Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2003 Log - Welcher Client will welchen Port nutzen

Frage Sicherheit Sicherheits-Tools

Mitglied: Markie84

Markie84 (Level 1) - Jetzt verbinden

13.03.2013 um 14:17 Uhr, 1587 Aufrufe, 9 Kommentare, 1 Danke

Im Windows Server 2003 Netzwerk wurde seitens der Telekom ein Bot entdeckt, der über unser Netzwerk Spam-Mails verschickt. Der generelle Internetzugang, auch vom Server, wurde direkt gekappt und alle möglichen Sicherheitstools wurden bei den Clients angewandt. Leider ohne Fund. Auch der permanent aktive Virenscanner brachte keinen Fund.

Nun wird's an einem kompletten Formatieren der Rechner kein Weg vorbei führen.

Dennoch würde ich gerne zuvor rausfinden, welche/r Client/s infiziert sind. Da der Mailversand bekanntlich über den Port 25 funktioniert, würde ich dazu gerne ein Programm/Firewall/Log haben wollen, der genau zeigt, wann welcher Client versucht eine E-Mail über diesen Port 25 zu versenden.

Kennt jemand ein solches Programm, welches die Versuche auch Loggen muss, da der Bot ja nicht permanent sendet!?
Mitglied: 106543
13.03.2013, aktualisiert um 14:50 Uhr
Hi du,

ganz einfach ;) Wireshark
schreibt sämtlichen Netzwerktraffic mit, sollte also passen.

Grüße
Exzellius
Bitte warten ..
Mitglied: Markie84
13.03.2013 um 14:41 Uhr
Vielen Dank für die rasche Antwort.

Klingt nach der Beschreibung des Programms tatsächlich nach dem was ich suche. Ich werd's mal installieren und schauen.

Danke nochmal für den Tipp.
Bitte warten ..
Mitglied: 106543
13.03.2013 um 14:51 Uhr
Immer gerne
Wenn du Ergebnisse hast, kanst du sie ja gerne hier posten.
Ansonten: http://www.administrator.de/faq/32

Grüße
Exzellius
Bitte warten ..
Mitglied: langerwo
13.03.2013 um 14:52 Uhr

Nun wird's an einem kompletten Formatieren der Rechner kein Weg vorbei führen.

um wieviel rechner handelt es sich ??

ich würde mich da nicht so einfach geschlagen geben ;)

wenn du den PC identifizier hast dann evtl mit einer Kaspersky Rescue CD fixen
Bitte warten ..
Mitglied: Markie84
13.03.2013 um 14:54 Uhr
Sind ca. 20 Rechner die neu aufgesetzt werden müssen.

Da ich leider offenbar nicht zweifelsfrei rausfinden werden kann, welcher Rechner betroffen ist, würde ich lieber auf Nummer Sicher gehen und alle formatieren.
Bitte warten ..
Mitglied: 106543
13.03.2013 um 14:57 Uhr
Hi nochmal ich

bei Virenbefall ist es immer das sicherste, das System/die Systeme neu aufzusetzen, weil sonst irgendwelche Überreste bleiben könnten.
Da es sich hierbei um begrenzten Aufwand handelt, sowieso

Grüße
Exzellius
Bitte warten ..
Mitglied: langerwo
13.03.2013 um 14:58 Uhr
Zitat von Markie84:
Sind ca. 20 Rechner die neu aufgesetzt werden müssen.

Da ich leider offenbar nicht zweifelsfrei rausfinden werden kann, welcher Rechner betroffen ist, würde ich lieber auf Nummer
Sicher gehen und alle formatieren.

OMG... na viel spaß ;)

konnte denn die telekom keine logfiles bieten .. evtl eine MAC adresse oder eine IP um das ganze einzugrenzen ?!

nehm doch alle PC´s vom netz ... brenne 20 CD´s und schau erst ob du die pc´s sauber bekommst ....außer du kannst mit Images arbeiten .. das ist natürlich schneller ;)
Bitte warten ..
Mitglied: Markie84
13.03.2013 um 15:03 Uhr
Die Telekom nennt mir nur die IP und den Zeitpunkt. Die IP ist leider natürlich der Router. Der Zeitpunkt hat mich bisher auch nicht weiter gebracht, weil ja immer alle 20 Rechner laufen.

Natürlich würde ich auch gerne nach und nach testen welcher Rechner infiziert ist. Nur sperrt die Telekom den Port 25 komplett nach 2 Ermahnungen. Und bei 20 Clients wären das also 10 Sperren inkl. Antrag auf Aufhebung. Und ich denke das übersteigt dann bald den Aufwand vom Formatieren. Zumal ich mir dann ja immer noch nicht 100% sicher sein kann, dass nicht noch ein zweiter Rechner infiziert ist und der Bot sich dann neu verteilt.

Die Idee mit dem Log war im Prinzip auch nur deswegen, weil ich gucken möchte ob evtl. alle Rechner betroffen sind oder nur einzelne Rechner.
Bitte warten ..
Mitglied: Markie84
15.03.2013 um 11:42 Uhr
Vielen Dank für deinen Tipp! Hat mir eine Menge arbeit erspart. Mittels dem Programm konnte ich die SMTP Abfragen im Netzwerk überwachen. Da jedem Clientanwender verboten wurde Outlook zu nutzen, aber es dennoch von einem Client aus einige SMTP Abfragen gab, konnte ich den befallenen Client ausfindig machen. Einige Detailprüfungen mit der entsprechenden Software ergab dann auch den Treffer.

Also nochmals vielen Dank für deine Hilfe!
Bitte warten ..
Ähnliche Inhalte
Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Batch & Shell
gelöst CMD ausgabe in log schreiben (9)

Frage von medikopter zum Thema Batch & Shell ...

Router & Routing
Synology Server als VPN Client und VPN Server Gleichzeitig nutzen (3)

Frage von authrey zum Thema Router & Routing ...

Windows Server
gelöst Windows Server 2012R2 viele Ports nur über Localhost erreichbar (9)

Frage von JonasInt zum Thema Windows Server ...

Neue Wissensbeiträge
Humor (lol)

Taschenrechner in IOS kaputt!

(5)

Information von Lochkartenstanzer zum Thema Humor (lol) ...

Sicherheit

Kanadischer Geheimdienst veröffentlicht erstmals Sicherheitssoftware

(3)

Information von BassFishFox zum Thema Sicherheit ...

Virtualisierung

Docker Monitoring und Steuerung per "sen"

Tipp von Frank zum Thema Virtualisierung ...

Heiß diskutierte Inhalte
Windows 7
Abbruch bei Brennvorgang (19)

Frage von Simulant zum Thema Windows 7 ...

Router & Routing
Externe IP von innen erreichbar machen (16)

Frage von Windows10Gegner zum Thema Router & Routing ...

Firewall
WIndows 7 RDP Massen Angriff (14)

Frage von Motte990 zum Thema Firewall ...