Kompromittiertes System: SBS 2003 - wie geht's weiter?

[martins 11]

Hallo,

 

ein Kunde hat das Problem, dass sein SBS 2003 (Standard) mit einem Virus kompromittiert wurde. Der Virenscanner, der ursprünglich auf dem System installiert gewesen ist, wurde von einem Mitarbeiter (der für die IT zuständig war) deinstalliert. Prompt hat sich offenbar ein Virus / Trojaner eingenistet (Win32/Kryptik). Nach nun erfolgter Neuinstalltion eines Virenscanners und diverser Anti-Malware-Software auf dem System, wurde der Server von dem Ungeziefer auch befreit. Da ich trotz der Funde und auch der offensichtlichen Beseitigung skeptisch bin, würde ich empfehlen, dass das System neu installiert wird. Zur Begründung gegenüber dem Geschäftsführer, dass das System neu installiert werden muss, würde ich gern offizielle Dokumente (z.B. von Microsoft oder dem BSI oder?) anführen, die eine Neuinstallation unabdingbar machen. Ich gehe davon aus, dass ihr das auch so seht!?

 

Wie ist eure Meinung dazu? Habt ihr eine seriöse Quelle, die eine Neuinstallation des Servers ebenfalls empfiehlt, ggf. auch nicht empfiehlt?

 

Danke.

 

Gruß

Martin

bearbeitet 8. Januar 2011 von martins

[carlito 10]

Zur Begründung gegenüber dem Geschäftsführer, dass das System neu installiert werden muss, würde ich gern offizielle Dokumente (z.B. von Microsoft oder dem BSI oder?) anführen, die eine Neuinstallation unabdingbar machen.

 

Wozu braucht man dafür "offizielle Dokumente"? Server neu installieren und Daten zurücksichern. Virenscanner installieren nicht vergessen. ;) Alles andere widerspricht dem gesunden Adminverstand.

[Dr.Melzer 191]

Du bist der Experte. Wenn dein Kunde dir nicht traut soll er sich jemanden für den Job suchen dem er vertraut.

[blub 115]

Hallo,

 

Der Geschäftsführer sollte sich generell über die IT-Prozesse im Haus Gedanken machen

 

- Ein Mitarbeiter entfernt mal so den Virenscanner (fehlendes Changemanagent, Dokumentation?)

- niemandem fällt der fehlende, nicht funktionierende Scanner auf (Monitoring?)

- Virenscanner sind wichtig, klar. Trotzdem ist zu klären, wie auf einen Server ein Virus gelangen kann. Da hätten vorher weitere Schutzmechanismen greifen müssen)

 

Der Geschäftsführer muss sich entscheiden, ob er seine IT einigermassen professionell betreibt, oder auf eine Bastellösung baut.

Wenn jemand totz aller Warnungen unbedingt mit dem Kopf voran gegen eine Betonmauer rennen will, dann soll er halt. Manchmal führt erst eine blutige Nase zum notwendigen Erkenntnisgewinn.

 

blub

[martins 11]

Die Firma hatte geplant, dass der Server Ende des Jahres ersetzt werden soll. Der Tausch wird nun vorgezogen und in der nächsten oder übernächsten Woche soll ein neues System mit Windows SBS 2008 integriert werden. Nun möchte ich nicht die Standard-Migration durchführen, da ich nicht ausschließen kann, dass das Alt-System noch kompromittiert ist. Ich ziehe es vor, die Domäne komplett neu aufzubauen. Das ist eigentlich nicht DAS Problem, da es sich nur um 8 Clients handelt und eine sehr übersichtliche AD- und Berechtigungsstruktur existiert.

 

Aber: Wie stelle ich es am geschicktesten an, dass ich die Clients (Windows XP und Windows 7) möglichst wenig anfassen muss? Die Domäne würde ich identisch benennen (Firma.local). Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge? Ich nehme an, dass die individuellen Benutzereinstellungen verloren gehen.

 

Wie würdet ihr die Exchange-Daten migrieren? PST-Dateien lokal auf den Clients erstellen und dann die Inhalte in die neuen, leeren Postfächer kopieren?

 

Gruß und Danke

Martin

[GuentherH 61]

Hallo.

 

Die Domäne würde ich identisch benennen (Firma.local).

 

Dann muss sowieso der alte Server vom Netz genommen werden

 

Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge

 

Nein.

 

Wie würdet ihr die Exchange-Daten migrieren?

 

Wenn die Postfächer < 2 GB sind, dann mit Exmerge, ansonsten in Outlook exportieren und dann auf dem neuen Exchange importieren.

 

LG Günther

[dmetzger 10]

Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge? Ich nehme an, dass die individuellen Benutzereinstellungen verloren gehen.

 

Wenn ich mich recht erinnere, ist der Grund des Servertausches ein entferntes Virus, von dem man nicht weiss, ob es nicht doch Spuren hinterlassen hat. Wenn das Misstrauen diesen Schricht rechtfertigt und begründet, müssten konsequenterweise auch die Clients vollständig frisch aufgesetzt werden, ohne zuvor Berührung mit dem neuen SBS zu haben. :shock:

 

Wenn Du die Clients einfach aus der alten Domäne nimmst und dann der neuen hinzufügst, ohne sie neu zu installieren, könntest Du Dir gleich den Servertausch sparen. Oder einen anderen Grund dafür finden. Oder ist sich der Geschäftsführer absolut sicher, dass sich das Virus nicht auf den einen oder anderen Client verbreitet und dort eingenistet hat? :rolleyes:

[martins 11]

Die Clients die befallen waren (5), werden ebenfalls ersetzt. Die verbleibenden Systeme (die wohl nicht kompromittiert gewesen sein sollen) können nicht so "en passant" ersetzt, bzw. neu installiert werden, da diese Eigentum der jeweiligen Mitarbeiter sind. Diese sind nur sehr sehr selten im Büro und das müsste mit denen im Voraus abgesprochen / organisiert werden. Aber dein Einwand ist gerechtfertigt. Danke für den Hinweis.

[martins 11]

Wenn die Postfächer < 2 GB sind, dann mit Exmerge, ansonsten in Outlook exportieren und dann auf dem neuen Exchange importieren.

 

Per Powershell "import-mailbox"?

 

 

Gruß

Martin