Siebenburg 10 Geschrieben 24. Januar 2004 Melden Teilen Geschrieben 24. Januar 2004 Hallo, am Freitag ist unsere SAP Produktiv Maschine um kurz vor Acht Uhr abgestürzt. Erst gegen 13 Uhr hatten wir das System wieder am laufen da die Oracle Datenbank heftig gecrashed ist. Später fand ich heraus, dass auf fast allen Servern der RPC Dienst um die gleiche Uhrzeit beendet wurde. Auch auf mehreren Workstations im Netzwerk wurde der RPC um die gleiche Zeit beendet. Zusätzlich tauchte auf 2 Workstations der Lovsan Wurm auf welcher auch vom McAfee gelöscht wurde. Da ich auf den Servern nicht ohne weitereres mit dem Antivirus rankann, habe ich das Symantec FixBlast.exe runtergeladen und alle Server gecheckt, bingo, auf drei Servern war der Blaster bzw Lovsan.F drauf. Die Frage ist nun, wie verhindert man das in Zukunft? Das Problem ist, dass ein Teil der Server noch NT ist und die laufen unter ServicePack1 - ein Update auf 2k oder neuere SPs ist derzeit wegen verschiedenen Datenbanken nicht möglich. Zumal gegen Jahresende der Umstieg auf AD und Win2003 kommt. Die Workstatations sind NT/2000/XP und haben alle den McAfee VirusScan aktiv. Durch die Firewalls ist der Virus auf keinen Fall gekommen, wir vermuten dass ein externer Mitarbeiter den per Laptop oder USB Stick eingeschleppt hat (auf Notebooks haben die User Admin - d.h. ein Teil der Leute deaktiviert den McAfee gern). Die Idee war nun, ein Terminal zu machen wo die Notebook User erstmal ranmüssen und gecheckt wird ob Viren draus sind, der McAfee läuft und auch aktuell ist. Was würdet ihr sonst vorschlagen? Die Server kann ich physikalisch (logischerweise) nicht aus dem Netz nehmen - ein Update auf neuere SP's oder Win-Versionen kommt auch nicht in Frage. ... Achja, und kann der Lovsan.Worm.F eigentlich auf anderen Rechnern per Remote den RPC Dienst beenden? Auf den anderen Servern und Workstations wurde kein Virus gefunden - nur eben auf 3 Servern und 2 Workstations. Abgestürzt ist der RPC jedoch auf mindestens mal 20 Servern und 20 Workstations.... Wäre für ein paar Tipps und Ratschläge dankbar. Gruß phex. (Vielleicht klappt durch diese Aktion der Wechsel zu Win2003+ADS ja schneller *G*) Zitieren Link zu diesem Kommentar
CaIvin 10 Geschrieben 24. Januar 2004 Melden Teilen Geschrieben 24. Januar 2004 Puh. Wenn Du nicht die Möglichkeit hast, Patches einzufahren (wegen den Sicherheitslücken) wirst Du leider die Lücken offen haben und angreifbar sein. Remote auf anderen Rechnern den RPC-Dienst ausschalten geht nicht, aaaber: Wenn der Wurm mit der falschen Routine das OS befällt, stürzt dort der Dienst ab und der Rechner wird runtergefahren (oder stürzt komplett ab). Wenn das passiert findeste den Wurm nicht auf den Rechner, aber der Eindringversuch des Wurms hat den Rechner trotzdem ausgeschaltet. Entweder musst du nun alle WS Wurmsicher machen und sonst niemanden ans Netz lassen oder wirklich alle Medien die von draussen rein kommen (USB-Platten / Sticks, Laptops) vorher scannen. Weiss ja nicht wie aufwendig das ist. Bei uns wird der Port ... *weissgrad nichtwelcherdas ist* nicht geroutet, somit konnte auch bei uns der Wurm nicht von draussen rein. Aber durch Mitarbeiter mit Laptops (die sie leider auch zu Hause nutzen) kam der Wurm doch rein. Also ich empfehle Dir alle Geräte die updatebar sind upzudaten (<-denglisch), alle Medien zu scannen und der Umstellung der Server eine hohe Priorität zuzuordnen! Denn Windows iss zwar ganz, aber ohne Patches :shock: In diesem Sinne, CaIvin Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 24. Januar 2004 Melden Teilen Geschrieben 24. Januar 2004 Hi! Sitze hier und kann nur noch den Kopf schütteln! Wie kann man in solch einer Umgebung mit nackten Servern arbeiten? Es gibt genügend Anbieter von Virensoftware für Netzwerke, mit denen auch die Server geschützt werden! Ein Virus kommt per E-Mail durch jede Firewall! Wenn eine Datenbank ein Update der Server verhindert, dan bekommt sie auch ein Update! Sicherheit kostet nun einmal Geld, entweder durch den Einsatzt oder dann wenn sie nicht vorhanden ist! Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 24. Januar 2004 Melden Teilen Geschrieben 24. Januar 2004 Hallo, schließe mich günter an. Ein/mehrere Server mit diesen Aufgaben ohne Virenscanner ist absolut fahrlässig. Dazu fällt mit nix ein. Olaf Zitieren Link zu diesem Kommentar
hologram 11 Geschrieben 24. Januar 2004 Melden Teilen Geschrieben 24. Januar 2004 Hallo, also ich empfehle nur einen Mailsweeper einzusetzen, der nach der FW jede Mail noch mal checkt. Ansonsten schließe ich mich den anderen an. Z.B. Watchguard und in die DMZ einen Rechner mit Mailsweeper. Und dazu noch Symatec Av Serverlösung mit sep. Av Server für die Verteilung und für die Quarantine. guß holo Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 24. Januar 2004 Melden Teilen Geschrieben 24. Januar 2004 Hi ! Dazu muß aber gesagt werden, daß in diesem speziellen Fall (Lovesan) ein Virenscanner auch nicht geholfen hätte, da sich der RPC-Dienst verabschiedete, bevor der Virus auf die Platte kommt (Fehler im Wurm). @phex: Was Ihr auf jeden Fall ändern solltet, ist Euer Konzept ! Du schreibst, Ihr vermutet, daß der Virus durch einen Externen eingeschleppt wurde - die Anbindung externer/privater PC ins Firmennetzwerk solltet Ihr für die Zukunft untersagen und auch unterbinden. Die zweite Variante (USB-Stick) ist bei Lovesan unwahrscheinlich, aber bei zukünftigen Viren durchaus denkbar - also Maßnahmen dagegen ergreifen. Eure dritte Variante, die NotebookUser haben den McAfee deaktiviert als LocalAdmin - dann sind die LocalAdminRechte für dieses User unangebracht. Eine vierte mögliche Variante wäre z.B., daß sich ein User per DFÜ ins Internet einwählt aus Eurem Firmennetz, und Lovesan dadurch eingeschleppt hat. NotebookUser haben diese Möglichkeit in den meisten Fällen ! Deine Idee mit der "Schleuse" ist für den Lovesan durchaus machbar, für zukünftige Viren aber wirkungslos, oder erst wirksam, wenn ein eventueller neuer Virus auch bekannt ist. Zusammendfassend: Überdenkt Euer Sicherheitskonzept für das restliche Jahr, damit Ihr "über die Runden kommt" bis zum Upgrade. Zitieren Link zu diesem Kommentar
Bend99 10 Geschrieben 24. Januar 2004 Melden Teilen Geschrieben 24. Januar 2004 Bin zwar ein Newbie, aber mußte mich dank meines Schwiegervaters mit den Würmern ein wenig auseinandersetzen. Er hatte sich einen neuen Rechner besorgt und wollte nun gern online gehen. Nach kurzer Zeit waren zwei Würmer drauf. Mit FixBlast und Sysclean konnte ich die dann auch lokalisieren und terminieren. Nach wiederholtem Onlinezugang, waren sie dann gleich wieder drauf. Das ganze nochmal von vorn. Nach Aufspielen eines Patches für WinXP war der unsichere Port geschlossen und (auf Holz klopf) bis dato war kein Wurm mehr gesichtet. Zitieren Link zu diesem Kommentar
Siebenburg 10 Geschrieben 25. Januar 2004 Autor Melden Teilen Geschrieben 25. Januar 2004 Das das Sicherheitskonzept meiner Firma Lücken hat ist mir klar. Da ich jedoch Jungadmin bin und uns auch kein Geld zur Verfügung gestellt wird bleibt mir nix anderes übrig als bis zu W2k3 versuchen aus ******** Gold zu machen.... :/ Das Updaten aller Server, Datenbanken etc wäre mir auch am liebsten aber bevor nicht noch mindestens ein zweites mal alles abkracht sehe ich da finanziell einfach Schwarz (Traurig aber wahr!). Durch die Firewalls ist der Wurm nicht gekommen, jede eMail wird mehrfach gecheckt. Eine DMZ haben wir auch. Von der Seite sehe ich eine Probleme. Naja, wie gesagt, werde dann wohl mal anfangen die Workstations zu checken, vielleicht meinen Chef noch überzeugen dass wir für die Server noch AntiVir Software brauchen und beten dass es bis Ende des Jahres läuft (und vorher meinen Einwand bringen dass ich mit der momentanen Lösung mehr als unzufrieden bin).´ Welche AntiVir SW kann man für Server empfehlen? Vor allem auf den Servern wo R/3 und Oracle läuft? Gruß, phex Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 25. Januar 2004 Melden Teilen Geschrieben 25. Januar 2004 Hallo, deinen Ausführungen zufolge bist du ja bereit, etwas zu ändern. Ich sehe aber das Problem eher bei deinem Chef. Mach ihm klar, dass bei euch die EDV das Rückgrat des Betriebes ist und dass, wenn für die notwendigsten Sachen der EDV kein Geld da ist, der Betrieb, der davon abhängig ist, zusammenbrechen wird (früher oder später). Wenn er meint, es sei kein Geld da, mach ihm klar, dass EDV alles ist und auch alles zusammenbrechen lassen kann (so wie beinahe geschehen). Stelle ein Konzeptz auf, wonach Laptop-Besitzer keinen freien Zugang zum Netz bekommen, ausser sie haben Virenscanner (AKTUELL!!!) und Firewall laufen. Verlange, daraus eine Betriebsvereinbarung zu machen, die bindend ist! Verbanne ebenso USB-Sticks und externe Speichermedien aus eurem Betrieb und entziehe den Usern Admin-Rechte auf den PCs und Laptops. Virenscanner für die Server findest du bei fast allen Anbietern. Nimm einen, der auch automatisierte Updates für die festen Clients bietet (Client/Server-Lösung). Z. B. McAfee oder GData. Mache auch einen Quercheck eurer Firewalls und überlege, ob die Server eine eigene DMZ bekommen, so dass RPC-Ports aus dem internen Netz nicht angesprochen werden können. Nimm dir zur Not einen IT-Berater dazu, wenn du unsicher bist. Meines Erachtens kannst du nur so deinen Hintern retten, wenn nochmal etwas passiert. Sonst bist möglicherweise bald raus (was ich nicht hoffen will, aber der EDVler bekommt dann die Prügel zuerst). Grüße und viel Erfolg Olaf Zitieren Link zu diesem Kommentar
Siebenburg 10 Geschrieben 26. Januar 2004 Autor Melden Teilen Geschrieben 26. Januar 2004 Soooo... Guten Morgen. Nun geht's gleich zum Chef in Besprechung. Werde mal als kurzfristige Lösung folgende Punkte ansprechen: - Firewall auf allen Notebooks. Will ich schon lange machen, hat immer geheissen dass es unnötig sei *grml*. Meiner Meinung nach wäre eine billige FW immer noch besser als gar keine. - Script etc machen wo McAfee auf den Clients prüft (VDAT aktuell) - Auf den Servern AntiVirus SW installieren. VirusScan oder NetShield von McAfee - zumal die Lizenzen eh im Haus sind. Fragt mich nicht warum der McAfee nicht mit dem SAP Server zusammen laufen soll ?!?! Muss ich mal abklären wo da genau das (angebliche?) Problem liegt. Längerfristig werde ich empfehlen: - Update der Firewall (kommt ohnehin nächsten Monat wegen einrichten einer neuen VPN Verbindung) - Server ggf. in eine DMZ packen - soweit das möglich ist - Ab Sommer dann Aufbau einer zweit-Domäne mit ADS und W2k3 Server. Und gegen Ende des Jahres dann Wechsel auf die neuen Server. - Update der pre-2k Workstations damit die AD Domäne bald in den einheitlichen Modus geschalten werden kann. Besten Dank noch mal. Ich werd euch auf dem laufenden halten. Gruß phex PS: Mein Job wird wohl nicht so schnell gefährdet sein. Wie gesagt, ich bin Jungadmin und hab noch nicht die Verantwortung - vorher rollen andere Köpfe. Aber das will ich ganz sicher auch nicht. Und irgendwie bin ich im Gegensatz der "alten" Admins noch nicht so verbohrt und gewillt das Gesamtsystem zu ändern. *g* Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 26. Januar 2004 Melden Teilen Geschrieben 26. Januar 2004 Hört sich gut an, viel Erfolg! Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 26. Januar 2004 Melden Teilen Geschrieben 26. Januar 2004 Dein Konzept ist ok ! Zieh´s durch - sonst bleibst Du der "Jungadmin", was wir ja alle nicht wollen ! ;) Und bleib hart bei den Notebooks ! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.