11
Zugriffe auf bestimmte IP (Drucker) im LAN loggen (Grund, BugBear-Virus)
Hallo Liebe Administratoren Gemeinde,
ich bin neu hier im Forum, könnte aber schon des Öfteren hier hilfreiche Tipps finden.
Leider habe ich bei meinem jetzigen Problem keine Lösungsmöglichkeit gefunden und ich hoffe ihr könnte mir helfen.
Nun zum Thema:
Seit letzter Woche, haben ein Teil meiner Netzwerkdrucker, die doofe Angewohnheit gelegentlich mal ein ganzes Paket Papier mit Hieroglyphen zu bedrucken. Nach einigem Suchen im WWW habe ich dann rausbekommen, dass es sich mit ziemlicher Sicherheit um den BugBear Virus handelt.
Alle Server/Arbeitsstationen sind aber mit einem Virenprogramm ausgestattet und aktuell, leider hat noch keins davon Alarm geschlagen.
Erste Idee war das LOG-Protokoll des Servers, um zu sehen von welchen PC diese Druckaufträge kommen. Leider ohne Erfolg. Der Virus scheint die Druckaufträge direkt an die Drucker-IP zu senden, so dass ich nichts im Spool oder auf dem Server davon sehe.
Nun meine Frage:
Wie kann ich alle Anfragen die auf die IP des Druckers kommen, loggen/monitoren, um zu sehen von welcher IP der Drucker angesprochen wird?
Besten Dank für eure Hilfe.
Gruß Enrico
ich bin neu hier im Forum, könnte aber schon des Öfteren hier hilfreiche Tipps finden.
Leider habe ich bei meinem jetzigen Problem keine Lösungsmöglichkeit gefunden und ich hoffe ihr könnte mir helfen.
Nun zum Thema:
Seit letzter Woche, haben ein Teil meiner Netzwerkdrucker, die doofe Angewohnheit gelegentlich mal ein ganzes Paket Papier mit Hieroglyphen zu bedrucken. Nach einigem Suchen im WWW habe ich dann rausbekommen, dass es sich mit ziemlicher Sicherheit um den BugBear Virus handelt.
Alle Server/Arbeitsstationen sind aber mit einem Virenprogramm ausgestattet und aktuell, leider hat noch keins davon Alarm geschlagen.
Erste Idee war das LOG-Protokoll des Servers, um zu sehen von welchen PC diese Druckaufträge kommen. Leider ohne Erfolg. Der Virus scheint die Druckaufträge direkt an die Drucker-IP zu senden, so dass ich nichts im Spool oder auf dem Server davon sehe.
Nun meine Frage:
Wie kann ich alle Anfragen die auf die IP des Druckers kommen, loggen/monitoren, um zu sehen von welcher IP der Drucker angesprochen wird?
Besten Dank für eure Hilfe.
Gruß Enrico
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 130763
Url: https://administrator.de/contentid/130763
Ausgedruckt am: 24.11.2024 um 08:11 Uhr
11 Kommentare
Neuester Kommentar
Wireshark mit filter auf die IP des Druckers
Hi Snowman,
danke für die Info.
Also habe Wireshark mal ausprobiert. Sieht schon mal vielversprechend aus. Wenn ich das aber richtig gesehen habe, protokolliert er nur das was über die eigene Netzwerkkarte geht. Wie müsste ich das jetzt anstellen, wenn ich die Adresse des Druckers überwachen will und der Druckauftrag ja nicht erst zum Server geht sondern direkt zum Drucker.
Danke Enrico
danke für die Info.
Also habe Wireshark mal ausprobiert. Sieht schon mal vielversprechend aus. Wenn ich das aber richtig gesehen habe, protokolliert er nur das was über die eigene Netzwerkkarte geht. Wie müsste ich das jetzt anstellen, wenn ich die Adresse des Druckers überwachen will und der Druckauftrag ja nicht erst zum Server geht sondern direkt zum Drucker.
Danke Enrico
probier mal folgendes programm: http://www.sophos.com/support/cleaners/bugbesfx.exe
ist. Ein selbstentpackendes Archiv, in dem BUGBECLI enthalten ist.
Das Prog kommt von Sophos und desinfiziert netzwerkrechner vom Bugbear-B
Anleitung ist im Archiv enthalten ;)
die kryptischen zeichen die ausgedruckt werden, kommen übrigens von bugbear selbst, der versucht sich auf den netzwerkdrucker zu kopieren. Also auch alle netzlaufwerke scannen!
ist. Ein selbstentpackendes Archiv, in dem BUGBECLI enthalten ist.
Das Prog kommt von Sophos und desinfiziert netzwerkrechner vom Bugbear-B
Anleitung ist im Archiv enthalten ;)
die kryptischen zeichen die ausgedruckt werden, kommen übrigens von bugbear selbst, der versucht sich auf den netzwerkdrucker zu kopieren. Also auch alle netzlaufwerke scannen!
hhmm, so habe mir mal die Anleitung zu gemüde geführt. die "netzwerk-desinfektion" funtkioniert ja dann nur bei den PC's die in der Domäne sind und neue gestartet werden (Anmeldescript). Da ich mir aber eigentlich sicher bin, dass es kein domänenrechner sein kann, sondern ehr einer der nicht inder Domäne ist z.b. en Besucher, fällt diese schöne variante raus.
Noch ne andere Frage, es sind auch nicht alle netzwerk drucker betroffen. eigentlich nur 2 sorten von kopierern (die neueren), die älteren (selber hersteller (TA)) bzw. auch die hp tintenstrahler, machen keine mucken. ne idee warum die nicht dafür anfällig sind?
danke für deine mühe
enrico
Noch ne andere Frage, es sind auch nicht alle netzwerk drucker betroffen. eigentlich nur 2 sorten von kopierern (die neueren), die älteren (selber hersteller (TA)) bzw. auch die hp tintenstrahler, machen keine mucken. ne idee warum die nicht dafür anfällig sind?
danke für deine mühe
enrico
möglicherweise sind die für den user, der den wurm hat garnicht sichtbar?
sind alle im selben subnetz und auch für alle freigegeben.jeder user kann theoretisch auf jeden drucker durcken. die freigabe oder der treiber sollten ja sowie so keine rolle spielen, da sie ja anscheinend direkt über die ip angesprochen werden und nichts über den server-spooler läuft. deswegen bräuchte ich ja das loggen auf die ip des druckers, um zu sehen von wo der wurm sich ausdrucken will. kennst du ne möglichkeit alle anfragen die auf die ip eines pc's/laptop kommen auf den drucker umzuleiten und "mitzuschneiden".
lass wireshark doch auf dem server bzw. PC laufen, an dem der Drucker dranhängt.
Wireshark scannt nicht nur pakete, die für dich bestimmt sind, sondern alles, was an der netzwerkkarte des PC's so vorbeiläuft
Wireshark scannt nicht nur pakete, die für dich bestimmt sind, sondern alles, was an der netzwerkkarte des PC's so vorbeiläuft
das ist ja das problem, der netzwerkdrucker hängt ja an einer switch und nicht an einem rechner. daher laufen die paket usw. nicht zwangsläufig über den server sondern werden direkt verarbeit.
Hi Enricobl,
das mit Wireshark ist schon der richtige Ansatz.
Wie du schon richtig erkannt hast, siehst du erst mal nur die Pakete welche für deine eigene Netzwerkadresse bestimmt sind.
Das liegt am Switch. Setzt du statt dem Switch einen Hub ein, so siehst du alle Pakete die in diesem Netzwerksegment auflaufen.
Du müsstest also zwischen Drucker und Switch einen Hub einbauen und an diesem deinen PC mit Wireshark anschließen.
Die elegantere Alternative wäre natürlich einen Mirror-Port am Switch zu definieren. Dafür muss dieser allerdings managable sein.
Gruß,
Paegger.
das mit Wireshark ist schon der richtige Ansatz.
Wie du schon richtig erkannt hast, siehst du erst mal nur die Pakete welche für deine eigene Netzwerkadresse bestimmt sind.
Das liegt am Switch. Setzt du statt dem Switch einen Hub ein, so siehst du alle Pakete die in diesem Netzwerksegment auflaufen.
Du müsstest also zwischen Drucker und Switch einen Hub einbauen und an diesem deinen PC mit Wireshark anschließen.
Die elegantere Alternative wäre natürlich einen Mirror-Port am Switch zu definieren. Dafür muss dieser allerdings managable sein.
Gruß,
Paegger.
hi Paegger,
haben jetzt einen Mirror-Port eingerichtet und Wireshark zeichnet fleißig auf. Danke für den Tipp.
Vielen Dank für die Unterstützung, Feedback folgt.
Gruß Enrico
haben jetzt einen Mirror-Port eingerichtet und Wireshark zeichnet fleißig auf. Danke für den Tipp.
Vielen Dank für die Unterstützung, Feedback folgt.
Gruß Enrico
Hi Leute,
also das mit dem Mirror Port war ein Erfolg, Verursacher konnte ausfindig gemacht werden.
Nochmals vielen Dank für eure Hilfe.
Gruß Enrico
also das mit dem Mirror Port war ein Erfolg, Verursacher konnte ausfindig gemacht werden.
Nochmals vielen Dank für eure Hilfe.
Gruß Enrico
