Jump to content

Microsoft Web Seite nicht erreichbar


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@Djmaker & Gulp

 

Wo Ihr recht habt, habt Ihr recht....

 

ABER: 50 Server mit Exchange 2003 / 2007 und Teil- wie Vollreplikaten mit ca 850GB Public Datenbank und alles in allem gegen 700 user mit entprechenden Userhomes und Postfächer etc einfach so mal neu installieren?! :suspect:

 

Da wir aber sowieso vor haben dieses Jahr die ganze Serverfarm zu virtualisieren, wir sich das neu aufsetzten so zum Glück "von alleine" erledigen :cool:

 

Was mich nun noch interessieren würde ist;

- Warum war des Root Kit "nur" auf den Servern und nicht auch auf allen Arbeitstationen??

- Wer oder was hat mir das Root Kit "eingeschleppt"

 

Jo, greetz @ all

Herby

Link zu diesem Kommentar

Da sag ich nur:

 

Microsoft: Kunden spielen "Russisches Roulette" mit ihren Systemen

 

ABER: 50 Server mit Exchange 2003 / 2007 und Teil- wie Vollreplikaten mit ca 850GB Public Datenbank und alles in allem gegen 700 user mit entprechenden Userhomes und Postfächer etc einfach so mal neu installieren?!

 

Tut mir leid aber Dein ABER kann ich nicht gelten lassen, es ist meines Erachtens grob fahrlässig seine Systeme nicht rechtzeitig zu patchen und dann zusätzlich offenbar ohne Virenschutz laufen zu lassen. Da spielt weder die Menge an Systemen oder zu erwartender Arbeit eine Rolle.

 

Was mich nun noch interessieren würde ist;

- Warum war des Root Kit "nur" auf den Servern und nicht auch auf allen Arbeitstationen??

- Wer oder was hat mir das Root Kit "eingeschleppt"

 

zu Frage 1: Vermutlich haben die Workstations den Patch wohl schon erhalten oder deren Virensignaturen waren aktuell.

 

zu Frage 2: Vermutlich hat man vergessen die Internetverbindung auf den betroffenen Servern zu sichern, der Patch war/ist nicht installiert, es gibt Benutzerkonten auf den Servern oder im AD mit einfach zu erratenden Passwörtern und/oder die Virensignaturen waren/sind nicht aktuell. Zudem kann der Wurm auch von gepachten Workstations mit Internetkontakt auf die Server per RPC gelangt sein, er hat unter anderem eine BrutForce Passwordliste an Bord um sich über die Administrativen Freigaben zu verbreiten.

 

Da wir aber sowieso vor haben dieses Jahr die ganze Serverfarm zu virtualisieren, wir sich das neu aufsetzten so zum Glück "von alleine" erledigen

 

Con****er schlägt bei Kärntner Regierung zu

 

Wenn ich aus dem Artikel Sachen wie:

 

Der Wurm versuchte gespeicherte Daten und insbesondere Passwörter auszuspähen und über das Internet zu transferieren, .......

 

lese kann ich nur sagen:

 

Na dann fangt am besten direkt mit den Neuinstallationen an! .... und ändert gleich alle Eure Passwörter!

 

 

Grüsse

 

Gulp

Link zu diesem Kommentar

ABER: 50 Server mit Exchange 2003 / 2007 und Teil- wie Vollreplikaten mit ca 850GB Public Datenbank und alles in allem gegen 700 user mit entprechenden Userhomes und Postfächer etc einfach so mal neu installieren?! :suspect:

 

Ja, jetzt hast du einen Grund um mal Gesamthaft euer Sicherheitskonzept zu überarbeiten. Evtl. Sinnvoll wenn ihr euch noch externe Hilfe dazuholt - Betriebsblindheit ist gefährlich.

Link zu diesem Kommentar

Jo folks..

 

Lest mal den ersten Eintrag hier im tread..

 

Da steht:

 

Auf allen Servern sind die aktuellen Service Pack's und Updates installiert.

Virenschutz ist Norman ab einem (1) Verteilserver.

 

Die Clients erhalten die Patch's per WSUS und die Virensignaturen ab dem Verteilserver, und sonst von niergends.

Virensignaturen werden sogar 4x täglich angefordert..

 

Und da soll unser System nicht geschützt sein?

 

Das mit dem Passwörterwechsel ist auf jeden Fall eine gute Idee, soviel ist klar.

Auch wird das Sicherheitssystem überdacht, neues Viren- Mailware konzept mit neuer Software etc..

und wie gehabt, wir werden bald möglichst mit der virtualisierung beginnen, somit fallen die alten Server raus.

 

Aber lassen wir das, das gehört sonst OT..

 

Danke allen für die Hilfe!

Greetz @ all

Herby

Link zu diesem Kommentar

Wie jetzt: Hast Du einen Server direkt ohne weiteren Schutz am Internet ?

 

Das ist Grob fahrlässig. Da gehört 'ne anständige Firewall davor, und damit meine ich nicht das Software-Teil im Windows. Wenn, dann der ISA-Server von MS.

 

Der Remote-Clients sollten sich über eine gesicherte VPN-Verbindung einwählen, sonst nix. Eventuell in Kombination mit den neun NAP-Features in Windows XP SP3 und Vista ( Network Access Protection )

 

 

PS: Der Norman-Scanner gehörht nicht gerade zu den Besten Produkten:

 

http://www.virusbtn.com/news/2008/09_02

 

-Zahni

Link zu diesem Kommentar

Lest den 1. Artikel!!!

 

- Alle Hardware neu gestartet, inkl Firewall, Router und Switch's

 

Juniper Firewall SSG 140 und ISA im Datacenter, SSG 5 VPN in den Niederlassungen etc..

 

Bitte wenn, denn erst alles von Anfang an lesen, ab erstem Eintrag!

Wobei ich dachte dass man hier Hilfe erhält und nicht dummes gemecker.. :suspect:

 

So, ich bin dann hier raus

Herby

Link zu diesem Kommentar
Lest den 1. Artikel!!!

 

- Alle Hardware neu gestartet, inkl Firewall, Router und Switch's

 

Juniper Firewall SSG 140 und ISA im Datacenter, SSG 5 VPN in den Niederlassungen etc..

 

Bitte wenn, denn erst alles von Anfang an lesen, ab erstem Eintrag!

Wobei ich dachte dass man hier Hilfe erhält und nicht dummes gemecker.. :suspect:

 

So, ich bin dann hier raus

Herby

 

Hat ja wirklich viel genutzt wenn man den Thread hier so verfolgt ..... und scheint ja auch ne echt sichere Sache zu sein Eure Config, war wohl nur ein virtueller Wurm oder ne Fata Morgana.

 

Zu schade wenn man die Wahrheit nicht vertragen kann, aber wie nannte Lukas das ..... Betriebsblindheit.

 

Grüsse

 

Gulp

Link zu diesem Kommentar

hallo nochmal :)

 

apropos isa, kannst du nicht die logs (isa und firewall) nach den adressen durchsuchen ?

waere microsoft korrekt aufgelöst worden hättest ihr garnichts gemerkt, das finde ich gefährlich.

 

Ich würde den Ärger ueber die Beitraege hier runterschlucken.

Viele Aspekte an der Angelegenheit sind offen und es kann wirklich nicht schaden das netz und die clients mal etwas sorgfältiger zu betrachten.

 

mich wuerde es hoellisch aergern nicht zu wissen woher die attacke kam.......

Link zu diesem Kommentar

Bitte keine Diskusionen über wer hat die Beste Firewall oder den besten Virenscanner. Danach ist man immer schlauer.

 

Nochmal zur Lösung des Problems. Ich kann ihn ja Mit dem Programm deaktivieren und danach aus der Registry entfernen. Das behebt aber nicht das Grundsatzproblem das ich ihn nach einer halben Stunde wieder habe.

Und nun?

 

Betroffen sind vorallem Windows XP SP3, dafür gibt es von Microsoft keinen Patch.

 

Momentan ist er nicht wieder auf Windows 2003 Server und Vista aufgetaucht.

Link zu diesem Kommentar

 

Nochmal zur Lösung des Problems. Ich kann ihn ja Mit dem Programm deaktivieren und danach aus der Registry entfernen. Das behebt aber nicht das Grundsatzproblem das ich ihn nach einer halben Stunde wieder habe.

Und nun?

 

Betroffen sind vorallem Windows XP SP3, dafür gibt es von Microsoft keinen Patch.

 

Momentan ist er nicht wieder auf Windows 2003 Server und Vista aufgetaucht.

 

 

Du wiegst Du mit dem entfernen allerdings in einer ziemlich trügerischen Sicherheit, denn Du weisst nicht was der Wurm alles noch heruntergeladen und installiert hat.

 

Dass es für XP SP3 keinen Patch gibt ist schlichtweg falsch:

 

Microsoft Security Bulletin MS08-067 – Critical

 

Ergibt einen Überblick über alle betroffenen Systeme und Bulletin Updates.

 

Daraus gibt es folgenden Downloadlink für XP SP3:

 

Security Update for Windows XP (KB958644)

 

Zitat: Supported Operating Systems: Windows XP Service Pack 2; Windows XP Service Pack 3

 

Zitat: Das Interessante bei dieser Wurm-Variante: Ist der Server-Dienst erst einmal ausgetrickst, spielt der Wurm den benötigten Sicherheits-Patch selbst auf das System, wobei die Sicherheitslücke damit nicht geschlossen ist. Lediglich andere Würmer werden daran gehindert, das System zu befallen.

 

Quelle: Confi_cker.A: Microsoft warnt vor Windows-Wurm

 

Das wäre mir alles irgendwie zu heiss ......

 

Grüsse

 

Gulp

Link zu diesem Kommentar

ups, k, sry.

 

hatte in der symantec beschreibung gesucht, fand es erstaunlich wie intensiv der virus mit dem internet kommuniziert.

wenn der betroffene pc nur angeschaltet ist muesste man doch recht zeitnah die kommunikation im Netz ueberwachen koennen mit einfachen Mitteln, vor allem wenn eine erneute aktivierung regelmaessig jede 30 minuten erfolgt.

Link zu diesem Kommentar

Kein Problem, ich blick auch nicht immer durch die "konsistente" Benamsung der Virennamen durch die ganzen AntiVir Hersteller .... ;)

 

Hehe zumindest Du hast schon mal einen Kern erfasst (im Gegensatz zum TO), was meinst Du wieso in allen Artikeln zu dem Teil immer wieder das Wort "Firewall" so häufig vorkommt. ;)

 

Der andere Kern ist, dass man sich auch wenn man Downadup/Conf*cker entfernen kann (was ja an sich nicht schwer ist), man eben nicht weiss was das Teil so alles während seiner aktiven Zeit veranstaltet hat, wenn man schon nicht gemerkt hat, dass sich das Teil eingenistet hat, seine Systeme nicht mit wichtigen Patches bestückt, alte Virensignaturen verwendet (Symantec hatte schon Ende November Signaturen zur Erkennung, die anderen Hersteller dürften nicht weit davon weg liegen) oder gar alles zusammen praktiziert, dann hat man in der Regel auch keine wirklich ausgeklügelten Firewall Regeln oder Netzwerkprotokolle an der Hand ...... irgendwie ein Teufelkreis, isn't it? ;)

 

Grüsse

 

Gulp

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...