papagiorgio
Goto Top

Win 2k3 Server und WIn XP Client einer Domäne mit Conficker b. befallen

Hallo Zusammen, wir sind hier langsam aber sicher am verzweifelen. Aber meine bisherigen Erfahrungen mit euch, dem Forum, lassen uns hoffen. Wir sind für jede Hilfe dankbar.

Jetzt also erst mal zu unserem Problem. Vor ca. einem Monat ist unser Netzwerk, bestehend aus SQL, File und BDE Servern mit Windows 2003 R2 und den Workstations & Client-Rechnern mit Windows XP SP2, von Conficker b. befallen worden. Wir sind nicht im ersten Moment auf ihn aufmerksam geworden, da viele der Veränderungen die er vornimmt, bei uns standardmäßig so eingerichtet werden damit unser ERP System zuverläßig läuft (z.B. Windows Firefall deaktivieren, automatische Updates deaktiveren usw.). Unter sicherheitstechnischen Aspekten ist dies sicherlich ein Spiel mit dem Feuer gewesen aber unser ERP System (P2plus V. 3.6 von der Firma AP) benötigt nun mal diese Konfiguration und bisher waren wir nicht in der Lage eine neuere Version mit angepasster Systemkonfiguration einzurichten. Das Netzwerk ist nach außen durch unseren Proxi Server KEN! 3 "abgeschirmt".
Jedenfalls liefen abruppt die Sicherheitsprotokolle mit Event ID 529 auf den Clients und von der Thematik her ähnliche auf den Servern voll. - Nicht erfolgreiche Systemanmeldung. Durch entsprechende Recherche kamen wir der Ursache schnell auf die Schliche. Es war Conficker b.
Jetzt war erst mal guter Rat teuer. Unser System ist tagsüber während der Produktionszeiten so gut wie nicht oder kaum administrierbar, da Buchungsterminals und HRE Programmzugriffe stetig erfolgen müssen um eine kontinuierliche Produktion zu gewährleisten.
Es wurde in der Woche jedenfalls fürs Wochenende eine Strategie entwickelt, die ua vorsah auf den XP Clients das SP3 und Sicherheitspatches von MS zu installieren, sowie auf den Servern das SP2. Außerdem legte wir ein von Kaspersky publiziertes Tool zum Entfernen mittels einer Batch, um den Vorgang für den User verdeckt starten und laufen zu lassen, in den Autostart. Jeder Rechner wurde vom Netz getrennt, nach Viren überprüft und erst nachdem das ganze Netz clean sein sollte wieder ans Netz genommen. Das ganze schien auch zu funktionieren, bis anfang dieser Woche. Seit Montag schalten sich auf den Fileservern die Computerbrowser und Server Dienste regelmäßig ab, was den Zugriff auf Netzlaufwerke unmöglich macht, Conficker b. nistet sich ungestört auf einigen Rechnern immer wieder ein, ich darf alle halbe Stunde das Bitdefender Tool übers Netzwerk laufen lassen was zu einigem Unmut bei unseren Mitarbeitern sorgt. Wir sind langsam mit unserem Latein am Ende und würden uns über konstruktive Ratschläge und / oder Lösungsvorschläge evt. auch Erfahrungsberichte freuen.

Gruss

Content-Key: 130837

Url: https://administrator.de/contentid/130837

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Fireclay
Fireclay 03.12.2009 um 10:20:00 Uhr
Goto Top
Grüße,

wir hatten letztens auch in einem unserer Betriebe eine conficker.b Infektion. Hast du mal das Symantec Tool ausprobiert? Bei uns hat das den Wurm gekillt (auch ohne die Rechner einzeln vom Netz zu nehmen) .

Liebe Grüße


Toni
Mitglied: Papagiorgio
Papagiorgio 03.12.2009 um 10:26:13 Uhr
Goto Top
Meinst du das FixDownadup von Symantec? Das jedenfalls lief schon einige Male durch. Aber schon mal danke, ich versuch es noch mal.
Mitglied: Tommy70
Tommy70 03.12.2009 um 10:27:54 Uhr
Goto Top
Wenn das ganze Netz zuverlässig gecleant wurde solltet ihr vielleicht auch überlegen wie conflicker das erste mal und dann wiederholt wieder eingeschleppt werden konnte (z.bsp. USB, CD). Sonst könnte das in eine Sisyphosarbeit ausarten. Ihr cleant das System und ein User steckt seinen USB-Stick an und das Spiel beginnt von neuem.
Läuft auf euren PCs/Servern kein aktueller Virenscanner?
Mitglied: it-frosch
it-frosch 03.12.2009 um 10:31:38 Uhr
Goto Top
Hallo Papagiorgio,

wir haben mit der Conficker Beschreibung von Kaspersky auf allen Servern die Registrierungsschlüssel geprüft und alle aktuellen Patches eingespielt nachdem wir die Quelle (ein Server) ausfindig gemacht und ausgeschaltet hatten. Zur Sicherheit hatten wir auch alle Internetleitungen für die Zeit gekappt.

Das hat gereicht und seit dem ist Ruhe.
Allerdings hatten wir aktuelle Antivirusprogramme die die Ausbreitung geblockt haben.

http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782844

Ich glaube das wichtigste ist für euch an Hand der Antiviruslogs bzw. der Ausbruchswarnungen des Virenscanners die Quelle zu finden.
Mitglied: Fireclay
Fireclay 03.12.2009 um 10:46:21 Uhr
Goto Top
ja, fixdownandup so nannte sich das..
Mitglied: Papagiorgio
Papagiorgio 03.12.2009 um 10:46:32 Uhr
Goto Top
Noch ein Nachtrag, die Autostart Funktionen wurden auf allen Rechnern deaktivert und auf den USB Sticks wurden die Autorun.inf Dateien mittels eines Tools festgeschrieben so das sie nicht mehr von Conficker modifiziert werden können. Wir waren kurz davor die komplette Benutzung von Wechseldatenträgern zu sperren und nur für ausgewählte Medien, die zuvor als sicher eingestuft werden, zu gestatten. Den Internetzugang hatten wir zeitweilig gekappt, jedoch ist dieser ebenfalls für den Produktionsbetrieb essentiel da wir z.B. über EDI Aufträge und Rechnungen buchen, bzw. wir ein Aussenlager haben das über unser ERP System bebucht wird.

Antivirensoftware war bisher nicht auf den Rechnern vorhanden, da die Hardware der Maschinen nicht gerade up to date ist und unser Netzwerk an seiner Kapazitätsgrenze liegt. Jedoch haben wir gestern bei G Data, Avira und Kaspersky Anfragen nach Server gestützten Lösungen geschickt
Mitglied: 25110
25110 03.12.2009 um 10:55:47 Uhr
Goto Top
Hallo,

sowie auf den Servern das SP2

Vielleicht blöde Nachfrage: Das Sicherheitsupdate KB958644 ist auf den Servern installiert?

mfg
Mitglied: Papagiorgio
Papagiorgio 03.12.2009 um 10:59:07 Uhr
Goto Top
Ja, alles was an verfügbaren Sicherheitsupdates im Raum steht ist installiert. Das Hauptproblem sind in meinen Augen einfach die Freigaben, und das "er" sich irgendwo festgesetzt hatte und nachdem sich ein entsprechnender Nutzer mit einem Netzlaufwerk verbunden hatte er sich im System rasch wieder ausgebreitet hat. Wird wohl wieder auf einen Wochenendaktion hinaus laufen bei der wer auf allen Kisten das Tool von Symantec laufen lassen.
Mitglied: it-frosch
it-frosch 03.12.2009 um 11:11:33 Uhr
Goto Top
Zitat von @Papagiorgio:
Jedoch haben wir gestern bei G
Data, Avira und Kaspersky Anfragen nach Server gestützten
Lösungen geschickt

Achte darauf das die Software so etwas wie Ausbruchswarnungen (x Funde in y min --> Ausbruchswarnung per Email) unterstützt.

Die Mehrzahl der aufgetretenen Infektionen haben bei uns als Quelle übrigens USB Sticks, Internetseiten und Programme aus suspekter Quelle.

Viel Glück, es sieht bei euch nach furchtbar viel Arbeit und einigen Investitionen aus. Ich hoffe für euch dass das die Geschäftsleitung auch so sieht.
Mitglied: Papagiorgio
Papagiorgio 03.12.2009 um 11:27:12 Uhr
Goto Top
Danke erst einmal an euch, und ja, es wird Geld kosten und das wir denen da oben sicherlich nicht schmecken da wir uns gerade auch noch im Umbruch befinden und evt. von unserem teilhabenden Konzen ganz aufgekauft werden, wobei das auch psoitive Aspekte mit sich bringt. Jedenfalls waren Investitutionen hier immer vermieden worden, leider, und ich bin jetzt der Azubi der es mit unserem Programmierer richten darf. Ist schon toll....aber gut, es nützt ja nix....
Mitglied: Papagiorgio
Papagiorgio 21.12.2009 um 20:25:27 Uhr
Goto Top
Also, ich wollte noch kurz ein abschließendes Feedback zum erfolgreichen Entfernen des Conficker b/c aus unserem Netzwerk geben.

Zuerst noch einmal ein riesen Dankeschön an diejenigen die sich mit der Problematik hier befasst haben.

Um den Conficker aus unserem Netz zu verbannen haben wir folgende Schritte unternommen:

1.) Die von Symantec bereitgestellte d.exe Datei zum entfernen des Confickers auf allen Rechner der Domäne laufen lassen, incl Servern.
2.) Ports die Conficker benutzt um neue Instruktionen über das Internet zu kriegen auf dem Proxy Server gesperrt
3.) Gruppenrichtlinien dahingehen angepasst das der Autostart aller Medien deaktiviert ist.
4.) Sicherheitsupdates und SP3 für MS Windows XP installiert
5.) Software (Firefox, Adobe Reader, Irfan View, VLC Media Player, Adobe Flashplayer and so on) aktualisiert
6.) Bei Avira ein Netbundle Paket bestellt (Server, Client,Exchange und Proxy Versionen mit zentraler Steuerungskonsole für Update und Suchvorgänge)

Die oben genannte Schritte sind meiner Meinung nach nicht zwingend in dieser Reihenfolge durchzuführen, jedoch macht es Sinn, zuerst einmal die Rechner
zu säubern, und dann die "Sicherheitslücken" zu schließen und sich dann um eine entsprechende Antivirenlösung zu kümmern.

Bis dahin.
Mitglied: it-frosch
it-frosch 22.12.2009 um 23:20:30 Uhr
Goto Top
Danke für das Feedback.

bei 4. meintest du hoffentlich: SP3 und Sicherheitsupdates für MS Windows XP installiert denn seid dem SP3 gibt es über 60 neue Sicherheitsupdates. face-wink

Ich denke bei dem Virenscanner ist es gar nicht so wichtig welchen man hat (Avira finde ich jedoch sehr gut) sondern dass man einen Scanner mit aktueller Signatur hat.
Wir haben/hatten eTrust und wer den kennt weiß dass es sehr viele Produkte mit besserer Erkennung gibt. Trotzdem hat es gereicht, um Conficker an der Ausbreitung zu hindern.

erholsame Weihnachten und schädlingsarme Zeiten wünsche ich dir.
Mitglied: sysaddy
sysaddy 31.01.2010 um 20:49:35 Uhr
Goto Top
Hallo,

ein ähnliches Problem habe ich in meiner Firma auch. Habe die o. g. Tools, sowie McAffee-Virenscanner im Einsatz. Von den Servern scheint dieser Wurm entfernt zu sein. Zumindest findet kein Scanner mehr eine Infektion.
Trotzdem werden immer noch bei einem bestimmten Netzwerkzugriff von einem anderen Server aus sporadisch die Dienste "Arbeitstationsdienst" und "Computerbrowser" beendet. Obwohl im Moment auch kein Client an ist, nur die Server (da Wochenende).

Hängt da irgendwo noch ein Rest, bzw. wie finde ich das heraus? Das ist echt nervig. Wie bekomme ich die Dienste wieder stabil zum laufen?
Mitglied: sysaddy
sysaddy 11.02.2010 um 13:23:57 Uhr
Goto Top
Hat sich erledigt. Wir hatten tatsächlich noch einen infizierten Rechner gefunden, den wir "platt" machen mussten, der Wurm wurde dort zwar nicht mehr gefunden, versuchte sich trotzdem noch zu verbreiten. Wahrscheinlich war das System schon derart infiziert, dass der Wurm sich verstecken/schützen konnte. Nach Entfernen des Rechners aus dem Netzwerk, läuft alles wieder stabil.