ingobar
Goto Top

Conficker und Apple XServe

Guten Morgen,

so, jetzt haben wir hier in der Schule auch den Conficker. Ich habe mich jetzt mal durch die diversen Anleitungen etc. gelesen, habe aber nichts zu meiner speziellen Situation gefunden. Daher möchte ich hier nochmals nachfragen, ob mein Vorgehen passt.

Zunächst die Situation:
Wir haben hier eine Apple XServe mit 10.4.11 laufen an dem sich die Lehrer und Schüler anmelden. Die Userdateien werden auf dem Server gespeichert und entsprechend dann gemappt. Weiter gibt es Netzlaufwerke auf die die User dann zugreifen können. Die Schüler-Computer sind mit Wächterkarten geschützt. Die Lehrer-Computer haben keinen solchen Schutz.

Jetzt zum Conficker:
Ich auf dem Server in den Heimatverzeichnissen von 4 Lehrern und 1 Schüler und auf einem Netzlaufwerk die besagte autorun.inf und RECYCLER-Ordner gefunden.

Mein bisheriges Vorgehen:
Ich habe die RECYCLER-Ordner und autorun.inf-Dateien auf dem Server in den Heimatverzeichnissen der User sowie auf dem Netzlaufwerk gelöscht. Dann wollte ich morgen in die Schule gehen, jeden nicht mit Wächterkarte bestückten PC vom Netz nehmen und mit dem Tool von Kaspersky löschen. Dann wollte ich noch die Autorun-Funktion bei XP irgendwie deaktivieren, weiß aber noch nicht wie genau das geht.
Wenn ich alle Computer durch habe (ca. 30-40 Stück), kann ich sie wieder ins Netz hängen.

Ist das Vorgehen aus eurer Sicht in Ordnung?
Reicht das sichere Löschen der Dateien auf dem XServe?
Kann ich das Network Removaltool von bdtools benutzen?

Muss ich noch irgendetwas machen oder kann ich das Vorgehen irgendwie beschleunigen/vereinfachen?

Vielen Dank für alle erdenklichen Tipps und Tricks,

ingobar

Content-ID: 118619

Url: https://administrator.de/contentid/118619

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

BennyM85
BennyM85 16.01.2012 um 20:18:57 Uhr
Goto Top
Auch wenn das Thema alt ist, es hat aber über 1000 Leute interessiert....

Um den Conficker und weitere Schäden zu unterbinden:
- die autorun.inf ausfindig machen und schauen von welchem Account dieser erstellt worden ist und mit der entsprechenden Person reden (-> USB Sticks)
- um die Windows PCs einigermaßen sicher zu machen, gab es seinerseits ein Tool Ninja Pendisk, welches kostenlos aber dennoch sehr effektiv war um autostarts von Wechseldatenträgern zu unterbinden
- auf dem Server wird die infizierte Datei zwar weggesperrt, aber damit hat es sich nicht. Sobald vom Windows Client der Conficker in Aktion kommt, werden sämtliche (Netz-) Laufwerke befallen, somit also der Mac-Server über seine SMB Freigabe wieder infiziert. Ein Teufelskreis. Die Lösung besteht in der Erstellung eines dummy files. Hierzu über eine Schleife einfach eine leere Datei namens autorun.inf als root erzeugen und mit entsprechender Berechtigung (nur root darf sie beschreiben!) diese in die Benutzerverzeichnisse schreiben.
- Bei den Windows PCs sollte über eine ressourcenarme Virenlösung nachgedacht werden mit Aktualisierungspfad am besten auf dem Server, damit nicht jeder Rechner alles neu laden muss
- Wichtig ist das Checken der Firewallsettings auf den Windows PCs, bekanntlicherweise hatte ja der Conficker Unmegen Spam versandt/versenden wollen; evtl. sollte Port 23 generell auf den Maschinen zugemacht bzw. umgeleitet werden.