OscarWilde 10 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Hallo zusammen, ich bin bisher von Zombierechnern verschont geblieben, aber es scheint sich trotz Panda Business Secure ein Zombie im Netz zu befinden, den ich bisher nicht aufspüren konnte. :suspect: Der Spamversand ist im Moment massiv (läuft nicht über Exchange) und ich weiß nicht so recht, wie ich den betreffenden Rechner finden soll, kann mir jemand ein paar Tipps zur Vorgehensweise geben oder auch ein paar Tools nennen mit denen ich einen solchen Rechner finden könnte? Ich habe hier ein 2K3 Server mit Exchange, einige Server 2K3 und ca 50 Workstations mit XP. Alle sind mehr oder weniger auf dem neusten Stand und mit Panda Business Secure geschützt (sollten sie zumindest, dachte ich :shock:). Ansonsten haben wir nach außen eine Cicso Managed Firewall. Danke! Frank Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Wie viele Rechner habt ihr denn im Netz? Zitieren Link zu diesem Kommentar
OscarWilde 10 Geschrieben 23. Juni 2009 Autor Melden Teilen Geschrieben 23. Juni 2009 50 PCs (WinXP) und 5 Server (2K3). Zitieren Link zu diesem Kommentar
OscarWilde 10 Geschrieben 23. Juni 2009 Autor Melden Teilen Geschrieben 23. Juni 2009 Gleichzeitig ist mir aber auf dem DHCP aufgefallen, dass ich seltsame Adress leases habe, R2D2.domain.com oder Atze.domain.com oder Shakar.domain.com. Die düften da eigentlich nicht sein. Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Hallo, im Lease hast du doch eine MAC Adresse dabei welche zugeordnet ist. Findest du diese in deinem Netzwerk an einem System ... ? Zitieren Link zu diesem Kommentar
OscarWilde 10 Geschrieben 23. Juni 2009 Autor Melden Teilen Geschrieben 23. Juni 2009 im Lease hast du doch eine MAC Adresse dabei welche zugeordnet ist. Findest du diese in deinem Netzwerk an einem System ... ? Nein, die MAC Adressen kommen nicht doppelt vor, ich kann da auch kein Muster erkennen. :( Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Welches Gerät setzt Du als Firewall ein? Ist dort etwas zu erkennen? Kannst Du bei deinem AV-Programm auf den Rechnern Port 25 sperren? Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Hi, sperre ausgehenden SMTP Traffic mit Ausnahme des Exchange und schau dir die Logfiles der Cisco an. Zitieren Link zu diesem Kommentar
OscarWilde 10 Geschrieben 23. Juni 2009 Autor Melden Teilen Geschrieben 23. Juni 2009 Genau das mache ich jetzt mal, ich muss das allerdings in Auftrag geben, da es einen Managed FW ist, irgendeine Cisco ASA... Kann ich mit irgendeinem Tool im Netz evtl. aufzeichnen wer da versucht auf Port 25 zu senden? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Du kannst z.B. mal die MAC-Adressen aus dem DHCP hier eingeben: MAC Address Decoder by Stefan Frei Eventuell bekommt Du über den Hersteller raus, zu welchen Geräten die Adressen gehören. Vielleicht hat jemand ein paar VM's am laufen ? -Zahni Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Genau das mache ich jetzt mal, ich muss das allerdings in Auftrag geben, da es einen Managed FW ist, irgendeine Cisco ASA... Kann ich mit irgendeinem Tool im Netz evtl. aufzeichnen wer da versucht auf Port 25 zu senden? Sofern dein Switch port Mirroring unterstützt kannst Du den ausgehenden Datenverkehr auf einen anderen Port spiegeln und auswerten (MS network Monitor, ethereal etc.) Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 24. Juni 2009 Melden Teilen Geschrieben 24. Juni 2009 Wenn Du schon ne ASA im Einsatz hast, nutze den ASDM und schaue ins Firewall Dashboard. Da müsstest Du den Übeltäter erkennen können. Ansonsten nutze den Capture Wizard, da werden Sie auch geholfen ;-) Zitieren Link zu diesem Kommentar
OscarWilde 10 Geschrieben 24. Juni 2009 Autor Melden Teilen Geschrieben 24. Juni 2009 Danke für die vielen Antworten! Ich hatte gestern Port 25 für alle außer dem Mailserver zugemacht und der Arbeitsplatz hat sich dabei selber verraten, indem eine Meldung aufging "Proxy not aviable". Auf das Logfile der ASA warte ich noch da managed FW. Danke an alle! Frank Zitieren Link zu diesem Kommentar
Gast zzZZStonyZZzz Geschrieben 24. Juni 2009 Melden Teilen Geschrieben 24. Juni 2009 Danke für die vielen Antworten! Ich hatte gestern Port 25 für alle außer dem Mailserver zugemacht und der Arbeitsplatz hat sich dabei selber verraten, indem eine Meldung aufging "Proxy not aviable". Auf das Logfile der ASA warte ich noch da managed FW. Dann bleibt Dir ja nur noch Dein kompromittiertes Netz (aka alle Rechner) neu aufzusetzen und dann Dein Sicherheitskonzept zu überdenken (Panda Business Secure hat sich ja schonmal als wirkungslos erwiesen... allerdings sind auch die Produkte der Mitbewerber prinzipbedingt auch nicht viel mehr als Placebos). Vorher solltest Du allerdings noch herausfinden wie der Bot in Dein System gelangen konnte... Ich könnte mir gut vorstellen das Deine User mindestens Hauptbenutzer auf ihren Maschinen sind. Was mir schwer zu denken geben würde ist das der Spambot sich mittels Dialogfeld zu Wort meldet... entweder dilletantisch programmiert oder ein schlaues Ablenkungsmanöver... Im übrigen halte ich eine "manged Firewall" die man im Notfall nicht selbst bedienen oder konfigurieren kann für sinnlos. Wenn man erst mühsam einem Dienstleister erklären muß was er zu ändern hat kann es schon zu spät sein.. Gut wäre natürlich, wenn die FW zumindest in groben Zügen den SMTP-Verkehr mitgeloggt hat... Vielleicht hat der Bot ja auch das eine oder andere wichtige Word-Dokument, Excel-Sheet oder Bild als Anhang mit verschickt... Ich drücke Dir die Daumen, dass es wirklich nur ein schlecht gemachter Spambot war der Viagra-Werbung verteilt hat... Grüßle, Stonie Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.