sirhc4022
Goto Top

Live CD Virus-Check am MS Exchange Server

Hallo Cracks,
ich brauche dringendst euren Rat!

Folgende Situation:

Ein SBS2011 als AD und DC sowie mehrere Clients mit Norton 360 als Anti-Virus und Firewall.
Aufm SBS läuft kein Antivirus. (Nennt sich sowas Endpoint-Protection???)

Jetzt haben wir mit ner Linux StartCD mehrere Trojaner auf einem Client entdeckt. Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten. Kann ich den Serverrechner mit ner Kaspersky Start-CD checken lassen, oder zerschieße ich mir damit die Exchange Datenbank (o. a.)? Hatte sowas in der Richtung mal gelesen glaub ich.

Danke für euer Hirnschmalz!
Chris

Content-ID: 201993

Url: https://administrator.de/contentid/201993

Printed on: October 4, 2024 at 04:10 o'clock

adminst
adminst Feb 19, 2013 at 09:54:44 (UTC)
Goto Top
Hallo sirhc4022
In deinem Fall würde ich
a) Client platt machen und neu installieren
b) Einen anständigen AV einsetzen (Egal ob Kaspersky oder Trend Micro)
c) Einen SBS komplett neu aufsetzen mit AV etc. und dann das alte scannen und migrieren

Gruss
adminst
Deepsys
Deepsys Feb 19, 2013 at 11:17:33 (UTC)
Goto Top
Hallo,

Zitat von @adminst:
b) Einen anständigen AV einsetzen (Egal ob Kaspersky oder Trend Micro)
Das würde ich so nicht unterschreiben.
Beide, Kaspersky und Trend Micro, haben bei uns schon mal was durchgelassen. Man kann sich auf keinen Wächter 100% verlassen.

Ich möchte aber keine Diskussion über die Hersteller auslösen, war nur ein Hinweis.


c) Einen SBS komplett neu aufsetzen mit AV etc. und dann das alte scannen und migrieren
Naja, ich finde es kommt drauf an was das für ein Trojaner war.
Klar, komplett neumachen ist das sicherste, aber woher weißt du dann das dein Backup nicht auch schon verseucht ist.

Sonst stelle den kompletten SBS mal auf einem anderem System her, und lass das scannen.
Ist da alles OK, sollte es der SBS selber auch sein, nur geht du so kein Risiko ein.

VG
Deepsys
sirhc4022
sirhc4022 Feb 19, 2013 at 13:43:36 (UTC)
Goto Top
Danke für die Tipps! Lasse grad n Check von Trend Micro durchlaufen (gabs als Freeware auf deren Seite). Werde den SBS mal auf nem anderen System herstellen und tiefenscannen.
Chonta
Chonta Feb 19, 2013 at 16:25:18 (UTC)
Goto Top
Hallo,

wenn Du einen Filescanner auf die Datenbankdatei läßt, hast Du hoffendlich ein gutes Backup!
Exchange braucht einen Exchangetauglichen virenscanner der die DB-Struktur innerhalb der DB scannt!

Activedirectorydatenbak und Exchangedatenbank sind IMMER aus der Überprüfung eines FileVirenscanners auszuschließen, ausßer man will seine Backups testen face-smile

Gruß

Chonta

(PS: es mus nichts kaput gehen aber die Warscheinlichkeit ist hoch das was kaput geht)
DerWoWusste
DerWoWusste Feb 19, 2013 at 22:52:09 (UTC)
Goto Top
Moin.
Meine Angst ist, dass sich ebenfalls Trojaner aufm Server einnisten könnten.
Du weißt, was ein Trojaner ist? Trojanische Pferde werden von Benutzern ausgeführt, die kommen nicht von allein, das wären Würmer.
Exchange-Clients können den Server nicht infizieren, falls Du das denkst. Allenfalls auf Netzwerkebene, und da dürfte ja nichts passieren, denn der SBS bekommt doch zeitnah eingespielte Windowsupdates, oder?
Gibt es denn überhaupt einen konkreten Anlass zu glauben, dass der Exchange infiziert ist? Oder ist das jetzt eher eine Panikreaktion?
sirhc4022
sirhc4022 Feb 25, 2013 at 23:25:43 (UTC)
Goto Top
Moin,

jap, der Server zieht immer die aktuellsten Updates. Es war erstmal alles eine Panikreaktion. Da ich erst so langsam in die Materie "Server" eintauche blicke ich viele Zusammenhänge noch nicht. Wie ein Trojaner dem Grunde nach funktioniert ist mir *eigentlich* klar. face-smile
Vielmehr hatte ich jedoch Angst, dass das Pferdchen (welches ja durch serverseitig gespeicherte Profile letztlich auf dem Server gelandet war) aus irgendeinem Grund vom "Benutzer - SYSTEM" oder ähnliches aufgerufen werden könnte. Wieso auch immer. Diese 1000 Benutzer, die auf dem SBS rumschwirren und die für irgendwelche Sachen noch mehr Rechte haben, sind für mich eh noch ungewohnt und totales Neuland. Kein Plan, wann welches Benutzerkonto mit welchen Rechten wann wo ausgeführt wird.
Viel lernen ich noch muss. . .
Zwar off-topic, aber haste da irgendwo was nettes zum Lesen zu diesem Thema?
Schon spät und der Tag war lang. Ich hoffe du blickst mein Kauderwelsch :D

Gruß,

Chris
DerWoWusste
DerWoWusste Feb 26, 2013 at 17:45:00 (UTC)
Goto Top
Ok, ein paar Aufklärungsversuche:
Der Server würde nie etwas aus den Profilenausführen - wozu sollte er, das sind keine Systemdateien und auch keine Dienste/Programme. Auf diesem Weg wird nichts infiziert.
Wenn ein Benutzer etwas ausführt, was eine elevation of privilege Lücke benutzt, um höhere Rechte als Benutzerrechte zu bekommen, dann sieht das anders aus. El. of. P. kannst Du mal googeln, sollte man kennnen.
Kein Plan, wann welches Benutzerkonto mit welchen Rechten wann wo ausgeführt wird.
Der Nutzer handelt als Nutzer, niemand sonst. Das Systemkonto handelt nie im Auftrag des Nutzers, außer der Admin hat dieses für bestimmte Zwecke gewährt - Beispiel: Windows Updates installieren oder per Softwareveröffentlichung (GPO) zugewiesene Software zu installieren.

Was zu lesen habe ich nicht, nein. Wüsste leider wirklich nicht, wo Du starten könntest.
sirhc4022
sirhc4022 Feb 27, 2013 at 20:33:43 (UTC)
Goto Top
Hey DerWoWusste,

danke für deinen Post. Der war echt nützlich. Darauf lässt sich doch aufbauen. Werde wahrscheinlich um eine richtige Schulung früher oder später nicht herum kommen. Dafür ist der ganze Kram einfach zu komplex. . .
Danke nochmal, du bist der Beste!