meddie
Goto Top

Serverupgrade steht an, was wäre besser normal Installation oder Virtualisieren?

Hallo Leute,

wie auch immer ist unser Server von einem Virus befallen. Der Exchnage versendet andauernd Spam. Trotz eine Server Antivirus Lösung. Leider habe ich den Virsu bisher nicht beseitigen können. Unser Antivirus hat bei dem komplett Scan nichts gefunden, auch andere Tools wie OnlineScans oder Stinger haben nichts gefunden. Der Exchange versendet fleissig weiter Spams. Nun weiss ich mir nicht anders zu helfen, und muss den Server neu installieren.

Jetzt stellt sich mir die Frage, soll ich den Server ganz normal aktualisiren, oder als virtuelle Maschine.
Als Virtuelle Maschine wäre der große Vorteil, dass wenn sich die Hosthardware ändert der Umzug ruck zuck vollzogen ist. Allerdings habe ich den NAchteil, dass der Host einen gewissen Anteil an Hardwareresourcen frisst, die dem Gastsystem dann abgehen.

Ich bin mit der Virtualisierung noch nicht so vertraut, und möchte nun Euch um Rat fragen was wäre besser für uns. Und wie sollte man es umsetzten.

Hier kurz was zu unsere Umgebung. Wir haben noch einen HP ProLiant ML350 G3. Mit 2,8 GHz 3 GB Ram und 72 GB Raid5 SCSi Platten. Im Moment Win Srv 2003 SBS.
insgesamt haben wir 11 PC und 3 Notebooks. (Wobei Notebooks ausser Internet nichts nutzen in der Firma)
Am Server läuft ledeglich Exchange, eine SQL DB für Faktura Software, und Tobit Faxserver.

Vielen Dank im Voraus.
Gruß Eddie

Content-ID: 145641

Url: https://administrator.de/contentid/145641

Ausgedruckt am: 25.11.2024 um 10:11 Uhr

webstor
webstor 25.06.2010 um 09:00:52 Uhr
Goto Top
Wenn Dein Mailserver Spam versendet ist es kein Virus, sondern ich würde mal nachschauen ob Dein Server ein offenes Relay ist.
meddie
meddie 25.06.2010 um 09:08:23 Uhr
Goto Top
Hääte ich schon gemacht. Aber ein paar Online Tests haben bestötigt, dass er nicht odden ist.
noodyn
noodyn 25.06.2010 um 09:10:17 Uhr
Goto Top
Zitat von @meddie:
Hääte ich schon gemacht. Aber ein paar Online Tests haben bestötigt, dass er nicht odden ist.

Wie meinen? Das schwarze sind die Buchstaben, aber sie ergeben keinen Sinn.
Ellerbrok
Ellerbrok 25.06.2010 um 09:12:30 Uhr
Goto Top
Hallöle,

irgendwie scheint der Virus auch deine Tastatur befallen zu haben.... da kommen ganz viele komische Spam-Buchstaben raus face-smile

Nein, mal im ernst. Ich würde auf jeden Fall virtualisieren. Die paar resourcen, die z.B. der (kostenlose) XEN Server verbraucht sind durch die Vorteile der Hardwareunabhängigkeit, möglichkeiten der Redundanz und viel einfachereren Sicherung (einfach Server-Container sichern.... alles drin) allemal aufgewogen.

Gruß,
Marcel
Neomatic
Neomatic 25.06.2010 um 09:18:37 Uhr
Goto Top
Entweder ein offener SMTP-Relay Server oder einer der User im Netzwerk hat nen Virus auf dem Rechner. Schau mal im Log nach ob es der Server selbst ist der die Spam Mail verschickt, oder ob ein anderer Rechner der Ursprung ist und der Server nur als Relay genutzt wird.
meddie
meddie 25.06.2010 um 09:21:26 Uhr
Goto Top
Ja stimmt face-big-smile, irgendwie wollte ich ganz schnell tippen, und habe gar nicht hingesehen, was ich getippt habe. Sorry.
Ich übersetzte es noch mal

"Hätte ich schon gemacht. Aber ein paar Online Tests haben bestätigt, dass er nicht offen ist."

Ich dachte Windows Server 2008 R2 installieren und mit Hyper-V einen Virtuell PC erstellen. Und auf diesen dann auch Win 2008 Srv R2 installieren. Oder ist eher nicht das wahre.?
Gilneas
Gilneas 25.06.2010 um 09:25:22 Uhr
Goto Top
Ich an deiner Stelle würde zunächst mal die Hardware auf Kompatibilität zu einem Hypervisor prüfen. Evtl. hat sich die Sache dann ja schon erledigt, wobei das eigentlich nicht anzunehmen ist.
Dann bleibt die Entscheidung welchen Hypervisor du nehmen willst.

Für mich stellt sich die Frage, ob es sinnvoll ist einen Server zu virtualisieren nur um des Virtualisierens willen... wenn du schon davon redest, dass dir das Hostsystem Ressourcen frisst, dann scheinst du nicht vor zu haben irgendwann mehrere VMs auf einem Host betreiben zu wollen.
Nebenbei bräuchtest du für diesen Zweck wohl auch früher oder später ein bisschen mehr RAM.

Ich hab eher den Eindruck, als ob eine vernünftige Backuplösung zunächst die wichtigere Anschaffung wäre.
Neomatic
Neomatic 25.06.2010 um 09:25:30 Uhr
Goto Top
Ich würde mir mal den kostenlosen ESXi Server von VMware anschauen. http://www.vmware.com/de/products/esxi/


Bei deinem Vorschlag hast du 2 Nachteile:

1. Du brauchst 2 Windows Lizenzen (1x Host, 1x Gast Betriebssystem)
2. Verbrauchst du durch den Windows Untergrund zuviel Ressourcen
meddie
meddie 25.06.2010 um 09:26:13 Uhr
Goto Top
Zitat von @Neomatic:
Entweder ein offener SMTP-Relay Server oder einer der User im Netzwerk hat nen Virus auf dem Rechner. Schau mal im Log nach ob es
der Server selbst ist der die Spam Mail verschickt, oder ob ein anderer Rechner der Ursprung ist und der Server nur als Relay
genutzt wird.


Sorry habe Dein Post übersehen. In den Logs stehtnichts drin, über die Mails, man sieht zwar dass welche versendet werden, aber keine Absender IP oder ähnliches, nichts woraus man was weite verfolgen kann.
Am Wochenende waren alles PCs aus ausser dem Server, und trotzdem sind am wochenende Spams versendet worden. Habe auch zum Test die Frewall alle eingehenden Verdinungen blocken lassen, und trotzdem sind Spams versendet worden, also gehe ich davon aus, dass der Server selber infiziert sein muss.
thaenhusen
thaenhusen 25.06.2010 um 09:27:34 Uhr
Goto Top
Moin.

Also eigentlich ist das virtualisieren eine Top-Sache, aber ich sehe Probleme mit dem Tobitfaxserver und den aktiven ISDN-Karten...
Das wird nicht ganz einfach.

Mal eine Grundsätzliche Frage: Wenn Ihr schon Tobit habt, warum löst Du nicht den Exchange mit dem Tobit komplett ab.
Das vereinfacht auch die Datensicherung ungemein.

HTH
MK
meddie
meddie 25.06.2010 um 09:37:53 Uhr
Goto Top
@Gilneas:

Du hast Recht, ich plane oder wir planen nicht mehrere VMs zu betreiben. Vorerst nicht, was kommt wird sich noch zeigen. Aber wie gesagt erstaml nicht.
Virtualisieren will ich ja nicht um den Willen, dass ich auch eine VM habe, sondern, viel mehr darum wie oben im ersten Post schon geschrieben, wir haben einen HP ProLienat ML350 G3 also schon Uralt. Und es kann sein, dass über kurz oder Lang wir die Hardware upgraden müssen.
Und spätestens dann wird sich die Virtualisierung bezahlt machen.
Im Falles eines Ausfalls der Hardware ist die VM einfach genial.

@thaenhusen:
Ja das mit dem Tobit das stimmt, da muss ich mir auch was einfallen lassen. Wobei wir nicht den Tobit komplett haben sondern nur den Tobit MX also nur reiner Faxserver.
Und den Exchange möchte ich nicht missen, alleine wegen dem Outlook Webb Access, und Iphone Push. Aber das ist eine andere Geschichte.
Gilneas
Gilneas 25.06.2010 um 10:09:38 Uhr
Goto Top
Zitat von @meddie:
@Gilneas:

Du hast Recht, ich plane oder wir planen nicht mehrere VMs zu betreiben. Vorerst nicht, was kommt wird sich noch zeigen. Aber wie
gesagt erstaml nicht.
Virtualisieren will ich ja nicht um den Willen, dass ich auch eine VM habe, sondern, viel mehr darum wie oben im ersten Post schon
geschrieben, wir haben einen HP ProLienat ML350 G3 also schon Uralt. Und es kann sein, dass über kurz oder Lang wir die
Hardware upgraden müssen.
Und spätestens dann wird sich die Virtualisierung bezahlt machen.
Im Falles eines Ausfalls der Hardware ist die VM einfach genial.


Dann wäre doch aber für dich die einfachste Lösung neue Hardware anzuschaffen und direkt auf diesem deinen Server zu installieren. Hier könntest du theoretisch auch schon direkt virtualisieren, wobei mir das eher überstürzt vorkommt.
maretz
maretz 25.06.2010 um 10:22:34 Uhr
Goto Top
Hmm - gut das du kein Arzt bist... Ich weiss nicht warum sie kopfschmerzen haben... Und da ich es nicht finde schneid ich einfach ma den kopf ab...

Darf ich dir mal ne provokante Frage stellen? Wenn du den Virus jetzt nicht findest und den Server neu installierst - was passiert wenn derselbe Virus wieder drauf kommt? Ich mein - einmal die Woche den Exchange neumachen - warum nicht? Wer sonst keine Hobbys hat...

Ansonsten würde ich mal den Virus versuchen auszumachen. Notfalls erstmal mit nem Wireshark die Netzwerkkarte überwachen um rauszufinden ob es überhaupt der Server ist. Wer sagt denn das es nicht MEIN Server ist - die Absender-Adresse fälschen ist ne sache von Sekunden. Das wäre ein Grund warum du keinen Virus findest - weil es nicht zwangsweise einen gibt... Also Schritt 1 jetzt: Überprüfen ob wirklich DEIN Server den Müll versendet.

Wenn das der Fall ist dann guckt man weiter. Irgendwas muss ja dann drauf laufen was Mails sendet. Also die Prozessliste Step by Step durchgehen... Notfalls mit nem Programm gucken (ich weiss aus dem Kopf nicht ob wireshark das kann) welcher Prozess da welchen Port nutzt. Und los gehts...

Vorteil: Du bereinigst deinen Server, findest ggf. die Schwachstelle und kannst das Problem beheben... Selbst wenn du den dann neu installierst dann kannst du dafür sorgen das sowas nicht wieder vorkommt... Ansonsten installierst du neu und entdeckst das irgendein Client leider nen Virus hat der den sofort wieder an den Server gibt.. Wäre dann eher suboptimal, oder?
Neomatic
Neomatic 25.06.2010 um 10:25:29 Uhr
Goto Top
Zitat von @maretz:
Also die Prozessliste Step by
Step durchgehen... Notfalls mit nem Programm gucken (ich weiss aus dem Kopf nicht ob wireshark das kann) welcher Prozess da
welchen Port nutzt. Und los gehts...


Wireshark kann das soweit ich weiß nicht.

Das Tool heißt TCPView. ;)
meddie
meddie 25.06.2010 um 10:45:16 Uhr
Goto Top
Ich weiss, dass das suboptimal ist, aber ich kann mir im moment nicht anders helfen. Ich hatte soweit mein wissen reicht versucht den Schädling zu finden, und hatte keinen Erfolg.
Ich habe mit ProcessExplorer versucht. Werde aber mit TCPView nochmal probieren. Sicherlich wäre es die bessere Lösung den Virus oder was es auch immer sein mag zu neutralisieren.
meddie
meddie 25.06.2010 um 11:40:19 Uhr
Goto Top
Ich habe mir jetzt die Prozessliste durchgesehen, mir fällt jetzt da zwar folgendes auf hier ein Auszug aus der Liste:

[System Process]:0 TCP server1.domain.local:12919 domainiminet.de:pop3 TIME_WAIT
[System Process]:0 TCP server1.domain.local:12930 domainiminet.de:pop3 TIME_WAIT

Die Domainnamen habe ich entfernt.

Bei dieser Domain hat aber der Server nichts zu suchen. Den der Pop3 Connector geht über eine andere Domain.
Aber wie gehts jetzt weiter?
goscho
goscho 25.06.2010 um 12:13:01 Uhr
Goto Top
Zitat von @meddie:
Bei dieser Domain hat aber der Server nichts zu suchen. Den der Pop3 Connector geht über eine andere Domain.
Aber wie gehts jetzt weiter?
Hallo meddie,
lies dir den Beitrag von maretz noch mal genau durch.

Gemacht, o.k.

Wer sagt, dass du der Spamversender bist, dein Provider, ein Empfänger oder dein Exchange-Log oder ist das nur ein Bauchgefühl?
meddie
meddie 25.06.2010 um 12:26:06 Uhr
Goto Top
Das sehe ich am vServer vom Strato dass in der Queue sich Spammails sammeln. Diese lösche ich raus mit einem Script. (als Notlösund dabei) Und die Queue bleibt leer. Wenn unser Server aus ist.
goscho
goscho 25.06.2010 um 12:43:20 Uhr
Goto Top
Zitat von @meddie:
Das sehe ich am vServer vom Strato dass in der Queue sich Spammails sammeln.
Wird von dir über diesen versandt?
Diese lösche ich raus mit einem Script. (als
Notlösund dabei) Und die Queue bleibt leer. Wenn unser Server aus ist.
Und wie sieht dein SMTP-Log am Exchange aus, das muss doch auch überlaufen?

In diesen Mails steht doch auch, von wem sie sind, über wen sie versendet werden...