AchimS 0 Geschrieben 30. Mai 2014 Melden Teilen Geschrieben 30. Mai 2014 Hallo zusammen, ich hab einen Brief von der Telekom erhalten, dass Computer in unserem Netzwerk Teil von Bot-Netzen seien. Man hätte da "gesicherte Hinweise." Das letzte Mal hab ich diese Nachricht eigentlich ignoriert, weil auf allen unseren 15 Rechnern ESET Business und zusätzlich teilweise MS Essentials läuft, aber wenn da jetzt schon der zweite Brief kommt, muss ich ja 'aufschrecken'. Gibt es denn ein Mittel, wie man als Admin rausfinden kann, ob einer der PCs im Netzwerk infiziert ist? Lässt sich das am Datenverkehr feststellen? 15 PCs sind zwar wenig, aber ich mag trotzdem nicht an alle einzeln hingehen, Zusatzsoftware installieren und überall auf "Jetzt suchen" klicken. Da pflaumen mich auch die Mitarbeiter an, wenn ich das mache :-/ Ich hoffe, ihr könnt mir weiterhelfen und bedanke mich im Voraus :-) Achim Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 30. Mai 2014 Melden Teilen Geschrieben 30. Mai 2014 Das Problem bei sowas ist, dass es sehr schwer feststellbar ist. Und vor allem muß es keiner deiner 15 Firmen-PCs sein, sondern könnte auch ein mobiles Gerät eines Kollegen sein (Handy, Pad, Notebook), was sich nur sporadisch verbindet. Habt ihr eine Firewall im Einsatz? Dann könnte man mal versuchen rauszufinden, was an Traffic so läuft. Oftmals sind solche Warnungen der Provider aus gutem Grund da, wenn nämlich Steuerkommandos für Bots und deren Rückmeldungen festgestellt werden. Dazu brauchts aber Zeit und vor allem sinnvolle Logfiles. Steht im Telekom Brief denn ggf. noch etwas mehr drin? Eventuell kann man die ja auch fragen, wenn sie sowas schicken, sollten sie einem ja evtl. auch helfen können. Bye Norbert Zitieren Link zu diesem Kommentar
Davidxy 2 Geschrieben 30. Mai 2014 Melden Teilen Geschrieben 30. Mai 2014 Sehr schwer festzustellen. Der Bot kann auch über gängige Ports (zb. Port 80) kommunizieren. Niemand weiss wie sich der Bot verhält. Vielleicht läuft über einen unbekannteren Port besonders viel Traffic. Ich würde wie gesagt den Traffic beobachten, alle Rechner scannen (sind nur 15) und auf den aktuellsten Stand bringen (auch Third-Party-Software). Notfalls nach Feierabend (mit dem Chef reden) Ausserdem würde ich überall die Passwörter resetten und zur Neueingabe auffordern (DC ?). Die Passwortrichtlinie würde ich auch verschärfen und den Benutzern nur die absolut notwendigsten Rechte geben. Habt ihr überhaupt einen DC ? ESET + MS Essentials gleichzeitig ? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 30. Mai 2014 Melden Teilen Geschrieben 30. Mai 2014 Als erstes SMTP verbieten für alles was es nicht benötigt und dann in den Logs schauen was da versucht auf Port21 rauszugehen. Bei Port80/443 Sachen evtl. temporär einen Squid dazwischenhängen und mit Whitelist arbeiten für 1-2 Tage um herauszufinden was da passiert. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Mai 2014 Melden Teilen Geschrieben 30. Mai 2014 Und alle Rechner mal mit einem Offline-Scanner durchsuchen: z.b. http://www.avira.com/de/downloads#tools Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 31. Mai 2014 Melden Teilen Geschrieben 31. Mai 2014 @Nemix: SMTP läuft auf Port 25. Den gilt es zu beobachten. @AchimS: Microsoft Security Essentials ist nur für Kleinunternehmen mit bis zu 10 PCs kostenfrei verfügbar. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.