tuxhunt3r
Goto Top

Alle 5 Minuten ein Connect auf securityresponse.symantec.com

Hallo ans Forum

Ich habe gerade gemütlich mal die Firewall-Logs der Firma durchkämmt, bei der ich momentan arbeite.
Was ich entdeckt habe: Alle 5 Minuten wird ein HTTP-Connect auf die Seite securityresponse.symantec.com durchgeführt, und zwar immer vom gleichen Server aus. Die einzige Software von Symantec, die ich im Einsatz habe, läuft tatsächlich auf diesem Server. Es handelt sich dabei um Symantec Backup Exec 12.5.

Mir ist es unverständlich, wieso ein Backup-Programm alle 5 Minuten auf die Security-Seite von Symantec connected. Wieso ist das so, rsp. wie kann ich das abstellen?
Ich habe schliesslich nur ein Backup-Programm dieser Firma installiert und nicht einen Virenscanner.....

Grüsse aus der Schweiz
TuXHunT3R

Content-ID: 125970

Url: https://administrator.de/forum/alle-5-minuten-ein-connect-auf-securityresponse-symantec-com-125970.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

dog
dog 28.09.2009 um 16:46:00 Uhr
Goto Top
Ich glaube, sowas bezeichnet man als Update-Funktion face-wink
Simone20100
Simone20100 28.09.2009 um 16:47:50 Uhr
Goto Top
Ich würde den dazugehörigen Dienst suchen und auf manuell stellen.

Viele Grüße
Simone
bundlerteufl
bundlerteufl 28.09.2009 um 16:58:36 Uhr
Goto Top
hi du

das ist typisch symantec

schalte den Updatedienst aus bzw auf eine längere zeit ein

bzw schalte den dienst über die dienste-konsole auf manuell
mc-doubleyou
mc-doubleyou 28.09.2009 um 17:05:10 Uhr
Goto Top
für mich klingt das danach als würde er Updates machen wollen aber scheitern - dann aber stur weiter machen
filippg
filippg 28.09.2009 um 19:30:59 Uhr
Goto Top
Hallo,

der Microsoft Network Monitor kann nicht nur ein tcpdump erzeugen, sondern er kann auch anzeigen, welcher Prozess die Verbindung hält. Damit kannst prüfen, wer der "Schuldige" ist. TCPView oder netstat machen das ohne weitere Installation, dafür sind sie bezüglich des zeitlichen Zusammenhangs schwieriger auszuwerten. Und manchmal lohnt es sich auch einfach ein Ticket beim Hersteller aufzumachen, dann bekommt der wenigstens mit, dass die Anwender diese Funktion nicht für so richtig toll halten.

Gruß

Filipp
TuXHunt3R
TuXHunt3R 28.09.2009 um 20:21:07 Uhr
Goto Top
Ich glaube, sowas bezeichnet man als Update-Funktion

Jaja, schon gut. Daran habe ich natürlich auch gedacht.
Die Frage ist allerdings, wieso ein Backupprogramm auf eine Website connected, die vor Viren warnt.
Das wollte ich eigentlich vor allem wissen.

Vor allem: Wenn es wirklich das Symantec Live Update ist, wieso connected es dann nicht auf eine Seite à la "update.symantec.com"?

What ever, ich schalte den LiveUpdate-Service mal aus und kontrolliere die FW-Logs.


edit:
Falls diese Connects wirklich für das Überprüfen auf Updates sind, wieso dann alle 5 Minuten? Und das für ein Backupprogramm?
TuXHunt3R
TuXHunt3R 29.09.2009 um 08:48:35 Uhr
Goto Top
Habs gerade getestet, das LiveUpdate ist es nicht. Werde mal weiterschauen.
mc-doubleyou
mc-doubleyou 29.09.2009 um 08:59:17 Uhr
Goto Top
überprüfung der lizenz?
SymantecDeutschland
SymantecDeutschland 29.09.2009 um 12:40:31 Uhr
Goto Top
Hallo User TuXHunt3R,

danke für die Anfrage. Die Nachfrage bei den Technikern im Haus hat folgendes zu Tage gebracht:

Das „Liveupdate ist nicht der Grund für den Verbindungsaufbau zum Server „securityresponse.symantec.com“. Die in Symantec Backup Exec 12.5 eingebaute ThreatCon-Funktion ist der Auslöser. Was steckt dahinter:
Im so genannten ThreatCon wird die aktuelle Bedrohungslage im Internet wiedergegeben. Spitzt sich die Lage zu, steigt das ThreatCon-Level auf einer Skala von 1 bis 5 entsprechend an. Der Mediaserver fragt diese ThreatCon-Stufe periodisch ab und kann automatisch ein inkrementelles Backup auf den ausgewählten Servern durchführen. Diese Rechner und ihre Daten sind dann im Fall einer weltweit signifikanten Malware-Attacke schon vorab geschützt. Quasi ein präventiver Schutz wichtiger Informationen, den Sie als Anwender frei konfigurieren können. Sie dürfen die Stufe genauso auswählen wie die Art und Form des Backups, das dann automatisch angestoßen wird. Um immer den aktuellsten ThreatCon Status zu kennen, pollt der Mediaserver alle 5min, um sich selbstständig zu aktualisieren. Diese Abfrage haben Sie in den Logs lesen können.

Mit einer einfachen Konfigurationsänderung kann man diese Abfrage unterbinden:

Bearbeiten Sie das Host File auf jeden BE Media Server und ändern Sie folgenden Eintrag: securityresponse.symantec.com soll auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.


Grüße aus Aschheim Dornach

Ihr Symantec Team
mc-doubleyou
mc-doubleyou 29.09.2009 um 13:35:43 Uhr
Goto Top
jetzt wo ichs lese klingelts von diesem präventiv backup haben die in meiner arbeit vor kurzen geredet ^^
filippg
filippg 29.09.2009 um 14:47:18 Uhr
Goto Top
Zitat von @SymantecDeutschland:
Ihr Symantec Presseteam

Ich bin hochgradig begeistert! Ein Softwarehersteller findet sich in diesem Forum ein und gibt kompetente Antworten. Leider halten sich die Hersteller m.E. nach viel zu sehr zurück ("Community-Support" bedeutet, dass man der unbezahlten Communitiy den Support überlässt, und nicht, dass man mit dieser Community auch selber redet).
Am Profil sieht man, dass das leider erst der zweite Beitrag ist, aber ich hoffe, das wird noch ausgebaut. Wer kauft nicht lieber ein Produkt, bei dem er bei Störungen auch mal unkomplizierten Support bekommt?

Gruß

Filipp
TuXHunt3R
TuXHunt3R 29.09.2009 um 20:37:00 Uhr
Goto Top
Ich schliesse mich fillippg an, das hätte ich nun wirklich nicht erwartet, dass Symantec sich in diesem Forum persönlich meldet. Herzlichen Dank.

Ich schliesse diesen Thread. Danke an alle, die sich beteiligt haben.

PS: Das mit dem Host-File wäre meine letzte Möglichkeit gewesen. Zuerst hätte ich wie oben vorgeschlagen mit dem Microsoft Network Monitor den Dienst herausgekramt. Aber hat sich jetzt erledigt.
degu-fdh
degu-fdh 13.10.2009 um 08:33:01 Uhr
Goto Top
Wo finde ich dieses Host File?
mc-doubleyou
mc-doubleyou 14.10.2009 um 08:35:11 Uhr
Goto Top
C:\WINDOWS\system32\drivers\etc da liebt dann eine hosts Datei
degu-fdh
degu-fdh 14.10.2009 um 08:59:47 Uhr
Goto Top
Zitat von @SymantecDeutschland:

Bearbeiten Sie das Host File auf jeden BE Media Server und
ändern Sie folgenden Eintrag: securityresponse.symantec.com soll
auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.

Ist dann also doch diese Datei.
Ich war etwas verwirrt, da im Beitrag was von "ändern" steht aber wohl "hinzufügen" gemeint war.
mc-doubleyou
mc-doubleyou 14.10.2009 um 09:12:02 Uhr
Goto Top
Einfach das:

securityresponse.symantec.com 127.0.0.1

dazu schreiben