom ein Bot entdeckt, der über unser Netzwerk Spam-Mails verschickt. Der generelle Internetzugang, auch vom Server, wurde direkt gekappt und alle möglichen Sicherheitstools wurden bei den Clients angewandt. Leider ohne Fund. Auch der permanent aktive Virenscanner brachte keinen Fund.
Nun wird's an einem kompletten Formatieren der Rechner kein Weg vorbei führen.
Dennoch würde ich gerne zuvor rausfinden, welche/r Client/s infiziert sind. Da der Mailversand bekanntlich über den Port 25 funktioniert, würde ich dazu gerne ein Programm/Firewall/Log haben wollen, der genau zeigt, wann welcher Client versucht eine E-Mail über diesen Port 25 zu versenden.
Kennt jemand ein solches Programm, welches die Versuche auch Loggen muss, da der Bot ja nicht permanent sendet!?
Nun wird's an einem kompletten Formatieren der Rechner kein Weg vorbei führen.
Dennoch würde ich gerne zuvor rausfinden, welche/r Client/s infiziert sind. Da der Mailversand bekanntlich über den Port 25 funktioniert, würde ich dazu gerne ein Programm/Firewall/Log haben wollen, der genau zeigt, wann welcher Client versucht eine E-Mail über diesen Port 25 zu versenden.
Kennt jemand ein solches Programm, welches die Versuche auch Loggen muss, da der Bot ja nicht permanent sendet!?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203277
Url: https://administrator.de/contentid/203277
Printed on: April 19, 2024 at 01:04 o'clock
9 Comments
Latest comment
Hi du,
ganz einfach ;) Wireshark
schreibt sämtlichen Netzwerktraffic mit, sollte also passen.
Grüße
Exzellius
ganz einfach ;) Wireshark
schreibt sämtlichen Netzwerktraffic mit, sollte also passen.
Grüße
Exzellius
1
Vielen Dank für die rasche Antwort.
Klingt nach der Beschreibung des Programms tatsächlich nach dem was ich suche. Ich werd's mal installieren und schauen.
Danke nochmal für den Tipp.
Klingt nach der Beschreibung des Programms tatsächlich nach dem was ich suche. Ich werd's mal installieren und schauen.
Danke nochmal für den Tipp.
Immer gerne 
Wenn du Ergebnisse hast, kanst du sie ja gerne hier posten.
Ansonten: How can I mark a post as solved?
Grüße
Exzellius
Wenn du Ergebnisse hast, kanst du sie ja gerne hier posten.
Ansonten: How can I mark a post as solved?
Grüße
Exzellius
Nun wird's an einem kompletten Formatieren der Rechner kein Weg vorbei führen.
ich würde mich da nicht so einfach geschlagen geben ;)
wenn du den PC identifizier hast dann evtl mit einer Kaspersky Rescue CD fixen
Sind ca. 20 Rechner die neu aufgesetzt werden müssen.
Da ich leider offenbar nicht zweifelsfrei rausfinden werden kann, welcher Rechner betroffen ist, würde ich lieber auf Nummer Sicher gehen und alle formatieren.
Da ich leider offenbar nicht zweifelsfrei rausfinden werden kann, welcher Rechner betroffen ist, würde ich lieber auf Nummer Sicher gehen und alle formatieren.
Hi nochmal ich
bei Virenbefall ist es immer das sicherste, das System/die Systeme neu aufzusetzen, weil sonst irgendwelche Überreste bleiben könnten.
Da es sich hierbei um begrenzten Aufwand handelt, sowieso
Grüße
Exzellius
bei Virenbefall ist es immer das sicherste, das System/die Systeme neu aufzusetzen, weil sonst irgendwelche Überreste bleiben könnten.
Da es sich hierbei um begrenzten Aufwand handelt, sowieso
Grüße
Exzellius
Zitat von @Markie84:
Sind ca. 20 Rechner die neu aufgesetzt werden müssen.
Da ich leider offenbar nicht zweifelsfrei rausfinden werden kann, welcher Rechner betroffen ist, würde ich lieber auf Nummer
Sicher gehen und alle formatieren.
Sind ca. 20 Rechner die neu aufgesetzt werden müssen.
Da ich leider offenbar nicht zweifelsfrei rausfinden werden kann, welcher Rechner betroffen ist, würde ich lieber auf Nummer
Sicher gehen und alle formatieren.
OMG... na viel spaß ;)
konnte denn die telekom keine logfiles bieten .. evtl eine MAC adresse oder eine IP um das ganze einzugrenzen ?!
nehm doch alle PC´s vom netz ... brenne 20 CD´s und schau erst ob du die pc´s sauber bekommst ....außer du kannst mit Images arbeiten .. das ist natürlich schneller ;)
Die Telekom nennt mir nur die IP und den Zeitpunkt. Die IP ist leider natürlich der Router. Der Zeitpunkt hat mich bisher auch nicht weiter gebracht, weil ja immer alle 20 Rechner laufen.
Natürlich würde ich auch gerne nach und nach testen welcher Rechner infiziert ist. Nur sperrt die Telekom den Port 25 komplett nach 2 Ermahnungen. Und bei 20 Clients wären das also 10 Sperren inkl. Antrag auf Aufhebung. Und ich denke das übersteigt dann bald den Aufwand vom Formatieren. Zumal ich mir dann ja immer noch nicht 100% sicher sein kann, dass nicht noch ein zweiter Rechner infiziert ist und der Bot sich dann neu verteilt.
Die Idee mit dem Log war im Prinzip auch nur deswegen, weil ich gucken möchte ob evtl. alle Rechner betroffen sind oder nur einzelne Rechner.
Natürlich würde ich auch gerne nach und nach testen welcher Rechner infiziert ist. Nur sperrt die Telekom den Port 25 komplett nach 2 Ermahnungen. Und bei 20 Clients wären das also 10 Sperren inkl. Antrag auf Aufhebung. Und ich denke das übersteigt dann bald den Aufwand vom Formatieren. Zumal ich mir dann ja immer noch nicht 100% sicher sein kann, dass nicht noch ein zweiter Rechner infiziert ist und der Bot sich dann neu verteilt.
Die Idee mit dem Log war im Prinzip auch nur deswegen, weil ich gucken möchte ob evtl. alle Rechner betroffen sind oder nur einzelne Rechner.
Vielen Dank für deinen Tipp! Hat mir eine Menge arbeit erspart. Mittels dem Programm konnte ich die SMTP Abfragen im Netzwerk überwachen. Da jedem Clientanwender verboten wurde Outlook zu nutzen, aber es dennoch von einem Client aus einige SMTP Abfragen gab, konnte ich den befallenen Client ausfindig machen. Einige Detailprüfungen mit der entsprechenden Software ergab dann auch den Treffer.
Also nochmals vielen Dank für deine Hilfe!
Also nochmals vielen Dank für deine Hilfe!
