14
Win 2k3 Server und WIn XP Client einer Domäne mit Conficker b. befallen
Hallo Zusammen, wir sind hier langsam aber sicher am verzweifelen. Aber meine bisherigen Erfahrungen mit euch, dem Forum, lassen uns hoffen. Wir sind für jede Hilfe dankbar.
Jetzt also erst mal zu unserem Problem. Vor ca. einem Monat ist unser Netzwerk, bestehend aus SQL, File und BDE Servern mit Windows 2003 R2 und den Workstations & Client-Rechnern mit Windows XP SP2, von Conficker b. befallen worden. Wir sind nicht im ersten Moment auf ihn aufmerksam geworden, da viele der Veränderungen die er vornimmt, bei uns standardmäßig so eingerichtet werden damit unser ERP System zuverläßig läuft (z.B. Windows Firefall deaktivieren, automatische Updates deaktiveren usw.). Unter sicherheitstechnischen Aspekten ist dies sicherlich ein Spiel mit dem Feuer gewesen aber unser ERP System (P2plus V. 3.6 von der Firma AP) benötigt nun mal diese Konfiguration und bisher waren wir nicht in der Lage eine neuere Version mit angepasster Systemkonfiguration einzurichten. Das Netzwerk ist nach außen durch unseren Proxi Server KEN! 3 "abgeschirmt".
Jedenfalls liefen abruppt die Sicherheitsprotokolle mit Event ID 529 auf den Clients und von der Thematik her ähnliche auf den Servern voll. - Nicht erfolgreiche Systemanmeldung. Durch entsprechende Recherche kamen wir der Ursache schnell auf die Schliche. Es war Conficker b.
Jetzt war erst mal guter Rat teuer. Unser System ist tagsüber während der Produktionszeiten so gut wie nicht oder kaum administrierbar, da Buchungsterminals und HRE Programmzugriffe stetig erfolgen müssen um eine kontinuierliche Produktion zu gewährleisten.
Es wurde in der Woche jedenfalls fürs Wochenende eine Strategie entwickelt, die ua vorsah auf den XP Clients das SP3 und Sicherheitspatches von MS zu installieren, sowie auf den Servern das SP2. Außerdem legte wir ein von Kaspersky publiziertes Tool zum Entfernen mittels einer Batch, um den Vorgang für den User verdeckt starten und laufen zu lassen, in den Autostart. Jeder Rechner wurde vom Netz getrennt, nach Viren überprüft und erst nachdem das ganze Netz clean sein sollte wieder ans Netz genommen. Das ganze schien auch zu funktionieren, bis anfang dieser Woche. Seit Montag schalten sich auf den Fileservern die Computerbrowser und Server Dienste regelmäßig ab, was den Zugriff auf Netzlaufwerke unmöglich macht, Conficker b. nistet sich ungestört auf einigen Rechnern immer wieder ein, ich darf alle halbe Stunde das Bitdefender Tool übers Netzwerk laufen lassen was zu einigem Unmut bei unseren Mitarbeitern sorgt. Wir sind langsam mit unserem Latein am Ende und würden uns über konstruktive Ratschläge und / oder Lösungsvorschläge evt. auch Erfahrungsberichte freuen.
Gruss
Jetzt also erst mal zu unserem Problem. Vor ca. einem Monat ist unser Netzwerk, bestehend aus SQL, File und BDE Servern mit Windows 2003 R2 und den Workstations & Client-Rechnern mit Windows XP SP2, von Conficker b. befallen worden. Wir sind nicht im ersten Moment auf ihn aufmerksam geworden, da viele der Veränderungen die er vornimmt, bei uns standardmäßig so eingerichtet werden damit unser ERP System zuverläßig läuft (z.B. Windows Firefall deaktivieren, automatische Updates deaktiveren usw.). Unter sicherheitstechnischen Aspekten ist dies sicherlich ein Spiel mit dem Feuer gewesen aber unser ERP System (P2plus V. 3.6 von der Firma AP) benötigt nun mal diese Konfiguration und bisher waren wir nicht in der Lage eine neuere Version mit angepasster Systemkonfiguration einzurichten. Das Netzwerk ist nach außen durch unseren Proxi Server KEN! 3 "abgeschirmt".
Jedenfalls liefen abruppt die Sicherheitsprotokolle mit Event ID 529 auf den Clients und von der Thematik her ähnliche auf den Servern voll. - Nicht erfolgreiche Systemanmeldung. Durch entsprechende Recherche kamen wir der Ursache schnell auf die Schliche. Es war Conficker b.
Jetzt war erst mal guter Rat teuer. Unser System ist tagsüber während der Produktionszeiten so gut wie nicht oder kaum administrierbar, da Buchungsterminals und HRE Programmzugriffe stetig erfolgen müssen um eine kontinuierliche Produktion zu gewährleisten.
Es wurde in der Woche jedenfalls fürs Wochenende eine Strategie entwickelt, die ua vorsah auf den XP Clients das SP3 und Sicherheitspatches von MS zu installieren, sowie auf den Servern das SP2. Außerdem legte wir ein von Kaspersky publiziertes Tool zum Entfernen mittels einer Batch, um den Vorgang für den User verdeckt starten und laufen zu lassen, in den Autostart. Jeder Rechner wurde vom Netz getrennt, nach Viren überprüft und erst nachdem das ganze Netz clean sein sollte wieder ans Netz genommen. Das ganze schien auch zu funktionieren, bis anfang dieser Woche. Seit Montag schalten sich auf den Fileservern die Computerbrowser und Server Dienste regelmäßig ab, was den Zugriff auf Netzlaufwerke unmöglich macht, Conficker b. nistet sich ungestört auf einigen Rechnern immer wieder ein, ich darf alle halbe Stunde das Bitdefender Tool übers Netzwerk laufen lassen was zu einigem Unmut bei unseren Mitarbeitern sorgt. Wir sind langsam mit unserem Latein am Ende und würden uns über konstruktive Ratschläge und / oder Lösungsvorschläge evt. auch Erfahrungsberichte freuen.
Gruss
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 130837
Url: https://administrator.de/forum/win-2k3-server-und-win-xp-client-einer-domaene-mit-conficker-b-befallen-130837.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
14 Kommentare
Neuester Kommentar
Grüße,
wir hatten letztens auch in einem unserer Betriebe eine conficker.b Infektion. Hast du mal das Symantec Tool ausprobiert? Bei uns hat das den Wurm gekillt (auch ohne die Rechner einzeln vom Netz zu nehmen) .
Liebe Grüße
Toni
wir hatten letztens auch in einem unserer Betriebe eine conficker.b Infektion. Hast du mal das Symantec Tool ausprobiert? Bei uns hat das den Wurm gekillt (auch ohne die Rechner einzeln vom Netz zu nehmen) .
Liebe Grüße
Toni
Meinst du das FixDownadup von Symantec? Das jedenfalls lief schon einige Male durch. Aber schon mal danke, ich versuch es noch mal.
Wenn das ganze Netz zuverlässig gecleant wurde solltet ihr vielleicht auch überlegen wie conflicker das erste mal und dann wiederholt wieder eingeschleppt werden konnte (z.bsp. USB, CD). Sonst könnte das in eine Sisyphosarbeit ausarten. Ihr cleant das System und ein User steckt seinen USB-Stick an und das Spiel beginnt von neuem.
Läuft auf euren PCs/Servern kein aktueller Virenscanner?
Läuft auf euren PCs/Servern kein aktueller Virenscanner?
Hallo Papagiorgio,
wir haben mit der Conficker Beschreibung von Kaspersky auf allen Servern die Registrierungsschlüssel geprüft und alle aktuellen Patches eingespielt nachdem wir die Quelle (ein Server) ausfindig gemacht und ausgeschaltet hatten. Zur Sicherheit hatten wir auch alle Internetleitungen für die Zeit gekappt.
Das hat gereicht und seit dem ist Ruhe.
Allerdings hatten wir aktuelle Antivirusprogramme die die Ausbreitung geblockt haben.
http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782844
Ich glaube das wichtigste ist für euch an Hand der Antiviruslogs bzw. der Ausbruchswarnungen des Virenscanners die Quelle zu finden.
wir haben mit der Conficker Beschreibung von Kaspersky auf allen Servern die Registrierungsschlüssel geprüft und alle aktuellen Patches eingespielt nachdem wir die Quelle (ein Server) ausfindig gemacht und ausgeschaltet hatten. Zur Sicherheit hatten wir auch alle Internetleitungen für die Zeit gekappt.
Das hat gereicht und seit dem ist Ruhe.
Allerdings hatten wir aktuelle Antivirusprogramme die die Ausbreitung geblockt haben.
http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782844
Ich glaube das wichtigste ist für euch an Hand der Antiviruslogs bzw. der Ausbruchswarnungen des Virenscanners die Quelle zu finden.
ja, fixdownandup so nannte sich das..
Noch ein Nachtrag, die Autostart Funktionen wurden auf allen Rechnern deaktivert und auf den USB Sticks wurden die Autorun.inf Dateien mittels eines Tools festgeschrieben so das sie nicht mehr von Conficker modifiziert werden können. Wir waren kurz davor die komplette Benutzung von Wechseldatenträgern zu sperren und nur für ausgewählte Medien, die zuvor als sicher eingestuft werden, zu gestatten. Den Internetzugang hatten wir zeitweilig gekappt, jedoch ist dieser ebenfalls für den Produktionsbetrieb essentiel da wir z.B. über EDI Aufträge und Rechnungen buchen, bzw. wir ein Aussenlager haben das über unser ERP System bebucht wird.
Antivirensoftware war bisher nicht auf den Rechnern vorhanden, da die Hardware der Maschinen nicht gerade up to date ist und unser Netzwerk an seiner Kapazitätsgrenze liegt. Jedoch haben wir gestern bei G Data, Avira und Kaspersky Anfragen nach Server gestützten Lösungen geschickt
Antivirensoftware war bisher nicht auf den Rechnern vorhanden, da die Hardware der Maschinen nicht gerade up to date ist und unser Netzwerk an seiner Kapazitätsgrenze liegt. Jedoch haben wir gestern bei G Data, Avira und Kaspersky Anfragen nach Server gestützten Lösungen geschickt
Hallo,
Vielleicht blöde Nachfrage: Das Sicherheitsupdate KB958644 ist auf den Servern installiert?
mfg
sowie auf den Servern das SP2
Vielleicht blöde Nachfrage: Das Sicherheitsupdate KB958644 ist auf den Servern installiert?
mfg
Ja, alles was an verfügbaren Sicherheitsupdates im Raum steht ist installiert. Das Hauptproblem sind in meinen Augen einfach die Freigaben, und das "er" sich irgendwo festgesetzt hatte und nachdem sich ein entsprechnender Nutzer mit einem Netzlaufwerk verbunden hatte er sich im System rasch wieder ausgebreitet hat. Wird wohl wieder auf einen Wochenendaktion hinaus laufen bei der wer auf allen Kisten das Tool von Symantec laufen lassen.
Zitat von @Papagiorgio:
Jedoch haben wir gestern bei G
Data, Avira und Kaspersky Anfragen nach Server gestützten
Lösungen geschickt
Jedoch haben wir gestern bei G
Data, Avira und Kaspersky Anfragen nach Server gestützten
Lösungen geschickt
Achte darauf das die Software so etwas wie Ausbruchswarnungen (x Funde in y min --> Ausbruchswarnung per Email) unterstützt.
Die Mehrzahl der aufgetretenen Infektionen haben bei uns als Quelle übrigens USB Sticks, Internetseiten und Programme aus suspekter Quelle.
Viel Glück, es sieht bei euch nach furchtbar viel Arbeit und einigen Investitionen aus. Ich hoffe für euch dass das die Geschäftsleitung auch so sieht.
Danke erst einmal an euch, und ja, es wird Geld kosten und das wir denen da oben sicherlich nicht schmecken da wir uns gerade auch noch im Umbruch befinden und evt. von unserem teilhabenden Konzen ganz aufgekauft werden, wobei das auch psoitive Aspekte mit sich bringt. Jedenfalls waren Investitutionen hier immer vermieden worden, leider, und ich bin jetzt der Azubi der es mit unserem Programmierer richten darf. Ist schon toll....aber gut, es nützt ja nix....
Also, ich wollte noch kurz ein abschließendes Feedback zum erfolgreichen Entfernen des Conficker b/c aus unserem Netzwerk geben.
Zuerst noch einmal ein riesen Dankeschön an diejenigen die sich mit der Problematik hier befasst haben.
Um den Conficker aus unserem Netz zu verbannen haben wir folgende Schritte unternommen:
1.) Die von Symantec bereitgestellte d.exe Datei zum entfernen des Confickers auf allen Rechner der Domäne laufen lassen, incl Servern.
2.) Ports die Conficker benutzt um neue Instruktionen über das Internet zu kriegen auf dem Proxy Server gesperrt
3.) Gruppenrichtlinien dahingehen angepasst das der Autostart aller Medien deaktiviert ist.
4.) Sicherheitsupdates und SP3 für MS Windows XP installiert
5.) Software (Firefox, Adobe Reader, Irfan View, VLC Media Player, Adobe Flashplayer and so on) aktualisiert
6.) Bei Avira ein Netbundle Paket bestellt (Server, Client,Exchange und Proxy Versionen mit zentraler Steuerungskonsole für Update und Suchvorgänge)
Die oben genannte Schritte sind meiner Meinung nach nicht zwingend in dieser Reihenfolge durchzuführen, jedoch macht es Sinn, zuerst einmal die Rechner
zu säubern, und dann die "Sicherheitslücken" zu schließen und sich dann um eine entsprechende Antivirenlösung zu kümmern.
Bis dahin.
Zuerst noch einmal ein riesen Dankeschön an diejenigen die sich mit der Problematik hier befasst haben.
Um den Conficker aus unserem Netz zu verbannen haben wir folgende Schritte unternommen:
1.) Die von Symantec bereitgestellte d.exe Datei zum entfernen des Confickers auf allen Rechner der Domäne laufen lassen, incl Servern.
2.) Ports die Conficker benutzt um neue Instruktionen über das Internet zu kriegen auf dem Proxy Server gesperrt
3.) Gruppenrichtlinien dahingehen angepasst das der Autostart aller Medien deaktiviert ist.
4.) Sicherheitsupdates und SP3 für MS Windows XP installiert
5.) Software (Firefox, Adobe Reader, Irfan View, VLC Media Player, Adobe Flashplayer and so on) aktualisiert
6.) Bei Avira ein Netbundle Paket bestellt (Server, Client,Exchange und Proxy Versionen mit zentraler Steuerungskonsole für Update und Suchvorgänge)
Die oben genannte Schritte sind meiner Meinung nach nicht zwingend in dieser Reihenfolge durchzuführen, jedoch macht es Sinn, zuerst einmal die Rechner
zu säubern, und dann die "Sicherheitslücken" zu schließen und sich dann um eine entsprechende Antivirenlösung zu kümmern.
Bis dahin.
Danke für das Feedback.
bei 4. meintest du hoffentlich: SP3 und Sicherheitsupdates für MS Windows XP installiert denn seid dem SP3 gibt es über 60 neue Sicherheitsupdates.
Ich denke bei dem Virenscanner ist es gar nicht so wichtig welchen man hat (Avira finde ich jedoch sehr gut) sondern dass man einen Scanner mit aktueller Signatur hat.
Wir haben/hatten eTrust und wer den kennt weiß dass es sehr viele Produkte mit besserer Erkennung gibt. Trotzdem hat es gereicht, um Conficker an der Ausbreitung zu hindern.
erholsame Weihnachten und schädlingsarme Zeiten wünsche ich dir.
bei 4. meintest du hoffentlich: SP3 und Sicherheitsupdates für MS Windows XP installiert denn seid dem SP3 gibt es über 60 neue Sicherheitsupdates.
Ich denke bei dem Virenscanner ist es gar nicht so wichtig welchen man hat (Avira finde ich jedoch sehr gut) sondern dass man einen Scanner mit aktueller Signatur hat.
Wir haben/hatten eTrust und wer den kennt weiß dass es sehr viele Produkte mit besserer Erkennung gibt. Trotzdem hat es gereicht, um Conficker an der Ausbreitung zu hindern.
erholsame Weihnachten und schädlingsarme Zeiten wünsche ich dir.
Hallo,
ein ähnliches Problem habe ich in meiner Firma auch. Habe die o. g. Tools, sowie McAffee-Virenscanner im Einsatz. Von den Servern scheint dieser Wurm entfernt zu sein. Zumindest findet kein Scanner mehr eine Infektion.
Trotzdem werden immer noch bei einem bestimmten Netzwerkzugriff von einem anderen Server aus sporadisch die Dienste "Arbeitstationsdienst" und "Computerbrowser" beendet. Obwohl im Moment auch kein Client an ist, nur die Server (da Wochenende).
Hängt da irgendwo noch ein Rest, bzw. wie finde ich das heraus? Das ist echt nervig. Wie bekomme ich die Dienste wieder stabil zum laufen?
ein ähnliches Problem habe ich in meiner Firma auch. Habe die o. g. Tools, sowie McAffee-Virenscanner im Einsatz. Von den Servern scheint dieser Wurm entfernt zu sein. Zumindest findet kein Scanner mehr eine Infektion.
Trotzdem werden immer noch bei einem bestimmten Netzwerkzugriff von einem anderen Server aus sporadisch die Dienste "Arbeitstationsdienst" und "Computerbrowser" beendet. Obwohl im Moment auch kein Client an ist, nur die Server (da Wochenende).
Hängt da irgendwo noch ein Rest, bzw. wie finde ich das heraus? Das ist echt nervig. Wie bekomme ich die Dienste wieder stabil zum laufen?
Hat sich erledigt. Wir hatten tatsächlich noch einen infizierten Rechner gefunden, den wir "platt" machen mussten, der Wurm wurde dort zwar nicht mehr gefunden, versuchte sich trotzdem noch zu verbreiten. Wahrscheinlich war das System schon derart infiziert, dass der Wurm sich verstecken/schützen konnte. Nach Entfernen des Rechners aus dem Netzwerk, läuft alles wieder stabil.
