16
Alle 5 Minuten ein Connect auf securityresponse.symantec.com
Hallo ans Forum
Ich habe gerade gemütlich mal die Firewall-Logs der Firma durchkämmt, bei der ich momentan arbeite.
Was ich entdeckt habe: Alle 5 Minuten wird ein HTTP-Connect auf die Seite securityresponse.symantec.com durchgeführt, und zwar immer vom gleichen Server aus. Die einzige Software von Symantec, die ich im Einsatz habe, läuft tatsächlich auf diesem Server. Es handelt sich dabei um Symantec Backup Exec 12.5.
Mir ist es unverständlich, wieso ein Backup-Programm alle 5 Minuten auf die Security-Seite von Symantec connected. Wieso ist das so, rsp. wie kann ich das abstellen?
Ich habe schliesslich nur ein Backup-Programm dieser Firma installiert und nicht einen Virenscanner.....
Grüsse aus der Schweiz
TuXHunT3R
Ich habe gerade gemütlich mal die Firewall-Logs der Firma durchkämmt, bei der ich momentan arbeite.
Was ich entdeckt habe: Alle 5 Minuten wird ein HTTP-Connect auf die Seite securityresponse.symantec.com durchgeführt, und zwar immer vom gleichen Server aus. Die einzige Software von Symantec, die ich im Einsatz habe, läuft tatsächlich auf diesem Server. Es handelt sich dabei um Symantec Backup Exec 12.5.
Mir ist es unverständlich, wieso ein Backup-Programm alle 5 Minuten auf die Security-Seite von Symantec connected. Wieso ist das so, rsp. wie kann ich das abstellen?
Ich habe schliesslich nur ein Backup-Programm dieser Firma installiert und nicht einen Virenscanner.....
Grüsse aus der Schweiz
TuXHunT3R
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 125970
Url: https://administrator.de/contentid/125970
Printed on: April 26, 2024 at 16:04 o'clock
16 Comments
Latest comment
Ich glaube, sowas bezeichnet man als Update-Funktion 
Ich würde den dazugehörigen Dienst suchen und auf manuell stellen.
Viele Grüße
Simone
Viele Grüße
Simone
hi du
das ist typisch symantec
schalte den Updatedienst aus bzw auf eine längere zeit ein
bzw schalte den dienst über die dienste-konsole auf manuell
das ist typisch symantec
schalte den Updatedienst aus bzw auf eine längere zeit ein
bzw schalte den dienst über die dienste-konsole auf manuell
für mich klingt das danach als würde er Updates machen wollen aber scheitern - dann aber stur weiter machen
Hallo,
der Microsoft Network Monitor kann nicht nur ein tcpdump erzeugen, sondern er kann auch anzeigen, welcher Prozess die Verbindung hält. Damit kannst prüfen, wer der "Schuldige" ist. TCPView oder netstat machen das ohne weitere Installation, dafür sind sie bezüglich des zeitlichen Zusammenhangs schwieriger auszuwerten. Und manchmal lohnt es sich auch einfach ein Ticket beim Hersteller aufzumachen, dann bekommt der wenigstens mit, dass die Anwender diese Funktion nicht für so richtig toll halten.
Gruß
Filipp
der Microsoft Network Monitor kann nicht nur ein tcpdump erzeugen, sondern er kann auch anzeigen, welcher Prozess die Verbindung hält. Damit kannst prüfen, wer der "Schuldige" ist. TCPView oder netstat machen das ohne weitere Installation, dafür sind sie bezüglich des zeitlichen Zusammenhangs schwieriger auszuwerten. Und manchmal lohnt es sich auch einfach ein Ticket beim Hersteller aufzumachen, dann bekommt der wenigstens mit, dass die Anwender diese Funktion nicht für so richtig toll halten.
Gruß
Filipp
Ich glaube, sowas bezeichnet man als Update-Funktion
Jaja, schon gut. Daran habe ich natürlich auch gedacht.
Die Frage ist allerdings, wieso ein Backupprogramm auf eine Website connected, die vor Viren warnt.
Das wollte ich eigentlich vor allem wissen.
Vor allem: Wenn es wirklich das Symantec Live Update ist, wieso connected es dann nicht auf eine Seite à la "update.symantec.com"?
What ever, ich schalte den LiveUpdate-Service mal aus und kontrolliere die FW-Logs.
edit:
Falls diese Connects wirklich für das Überprüfen auf Updates sind, wieso dann alle 5 Minuten? Und das für ein Backupprogramm?
Habs gerade getestet, das LiveUpdate ist es nicht. Werde mal weiterschauen.
überprüfung der lizenz?
Hallo User TuXHunt3R,
danke für die Anfrage. Die Nachfrage bei den Technikern im Haus hat folgendes zu Tage gebracht:
Das „Liveupdate ist nicht der Grund für den Verbindungsaufbau zum Server „securityresponse.symantec.com“. Die in Symantec Backup Exec 12.5 eingebaute ThreatCon-Funktion ist der Auslöser. Was steckt dahinter:
Im so genannten ThreatCon wird die aktuelle Bedrohungslage im Internet wiedergegeben. Spitzt sich die Lage zu, steigt das ThreatCon-Level auf einer Skala von 1 bis 5 entsprechend an. Der Mediaserver fragt diese ThreatCon-Stufe periodisch ab und kann automatisch ein inkrementelles Backup auf den ausgewählten Servern durchführen. Diese Rechner und ihre Daten sind dann im Fall einer weltweit signifikanten Malware-Attacke schon vorab geschützt. Quasi ein präventiver Schutz wichtiger Informationen, den Sie als Anwender frei konfigurieren können. Sie dürfen die Stufe genauso auswählen wie die Art und Form des Backups, das dann automatisch angestoßen wird. Um immer den aktuellsten ThreatCon Status zu kennen, pollt der Mediaserver alle 5min, um sich selbstständig zu aktualisieren. Diese Abfrage haben Sie in den Logs lesen können.
Mit einer einfachen Konfigurationsänderung kann man diese Abfrage unterbinden:
Bearbeiten Sie das Host File auf jeden BE Media Server und ändern Sie folgenden Eintrag: securityresponse.symantec.com soll auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.
Grüße aus Aschheim Dornach
Ihr Symantec Team
danke für die Anfrage. Die Nachfrage bei den Technikern im Haus hat folgendes zu Tage gebracht:
Das „Liveupdate ist nicht der Grund für den Verbindungsaufbau zum Server „securityresponse.symantec.com“. Die in Symantec Backup Exec 12.5 eingebaute ThreatCon-Funktion ist der Auslöser. Was steckt dahinter:
Im so genannten ThreatCon wird die aktuelle Bedrohungslage im Internet wiedergegeben. Spitzt sich die Lage zu, steigt das ThreatCon-Level auf einer Skala von 1 bis 5 entsprechend an. Der Mediaserver fragt diese ThreatCon-Stufe periodisch ab und kann automatisch ein inkrementelles Backup auf den ausgewählten Servern durchführen. Diese Rechner und ihre Daten sind dann im Fall einer weltweit signifikanten Malware-Attacke schon vorab geschützt. Quasi ein präventiver Schutz wichtiger Informationen, den Sie als Anwender frei konfigurieren können. Sie dürfen die Stufe genauso auswählen wie die Art und Form des Backups, das dann automatisch angestoßen wird. Um immer den aktuellsten ThreatCon Status zu kennen, pollt der Mediaserver alle 5min, um sich selbstständig zu aktualisieren. Diese Abfrage haben Sie in den Logs lesen können.
Mit einer einfachen Konfigurationsänderung kann man diese Abfrage unterbinden:
Bearbeiten Sie das Host File auf jeden BE Media Server und ändern Sie folgenden Eintrag: securityresponse.symantec.com soll auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.
Grüße aus Aschheim Dornach
Ihr Symantec Team
jetzt wo ichs lese klingelts von diesem präventiv backup haben die in meiner arbeit vor kurzen geredet ^^
Ich bin hochgradig begeistert! Ein Softwarehersteller findet sich in diesem Forum ein und gibt kompetente Antworten. Leider halten sich die Hersteller m.E. nach viel zu sehr zurück ("Community-Support" bedeutet, dass man der unbezahlten Communitiy den Support überlässt, und nicht, dass man mit dieser Community auch selber redet).
Am Profil sieht man, dass das leider erst der zweite Beitrag ist, aber ich hoffe, das wird noch ausgebaut. Wer kauft nicht lieber ein Produkt, bei dem er bei Störungen auch mal unkomplizierten Support bekommt?
Gruß
Filipp
Ich schliesse mich fillippg an, das hätte ich nun wirklich nicht erwartet, dass Symantec sich in diesem Forum persönlich meldet. Herzlichen Dank.
Ich schliesse diesen Thread. Danke an alle, die sich beteiligt haben.
PS: Das mit dem Host-File wäre meine letzte Möglichkeit gewesen. Zuerst hätte ich wie oben vorgeschlagen mit dem Microsoft Network Monitor den Dienst herausgekramt. Aber hat sich jetzt erledigt.
Ich schliesse diesen Thread. Danke an alle, die sich beteiligt haben.
PS: Das mit dem Host-File wäre meine letzte Möglichkeit gewesen. Zuerst hätte ich wie oben vorgeschlagen mit dem Microsoft Network Monitor den Dienst herausgekramt. Aber hat sich jetzt erledigt.
Wo finde ich dieses Host File?
C:\WINDOWS\system32\drivers\etc da liebt dann eine hosts Datei
Zitat von @SymantecDeutschland:
Bearbeiten Sie das Host File auf jeden BE Media Server und
ändern Sie folgenden Eintrag: securityresponse.symantec.com soll
auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.
Bearbeiten Sie das Host File auf jeden BE Media Server und
ändern Sie folgenden Eintrag: securityresponse.symantec.com soll
auf die IP-Adresse 127.0.0.1 oder auf localhost verweisen.
Ist dann also doch diese Datei.
Ich war etwas verwirrt, da im Beitrag was von "ändern" steht aber wohl "hinzufügen" gemeint war.
Einfach das:
securityresponse.symantec.com 127.0.0.1
dazu schreiben
securityresponse.symantec.com 127.0.0.1
dazu schreiben