nummer-5
Goto Top

Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019

Hallo,

ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es geht also definitiv nix raus. Es waren auch nicht viele Mails, heute über den ganzen Tag 10 Stück, es hat auch erst heute angefangen.

Die Mails werden mit Benutzerkonten aus dem Exchange-Server versandt, tauchen aber nicht unter gesendete Nachrichten auf. 70% davon sind an lokale Benutzerkonten gegangen.

Anscheinend werden alte Mails gescannt, und dann neu versandt, oben werden zwei Zeilen eingefügt, die einen Link enthalten (sollen), sollen in Klammern, weil es sich nicht wirklich um Links handelt.



Beispiel 1:
1)new.smartwatering.rs/quissed/consequatursunt-273713
2)home.isingh.net/expeditaquia/nostrumsoluta-273713


Beispiel 2:
1)fundacionrafaelgimenez.com/repellendusmolestiae/eumiure-273127
2)afrineosolutions.com/aliasquis/assumendaipsum-273127



Ich habe derzeit mur den in Windows integrierten "Windows-Defender" am laufen, der hat aber nix gefunden. Ich habe sowohl die Blechbüchse als auch die beiden virtuellen Server (1* Anwendungsserver - 1 * Exchange) und alle Arbeitsstationen komplett gescannt. leider ohne Erfolg.

Kann jemand einen guten Virenscanner für den Exchange (virtueller Server) empfehlen?
Ich erwarte nix kostenloses, auch nix billiges, aber günstig wäre schon schön.

Danke Josef

Content-ID: 1430043545

Url: https://administrator.de/contentid/1430043545

Ausgedruckt am: 19.11.2024 um 20:11 Uhr

theoberlin
theoberlin 25.10.2021 aktualisiert um 17:26:35 Uhr
Goto Top
Hi Josef,

autsch…hast du das Hafnium Thema geprüft? Nicht das du da noch was auf dem Server hast.

Und zum zweiten: Was für ein Relay hattest du da? Hoffentlich kein offenes nach draußen? Dann wäre das in keiner Weise verwunderlich, dass dein Exchange als SPAM Schleuder missbraucht wird. Wenn du allerdings von einem Zusammenhang zu versendeten Mails sprichst wird es damit nicht erledigt sein.

Also auf jeden Fall erstmal die Ursache finden. Kannst du es dir irgendwie leisten, den Server vom Netz nehmen. Reden wir wirklich von Hafnium fangen die Probleme erst an.

Wenn es dann um den Schutz geht, setzen wir Bitdefender Gravity Zone ein. Das Management läuft im HyperV-Cluster in einer eigenen VM und kümmert sich um alle Clients.

LG
Theo
Vision2015
Vision2015 25.10.2021 um 18:01:08 Uhr
Goto Top
Moin Nr.5

als AV kann ich dir nur Kaspersky Security Suite for Mail Servers empfehlen!
allerdings ist es jetzt zu spät!

ich frage erst nicht nach der exchange CU... face-smile
was meinst mit "Relais-Server erst einmal stillgelegt" was ist das für eine kiste? ist die clean?
hast du den exchange stllgelegt, oder hast du dahinter einen smart host als mailserver?
das erste was du machen solltest ist, putz den exchange von der platte... radikal!
sichere die DBs und zertifikate, und mach ein Recover Setup!
da bist du aber noch nicht mit fertig... jetzt werden alle Server und Arbeitsplätze offline gescannt!
hast du mal im SMTP.log nachgesehen wer genau sendet?

Frank
erikro
erikro 25.10.2021 um 18:41:53 Uhr
Goto Top
Moin,

Zitat von @Nummer-5:
ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden.

Woher weißt Du, dass es der Server war und nicht die Clients der betroffenen User?

Ich habe jetzt den Relais-Server erst einmal stillgelegt, es geht also definitiv nix raus.

Gute Maßnahme.

Es waren auch nicht viele Mails, heute über den ganzen Tag 10 Stück, es hat auch erst heute angefangen.

Auch hier die Rückfrage: Woher weißt Du das?

Die Mails werden mit Benutzerkonten aus dem Exchange-Server versandt, tauchen aber nicht unter gesendete Nachrichten auf.

Naja, jeder halbwegs begabte Spamer wird das aus den gesendeten Mails wieder löschen. face-wink Wieviele Konten sind denn betroffen? Alle? Viele? Einige wenige?

70% davon sind an lokale Benutzerkonten gegangen.

Da hast Du ja nochmal Glück gehabt. Bei zehn Mails sind also nur drei nach draußen gegangen. Da dürften die einschlägigen Blacklister noch nicht reagiert haben.

Anscheinend werden alte Mails gescannt, und dann neu versandt, oben werden zwei Zeilen eingefügt, die einen Link enthalten (sollen), sollen in Klammern, weil es sich nicht wirklich um Links handelt.
//
Beispiel 1:
1)new.smartwatering.rs/quissed/consequatursunt-273713
2)home.isingh.net/expeditaquia/nostrumsoluta-273713

Hübsch! Spammer mit Bildung. face-wink

Ich habe derzeit mur den in Windows integrierten "Windows-Defender" am laufen, der hat aber nix gefunden. Ich habe sowohl die Blechbüchse als auch die beiden virtuellen Server (1* Anwendungsserver - 1 * Exchange) und alle Arbeitsstationen komplett gescannt. leider ohne Erfolg.

Wie hast Du die gescannt? So wie Du das beschreibst, fürchte ich, dass Du sie mit Bordmitteln untersucht hast. Das bringt bei infizierten Systemen so rein gar nichts. Du musst ein Bootmedium erzeugen auf einem bekannt sauberen System, dort die Virensuchsoftware installieren und dann von diesem Medium starten. Sonst ist die Schadsoftware aktiv und jede halbwegs moderne Schadsoftware versteckt sich, wenn sie aktiv ist.

Kann jemand einen guten Virenscanner für den Exchange (virtueller Server) empfehlen?

Die üblichen Verdächtigen haben alle auch eine Server-Suite: Kaspersky, Bitdefender, Eset, ... und deshalb bricht hier auch gleich ein Glaubenskrieg aus. face-wink Ich würde die Desinfect-CD von Heise nehmen. Aber auch die findet nicht alles. Bei so einem Verdacht ist es deshalb nur aus forensischen Gründen interessant, die Schadsoftware zu finden. Deshalb wäre m. E. das richtige Vorgehen, die Installation mit allem drum und dran forensisch zu sichern, das letzte bekannt saubere Backup einspielen und dann in der Kopie in aller Ruhe suchen (lassen).

Ich erwarte nix kostenloses, auch nix billiges, aber günstig wäre schon schön.

Das geht bei 12,99 (glaube ich) bei Desinfect für Nichtabonnenten los und kann je nach forensischem Interesse und Aufwand bis in den unteren fünstelligen Bereich kosten. Das kommt darauf an, was Du alles wissen willst. Die preisgünstigste Variante wäre, einfach das letzte Backup auszuspielen und hoffen, dass es dann vorbei ist. face-wink Aber ich hätte irgendwie erstmal die Clients im Verdacht. Aber Theo könnte durchaus recht haben. Ich weiß ja nicht, ob Dein Server auf dem aktuellsten Stand ist.

Liebe Grüße

Erik
erikro
erikro 25.10.2021 um 18:47:28 Uhr
Goto Top
Zitat von @Vision2015:
das erste was du machen solltest ist, putz den exchange von der platte... radikal!
sichere die DBs und zertifikate, und mach ein Recover Setup!

Noch besser als Backup. Ja, so würde ich auch vorgehen, wenn ich drüber nachdenke. face-wink Nach der forensischen Sicherung.
Vision2015
Vision2015 25.10.2021 um 19:02:45 Uhr
Goto Top
moin...
Zitat von @erikro:

Zitat von @Vision2015:
das erste was du machen solltest ist, putz den exchange von der platte... radikal!
sichere die DBs und zertifikate, und mach ein Recover Setup!

Noch besser als Backup. Ja, so würde ich auch vorgehen, wenn ich drüber nachdenke. face-wink Nach der forensischen Sicherung.
das mit der forensischen Sicherung ist ja so eine sache, was nutzt es, wenn du nicht damit umgehen kannst, oder kein möglichkeit für ein lab hast... gut, ein image vorher wechlegen ist naürlich pflicht, aber forensisch?!?!
in der regel ist der übeltäter aber irgendein host im netz, der mails versenden darf... ein hoch auf /24 im connector 😁

frank
erikro
erikro 25.10.2021 um 19:22:40 Uhr
Goto Top
Zitat von @Vision2015:

moin...
Zitat von @erikro:
Noch besser als Backup. Ja, so würde ich auch vorgehen, wenn ich drüber nachdenke. face-wink Nach der forensischen Sicherung.
das mit der forensischen Sicherung ist ja so eine sache, was nutzt es, wenn du nicht damit umgehen kannst, oder kein möglichkeit für ein lab hast... gut, ein image vorher wechlegen ist naürlich pflicht, aber forensisch?!?!

Naja, die reine Sicherung ist so schwer nicht. Ob man dann hinterher mit den Tools umgehen kann, ist eine andere Frage. Ich würde es trotzdem empfehlen, allein schon deshalb, weil man dann an die Daten nur noch so kommt, dass der Host nicht gefährdet wird. Aber wenn es gerichtsverwertbar werden soll, sollte man Profis holen.

in der regel ist der übeltäter aber irgendein host im netz, der mails versenden darf... ein hoch auf /24 im connector 😁

Ja, glaube ich auch. face-wink
Vision2015
Vision2015 25.10.2021 um 19:59:20 Uhr
Goto Top
Zitat von @erikro:

Zitat von @Vision2015:

moin...
Zitat von @erikro:
Noch besser als Backup. Ja, so würde ich auch vorgehen, wenn ich drüber nachdenke. face-wink Nach der forensischen Sicherung.
das mit der forensischen Sicherung ist ja so eine sache, was nutzt es, wenn du nicht damit umgehen kannst, oder kein möglichkeit für ein lab hast... gut, ein image vorher wechlegen ist naürlich pflicht, aber forensisch?!?!

Naja, die reine Sicherung ist so schwer nicht. Ob man dann hinterher mit den Tools umgehen kann, ist eine andere Frage. Ich würde es trotzdem empfehlen, allein schon deshalb, weil man dann an die Daten nur noch so kommt, dass der Host nicht gefährdet wird. Aber wenn es gerichtsverwertbar werden soll, sollte man Profis holen.
nun, machen wir uns nix vor- gerichtsverwertbar bedeutet aber das du einen natürlichen Gegner in person hast, und schon mindestens 6-8 K in anwälte und gericht versenkt hast. da wäre noch der streitwert!
wollen wir den bei 100K ansiedeln... oder doch nur 50K ? daraus ergeben sich dann die gerichtskosten usw...
wenn ich das gesamt so lese, sagt mir mein bauchgefühl das mindestens 80 % der probleme verhindert werden können, durch sorgfalt und fachwissen!
ist durch die aktion, deine firma den bach runter gegangen,und alles geschäftliche wech, hast du selber einen fehler gemacht, nämlich keine Datensicherung... also deine schuld!
in fast allen fällen, ist es besser lehrgeld zu zahlen, als geld an anwälte und richter!

in der regel ist der übeltäter aber irgendein host im netz, der mails versenden darf... ein hoch auf /24 im connector 😁

Ja, glaube ich auch. face-wink
sollte man Profis holen.
das denke in diesem fall auch...

Frank
Nummer-5
Nummer-5 25.10.2021 um 20:20:06 Uhr
Goto Top
Der Relais-Server ist ein Postfix-Server im Netz. Der ist erst einmal abgeschaltet.

Betroffen sind eigentlich "nur" zwei Mailkonten, kann ich aus der smtp.log sehen.

Ich habe jetzt mal alle Hosts runtergefahren, nur der Exchange-Server läuft noch. Wenn dann morgen Früh wieder Mails vorliegen, können es ja die Hosts nicht gewesen sein.

Die Anzahl der Mails weiß ich weil ich in der smtp.log des Relaiy-Servers alle von unserer IP eingehenden und weitergeleiteten Mails geprüft habe.
Vision2015
Vision2015 25.10.2021 um 20:32:53 Uhr
Goto Top
moin..
Zitat von @Nummer-5:

Der Relais-Server ist ein Postfix-Server im Netz. Der ist erst einmal abgeschaltet.
ok..

Betroffen sind eigentlich "nur" zwei Mailkonten, kann ich aus der smtp.log sehen.
ok, schon die PCs der beiden user geprüft?

Ich habe jetzt mal alle Hosts runtergefahren, nur der Exchange-Server läuft noch. Wenn dann morgen Früh wieder Mails vorliegen, können es ja die Hosts nicht gewesen sein.
am exchange die Transportprotokolle mal geprüft?

Die Anzahl der Mails weiß ich weil ich in der smtp.log des Relaiy-Servers alle von unserer IP eingehenden und weitergeleiteten Mails geprüft habe.
ok..
Frank
Nummer-5
Nummer-5 25.10.2021 um 22:50:32 Uhr
Goto Top
Die PC´s der beiden User sind geprüft. Ich muss aber dazusagen, das dort kein Email-Frontend installiert ist bzw. genutzt wird, weil ausschließlich über Remote-Desktop gearbeitet wird.

Der Remote-Desktop-Server ist auch mit Bormitteln geprüft.

Die Protokolle am Exchange-Server muss ich mir morgen ansehen.
holohype
holohype 26.10.2021 um 01:39:44 Uhr
Goto Top
Grundsätzliche Vorgehensweise bei derartigen Problemen.

Rechner von anderen Rechner vom Netz trennen.
Eine Festplatte kosten nicht die Welt oder liegt so wieso herum.

Befallene bei anderen Situationen defekte Festplatte herausnehmen und Ersetzen.

Operationssystem auf die neue Platte aufsetzen.
Nötige Software auch Vieren Scanner oder Reparatursoftware Installieren.

Die Befallen oder defekte Festplatte einbauen, neben der vorher vorbereite einbauen ohne Software von ihr zu benutzen oder den Rechner starten.
Mit der anderen Festplatte den Rechner starten.
Reparatur arbeiten können vorgenommen werden. Nach und nach können die Daten oder auch Software auf die neue Festplatte rüber geholt werden.

Vieren könne gefunden werden

Das ist oft schneller als mit alten Backups hin und her zu jonglieren. Die Vieren werden nicht aktiv und können keinen schaden Anstellen.

Bei mir ist die Windows Partition immer auf D:, da hat man noch mehr taktische Möglichkeiten.

Rudimentäre Installationssoftware auf die Startpartition auf C: ablegen.

Wenn man ganz einsam ist, Laptop oder ähnliches, z.B. auf der Partition E: ein Windows aufsetzen. So kann man im Bootmenue dieses Starten. Reparaturen oder ähnliches vornehmen.
NordicMike
NordicMike 26.10.2021 um 06:34:08 Uhr
Goto Top
am exchange die Transportprotokolle mal geprüft?
Genau. Einige Protokolle sind per Default deaktiviert. Aktivier mal alles Mögliche, und warte den nächsten Spam ab, dann kannst du exakt nachvollziehen wer die Nachricht zum Exchange gesendet hat. Das smtp.log wird dir nur zeigen, dass Exchange sie raus geschickt hat.

Du benotigst die IP des Senders, den Agent des Senders und falls er sich authentifiziert hat, auch den Namen.
Somit erkennst du auch, ob eine php.ini deiner Intranet Webseit was versendet hat.
Nummer-5
Nummer-5 26.10.2021 um 07:42:28 Uhr
Goto Top
Muss ein paar Zahlen korrigieren:

Insgesamt 13 Mails von 2 Benutzern.
3 Mails von Benutzer 1 an externe Empfänger, 2 Mails an interner Postfächer.
6 Mails von Benutzer 2 an externe Empfänger, 2 Mails an interner Postfächer.

Die Mails an interne Empfänger hätten eigentlich gar nicht über den Relais-Server im Netz laufen dürfen, die Zustellung erfolgt ja intern über den gleichen Exchange-Server.

Ich muss wohl mal den Postfix genauer unter die Lupe nehmen.

Die letzten 3 Mails sind gestern um 17:46 rausgegangen.
MysticFoxDE
MysticFoxDE 26.10.2021 aktualisiert um 07:46:52 Uhr
Goto Top
Moin Josef,

als erstes solltest du feststellen ob diese Nachrichten von extern verschickt worden sind, oder von intern.

Die Frage nach dem Virenscanner ist gut, bevor ich hierfür eine Empfehlung abgebe, würde ich im Vorfeld gerne wissen was für eine FireWall du im Einsatz hast.

Diese ist bei einem solchen Problem eigentlich der primäre Schutzwall und die AV der sekundäre.

Im besten Fall sind irgendwelche Berechtigungen auf deinem Exchange suboptimal gesetzt, im schlimmsten Fall hast du einen Schädling im Netz und das ist alles andere als lustig.

Ich habe da einige Erfahrung in diesem Bereich und wurde die letzten 12 Monate durch zwei Cybersecurity-Versicherungen schon zu diversen Firmen geschickt, nachdem das Kind bereits sehr tief in den Brunnen gefallen ist. 😔

Wenn du möchtest, dann kann ich im Lauf des Vormittags mal über dein System drüber schauen.

Gruss Alex
NordicMike
NordicMike 26.10.2021 um 10:17:30 Uhr
Goto Top
Wenn es auch darum geht es schon im Vorfeld zu scannen, damit eine Infektion bereits beim Empfang fremder Emails erst gar nicht passiert, kann auch nospamproxy oder Hornet Security als MX Gateway verwendet werden und diese schicken es nach Prüfung weiter zum Exchange Server. Damit spart man sich auch einen Postfix vor dem Exchange als Feuerwand.
Nummer-5
Nummer-5 26.10.2021 um 17:21:20 Uhr
Goto Top
Kurze Zwischenmeldung:

Habe gestern nochmal alle Rechner (AS und Server) gescannt und alle verfügbaren Updates aufgespielt. Seitdem (ca. 1800 gestern) ist Ruhe.

Ich behalte es natürlich im Auge.