Alle 5 Minuten ein Connect auf securityresponse.symantec.com
Hallo ans Forum
Ich habe gerade gemütlich mal die Firewall-Logs der Firma durchkämmt, bei der ich momentan arbeite.
Was ich entdeckt habe: Alle 5 Minuten wird ein HTTP-Connect auf die Seite securityresponse.symantec.com durchgeführt, und zwar immer vom gleichen Server aus. Die einzige Software von Symantec, die ich im Einsatz habe, läuft tatsächlich auf diesem Server. Es handelt sich dabei um Symantec Backup Exec 12.5.
Mir ist es unverständlich, wieso ein Backup-Programm alle 5 Minuten auf die Security-Seite von Symantec connected. Wieso ist das so, rsp. wie kann ich das abstellen?
Ich habe schliesslich nur ein Backup-Programm dieser Firma installiert und nicht einen Virenscanner.....
Grüsse aus der Schweiz
TuXHunT3R
Ich habe gerade gemütlich mal die Firewall-Logs der Firma durchkämmt, bei der ich momentan arbeite.
Was ich entdeckt habe: Alle 5 Minuten wird ein HTTP-Connect auf die Seite securityresponse.symantec.com durchgeführt, und zwar immer vom gleichen Server aus. Die einzige Software von Symantec, die ich im Einsatz habe, läuft tatsächlich auf diesem Server. Es handelt sich dabei um Symantec Backup Exec 12.5.
Mir ist es unverständlich, wieso ein Backup-Programm alle 5 Minuten auf die Security-Seite von Symantec connected. Wieso ist das so, rsp. wie kann ich das abstellen?
Ich habe schliesslich nur ein Backup-Programm dieser Firma installiert und nicht einen Virenscanner.....
Grüsse aus der Schweiz
TuXHunT3R
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125970
Url: https://administrator.de/forum/alle-5-minuten-ein-connect-auf-securityresponse-symantec-com-125970.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
der Microsoft Network Monitor kann nicht nur ein tcpdump erzeugen, sondern er kann auch anzeigen, welcher Prozess die Verbindung hält. Damit kannst prüfen, wer der "Schuldige" ist. TCPView oder netstat machen das ohne weitere Installation, dafür sind sie bezüglich des zeitlichen Zusammenhangs schwieriger auszuwerten. Und manchmal lohnt es sich auch einfach ein Ticket beim Hersteller aufzumachen, dann bekommt der wenigstens mit, dass die Anwender diese Funktion nicht für so richtig toll halten.
Gruß
Filipp
der Microsoft Network Monitor kann nicht nur ein tcpdump erzeugen, sondern er kann auch anzeigen, welcher Prozess die Verbindung hält. Damit kannst prüfen, wer der "Schuldige" ist. TCPView oder netstat machen das ohne weitere Installation, dafür sind sie bezüglich des zeitlichen Zusammenhangs schwieriger auszuwerten. Und manchmal lohnt es sich auch einfach ein Ticket beim Hersteller aufzumachen, dann bekommt der wenigstens mit, dass die Anwender diese Funktion nicht für so richtig toll halten.
Gruß
Filipp
Hallo User TuXHunt3R,
danke für die Anfrage. Die Nachfrage bei den Technikern im Haus hat folgendes zu Tage gebracht:
Das „Liveupdate ist nicht der Grund für den Verbindungsaufbau zum Server „securityresponse.symantec.com“. Die in Symantec Backup Exec 12.5 eingebaute ThreatCon-Funktion ist der Auslöser. Was steckt dahinter:
Im so genannten ThreatCon wird die aktuelle Bedrohungslage im Internet wiedergegeben. Spitzt sich die Lage zu, steigt das ThreatCon-Level auf einer Skala von 1 bis 5 entsprechend an. Der Mediaserver fragt diese ThreatCon-Stufe periodisch ab und kann automatisch ein inkrementelles Backup auf den ausgewählten Servern durchführen. Diese Rechner und ihre Daten sind dann im Fall einer weltweit signifikanten Malware-Attacke schon vorab geschützt. Quasi ein präventiver Schutz wichtiger Informationen, den Sie als Anwender frei konfigurieren können. Sie dürfen die Stufe genauso auswählen wie die Art und Form des Backups, das dann automatisch angestoßen wird. Um immer den aktuellsten ThreatCon Status zu kennen, pollt der Mediaserver alle 5min, um sich selbstständig zu aktualisieren. Diese Abfrage haben Sie in den Logs lesen können.
Mit einer einfachen Konfigurationsänderung kann man diese Abfrage unterbinden:
Bearbeiten Sie das Host File auf jeden BE Media Server und ändern Sie folgenden Eintrag: securityresponse.symantec.com soll auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.
Grüße aus Aschheim Dornach
Ihr Symantec Team
danke für die Anfrage. Die Nachfrage bei den Technikern im Haus hat folgendes zu Tage gebracht:
Das „Liveupdate ist nicht der Grund für den Verbindungsaufbau zum Server „securityresponse.symantec.com“. Die in Symantec Backup Exec 12.5 eingebaute ThreatCon-Funktion ist der Auslöser. Was steckt dahinter:
Im so genannten ThreatCon wird die aktuelle Bedrohungslage im Internet wiedergegeben. Spitzt sich die Lage zu, steigt das ThreatCon-Level auf einer Skala von 1 bis 5 entsprechend an. Der Mediaserver fragt diese ThreatCon-Stufe periodisch ab und kann automatisch ein inkrementelles Backup auf den ausgewählten Servern durchführen. Diese Rechner und ihre Daten sind dann im Fall einer weltweit signifikanten Malware-Attacke schon vorab geschützt. Quasi ein präventiver Schutz wichtiger Informationen, den Sie als Anwender frei konfigurieren können. Sie dürfen die Stufe genauso auswählen wie die Art und Form des Backups, das dann automatisch angestoßen wird. Um immer den aktuellsten ThreatCon Status zu kennen, pollt der Mediaserver alle 5min, um sich selbstständig zu aktualisieren. Diese Abfrage haben Sie in den Logs lesen können.
Mit einer einfachen Konfigurationsänderung kann man diese Abfrage unterbinden:
Bearbeiten Sie das Host File auf jeden BE Media Server und ändern Sie folgenden Eintrag: securityresponse.symantec.com soll auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.
Grüße aus Aschheim Dornach
Ihr Symantec Team
Ich bin hochgradig begeistert! Ein Softwarehersteller findet sich in diesem Forum ein und gibt kompetente Antworten. Leider halten sich die Hersteller m.E. nach viel zu sehr zurück ("Community-Support" bedeutet, dass man der unbezahlten Communitiy den Support überlässt, und nicht, dass man mit dieser Community auch selber redet).
Am Profil sieht man, dass das leider erst der zweite Beitrag ist, aber ich hoffe, das wird noch ausgebaut. Wer kauft nicht lieber ein Produkt, bei dem er bei Störungen auch mal unkomplizierten Support bekommt?
Gruß
Filipp
Zitat von @SymantecDeutschland:
Bearbeiten Sie das Host File auf jeden BE Media Server und
ändern Sie folgenden Eintrag: securityresponse.symantec.com soll
auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.
Bearbeiten Sie das Host File auf jeden BE Media Server und
ändern Sie folgenden Eintrag: securityresponse.symantec.com soll
auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.
Ist dann also doch diese Datei.
Ich war etwas verwirrt, da im Beitrag was von "ändern" steht aber wohl "hinzufügen" gemeint war.