Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriffe auf bestimmte IP (Drucker) im LAN loggen (Grund, BugBear-Virus)

Frage Microsoft Windows Netzwerk

Mitglied: Enricobl

Enricobl (Level 1) - Jetzt verbinden

02.12.2009, aktualisiert 13:15 Uhr, 7331 Aufrufe, 11 Kommentare

Hallo Liebe Administratoren Gemeinde,

ich bin neu hier im Forum, könnte aber schon des Öfteren hier hilfreiche Tipps finden.
Leider habe ich bei meinem jetzigen Problem keine Lösungsmöglichkeit gefunden und ich hoffe ihr könnte mir helfen.

Nun zum Thema:

Seit letzter Woche, haben ein Teil meiner Netzwerkdrucker, die doofe Angewohnheit gelegentlich mal ein ganzes Paket Papier mit Hieroglyphen zu bedrucken. Nach einigem Suchen im WWW habe ich dann rausbekommen, dass es sich mit ziemlicher Sicherheit um den BugBear Virus handelt.

Alle Server/Arbeitsstationen sind aber mit einem Virenprogramm ausgestattet und aktuell, leider hat noch keins davon Alarm geschlagen.

Erste Idee war das LOG-Protokoll des Servers, um zu sehen von welchen PC diese Druckaufträge kommen. Leider ohne Erfolg. Der Virus scheint die Druckaufträge direkt an die Drucker-IP zu senden, so dass ich nichts im Spool oder auf dem Server davon sehe.

Nun meine Frage:

Wie kann ich alle Anfragen die auf die IP des Druckers kommen, loggen/monitoren, um zu sehen von welcher IP der Drucker angesprochen wird?

Besten Dank für eure Hilfe.

Gruß Enrico
Mitglied: Snowman25
02.12.2009 um 13:17 Uhr
Wireshark mit filter auf die IP des Druckers
Bitte warten ..
Mitglied: Enricobl
02.12.2009 um 14:23 Uhr
Hi Snowman,

danke für die Info.
Also habe Wireshark mal ausprobiert. Sieht schon mal vielversprechend aus. Wenn ich das aber richtig gesehen habe, protokolliert er nur das was über die eigene Netzwerkkarte geht. Wie müsste ich das jetzt anstellen, wenn ich die Adresse des Druckers überwachen will und der Druckauftrag ja nicht erst zum Server geht sondern direkt zum Drucker.

Danke Enrico
Bitte warten ..
Mitglied: Snowman25
02.12.2009 um 14:43 Uhr
probier mal folgendes programm: http://www.sophos.com/support/cleaners/bugbesfx.exe
ist. Ein selbstentpackendes Archiv, in dem BUGBECLI enthalten ist.
Das Prog kommt von Sophos und desinfiziert netzwerkrechner vom Bugbear-B
Anleitung ist im Archiv enthalten ;)
die kryptischen zeichen die ausgedruckt werden, kommen übrigens von bugbear selbst, der versucht sich auf den netzwerkdrucker zu kopieren. Also auch alle netzlaufwerke scannen!
Bitte warten ..
Mitglied: Enricobl
02.12.2009 um 15:24 Uhr
hhmm, so habe mir mal die Anleitung zu gemüde geführt. die "netzwerk-desinfektion" funtkioniert ja dann nur bei den PC's die in der Domäne sind und neue gestartet werden (Anmeldescript). Da ich mir aber eigentlich sicher bin, dass es kein domänenrechner sein kann, sondern ehr einer der nicht inder Domäne ist z.b. en Besucher, fällt diese schöne variante raus.

Noch ne andere Frage, es sind auch nicht alle netzwerk drucker betroffen. eigentlich nur 2 sorten von kopierern (die neueren), die älteren (selber hersteller (TA)) bzw. auch die hp tintenstrahler, machen keine mucken. ne idee warum die nicht dafür anfällig sind?

danke für deine mühe

enrico
Bitte warten ..
Mitglied: Snowman25
02.12.2009 um 15:29 Uhr
möglicherweise sind die für den user, der den wurm hat garnicht sichtbar?
Bitte warten ..
Mitglied: Enricobl
02.12.2009 um 15:38 Uhr
sind alle im selben subnetz und auch für alle freigegeben.jeder user kann theoretisch auf jeden drucker durcken. die freigabe oder der treiber sollten ja sowie so keine rolle spielen, da sie ja anscheinend direkt über die ip angesprochen werden und nichts über den server-spooler läuft. deswegen bräuchte ich ja das loggen auf die ip des druckers, um zu sehen von wo der wurm sich ausdrucken will. kennst du ne möglichkeit alle anfragen die auf die ip eines pc's/laptop kommen auf den drucker umzuleiten und "mitzuschneiden".
Bitte warten ..
Mitglied: Snowman25
02.12.2009 um 15:58 Uhr
lass wireshark doch auf dem server bzw. PC laufen, an dem der Drucker dranhängt.
Wireshark scannt nicht nur pakete, die für dich bestimmt sind, sondern alles, was an der netzwerkkarte des PC's so vorbeiläuft
Bitte warten ..
Mitglied: Enricobl
02.12.2009 um 16:03 Uhr
das ist ja das problem, der netzwerkdrucker hängt ja an einer switch und nicht an einem rechner. daher laufen die paket usw. nicht zwangsläufig über den server sondern werden direkt verarbeit.
Bitte warten ..
Mitglied: paegger
02.12.2009 um 17:43 Uhr
Hi Enricobl,

das mit Wireshark ist schon der richtige Ansatz.
Wie du schon richtig erkannt hast, siehst du erst mal nur die Pakete welche für deine eigene Netzwerkadresse bestimmt sind.
Das liegt am Switch. Setzt du statt dem Switch einen Hub ein, so siehst du alle Pakete die in diesem Netzwerksegment auflaufen.
Du müsstest also zwischen Drucker und Switch einen Hub einbauen und an diesem deinen PC mit Wireshark anschließen.

Die elegantere Alternative wäre natürlich einen Mirror-Port am Switch zu definieren. Dafür muss dieser allerdings managable sein.

Gruß,
Paegger.
Bitte warten ..
Mitglied: Enricobl
03.12.2009 um 17:06 Uhr
hi Paegger,

haben jetzt einen Mirror-Port eingerichtet und Wireshark zeichnet fleißig auf. Danke für den Tipp.

Vielen Dank für die Unterstützung, Feedback folgt.

Gruß Enrico
Bitte warten ..
Mitglied: Enricobl
09.12.2009 um 09:23 Uhr
Hi Leute,

also das mit dem Mirror Port war ein Erfolg, Verursacher konnte ausfindig gemacht werden.

Nochmals vielen Dank für eure Hilfe.

Gruß Enrico
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Drucker und Scanner
Multifunktions(Farb)-Laser Drucker (Lan-Wlan) fähig (3)

Frage von wescraven07 zum Thema Drucker und Scanner ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

Windows Server
SBS2008 AD funktioniert nur im LAN mit bestimmter IP. wie ändern? (13)

Frage von tomeknfr zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...