Live CD Virus-Check am MS Exchange Server
Hallo Cracks,
ich brauche dringendst euren Rat!
Folgende Situation:
Ein SBS2011 als AD und DC sowie mehrere Clients mit Norton 360 als Anti-Virus und Firewall.
Aufm SBS läuft kein Antivirus. (Nennt sich sowas Endpoint-Protection???)
Jetzt haben wir mit ner Linux StartCD mehrere Trojaner auf einem Client entdeckt. Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten. Kann ich den Serverrechner mit ner Kaspersky Start-CD checken lassen, oder zerschieße ich mir damit die Exchange Datenbank (o. a.)? Hatte sowas in der Richtung mal gelesen glaub ich.
Danke für euer Hirnschmalz!
Chris
ich brauche dringendst euren Rat!
Folgende Situation:
Ein SBS2011 als AD und DC sowie mehrere Clients mit Norton 360 als Anti-Virus und Firewall.
Aufm SBS läuft kein Antivirus. (Nennt sich sowas Endpoint-Protection???)
Jetzt haben wir mit ner Linux StartCD mehrere Trojaner auf einem Client entdeckt. Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten. Kann ich den Serverrechner mit ner Kaspersky Start-CD checken lassen, oder zerschieße ich mir damit die Exchange Datenbank (o. a.)? Hatte sowas in der Richtung mal gelesen glaub ich.
Danke für euer Hirnschmalz!
Chris
Please also mark the comments that contributed to the solution of the article
Content-ID: 201993
Url: https://administrator.de/contentid/201993
Printed on: October 4, 2024 at 04:10 o'clock
8 Comments
Latest comment
Hallo,
Das würde ich so nicht unterschreiben.
Beide, Kaspersky und Trend Micro, haben bei uns schon mal was durchgelassen. Man kann sich auf keinen Wächter 100% verlassen.
Ich möchte aber keine Diskussion über die Hersteller auslösen, war nur ein Hinweis.
Klar, komplett neumachen ist das sicherste, aber woher weißt du dann das dein Backup nicht auch schon verseucht ist.
Sonst stelle den kompletten SBS mal auf einem anderem System her, und lass das scannen.
Ist da alles OK, sollte es der SBS selber auch sein, nur geht du so kein Risiko ein.
VG
Deepsys
Das würde ich so nicht unterschreiben.
Beide, Kaspersky und Trend Micro, haben bei uns schon mal was durchgelassen. Man kann sich auf keinen Wächter 100% verlassen.
Ich möchte aber keine Diskussion über die Hersteller auslösen, war nur ein Hinweis.
c) Einen SBS komplett neu aufsetzen mit AV etc. und dann das alte scannen und migrieren
Naja, ich finde es kommt drauf an was das für ein Trojaner war.Klar, komplett neumachen ist das sicherste, aber woher weißt du dann das dein Backup nicht auch schon verseucht ist.
Sonst stelle den kompletten SBS mal auf einem anderem System her, und lass das scannen.
Ist da alles OK, sollte es der SBS selber auch sein, nur geht du so kein Risiko ein.
VG
Deepsys
Hallo,
wenn Du einen Filescanner auf die Datenbankdatei läßt, hast Du hoffendlich ein gutes Backup!
Exchange braucht einen Exchangetauglichen virenscanner der die DB-Struktur innerhalb der DB scannt!
Activedirectorydatenbak und Exchangedatenbank sind IMMER aus der Überprüfung eines FileVirenscanners auszuschließen, ausßer man will seine Backups testen
Gruß
Chonta
(PS: es mus nichts kaput gehen aber die Warscheinlichkeit ist hoch das was kaput geht)
wenn Du einen Filescanner auf die Datenbankdatei läßt, hast Du hoffendlich ein gutes Backup!
Exchange braucht einen Exchangetauglichen virenscanner der die DB-Struktur innerhalb der DB scannt!
Activedirectorydatenbak und Exchangedatenbank sind IMMER aus der Überprüfung eines FileVirenscanners auszuschließen, ausßer man will seine Backups testen
Gruß
Chonta
(PS: es mus nichts kaput gehen aber die Warscheinlichkeit ist hoch das was kaput geht)
Moin.
Exchange-Clients können den Server nicht infizieren, falls Du das denkst. Allenfalls auf Netzwerkebene, und da dürfte ja nichts passieren, denn der SBS bekommt doch zeitnah eingespielte Windowsupdates, oder?
Gibt es denn überhaupt einen konkreten Anlass zu glauben, dass der Exchange infiziert ist? Oder ist das jetzt eher eine Panikreaktion?
Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten.
Du weißt, was ein Trojaner ist? Trojanische Pferde werden von Benutzern ausgeführt, die kommen nicht von allein, das wären Würmer.Exchange-Clients können den Server nicht infizieren, falls Du das denkst. Allenfalls auf Netzwerkebene, und da dürfte ja nichts passieren, denn der SBS bekommt doch zeitnah eingespielte Windowsupdates, oder?
Gibt es denn überhaupt einen konkreten Anlass zu glauben, dass der Exchange infiziert ist? Oder ist das jetzt eher eine Panikreaktion?
Ok, ein paar Aufklärungsversuche:
Der Server würde nie etwas aus den Profilenausführen - wozu sollte er, das sind keine Systemdateien und auch keine Dienste/Programme. Auf diesem Weg wird nichts infiziert.
Wenn ein Benutzer etwas ausführt, was eine elevation of privilege Lücke benutzt, um höhere Rechte als Benutzerrechte zu bekommen, dann sieht das anders aus. El. of. P. kannst Du mal googeln, sollte man kennnen.
Was zu lesen habe ich nicht, nein. Wüsste leider wirklich nicht, wo Du starten könntest.
Der Server würde nie etwas aus den Profilenausführen - wozu sollte er, das sind keine Systemdateien und auch keine Dienste/Programme. Auf diesem Weg wird nichts infiziert.
Wenn ein Benutzer etwas ausführt, was eine elevation of privilege Lücke benutzt, um höhere Rechte als Benutzerrechte zu bekommen, dann sieht das anders aus. El. of. P. kannst Du mal googeln, sollte man kennnen.
Kein Plan, wann welches Benutzerkonto mit welchen Rechten wann wo ausgeführt wird.
Der Nutzer handelt als Nutzer, niemand sonst. Das Systemkonto handelt nie im Auftrag des Nutzers, außer der Admin hat dieses für bestimmte Zwecke gewährt - Beispiel: Windows Updates installieren oder per Softwareveröffentlichung (GPO) zugewiesene Software zu installieren.Was zu lesen habe ich nicht, nein. Wüsste leider wirklich nicht, wo Du starten könntest.