bind_maik 10 Geschrieben 27. Juli 2006 Melden Teilen Geschrieben 27. Juli 2006 Hallo zusammen, ich habe ein Problem bzgl. Viren auf Windows Terminal Servern (Citrix) unter Windows 2003 Server SP1 / aktuellstes Patch Level. Hat jemand eine Idee, wie ich feststellen kann/tracen kann wie und auf welchem Wege Viren auf die Server gelangen? Die Server stehen nicht direkt im Internet, die User surfen über einen Proxy, der Traffic von Intern (LAN) nach extern (WAN) ist gesperrt. Ich frage mich die ganze Zeit wie es sein kann dass trotzdem noch Viren auf den Server gelangen...Meine einzige Idee ist, dass die User beim surfen Skripte ausführen o.ä. die die Viren auf den Server bzw. in die Terminal Session befördern. Allerdings frage ich mich dann, wie ein Virus in das System32 gelangen kann, denn kein User hat Zugriff auf das Verzeichnis und selbst ein Skript kann doch nicht (ok, wenn als Admin angemeldet schon) auf das System32 durchgreifen...Hat jemand eine Idee wie die Viren auf den Server gelangen und wie ich das verifizieren/beobachten kann. Im Moment hab ich überhaupt keine Idee (außer den bereits erwähnten Internet Explodierer und Skripte)......Zur Info, ich setze Trend Micros Server Protect auf dem Terminal Server ein zur AV. Danke, Maik Zitieren Link zu diesem Kommentar
diceone 10 Geschrieben 8. August 2006 Melden Teilen Geschrieben 8. August 2006 hallo maik. ich würde mal ein NIDS (network intrusion detection system) installieren und den netzwerkverkehr mitloggen. daraufhin würde ich die logs aufmerksam überprüfen. ferner würd ich den/die server trotzdem noch mal nach schwachstellen anhand eines security scanners (Nessus oder so) testen. trotz hohem patchlevel kann irgendwas vergessen worden sein. gruss Zitieren Link zu diesem Kommentar
onewayticket 10 Geschrieben 20. August 2006 Melden Teilen Geschrieben 20. August 2006 Hallo, wie sieht es denn mit Usb-Sticks, CD / DVD Rom´s und der lieben E-Mail aus? Hast Du da für die User einen Riegel vorgeschoben? häufig ist diese Schwachstelle nicht bedacht. Ansonsten wie Diceone schreibt NIDS HIDS eben mehrstufige Verteidigung ein guter Gedanke ist auch AV Produkte verschiedener Hersteller zu Benutzen. MfG Onewayticket Zitieren Link zu diesem Kommentar
bind_maik 10 Geschrieben 26. September 2006 Autor Melden Teilen Geschrieben 26. September 2006 hallo maik. ich würde mal ein NIDS (network intrusion detection system) installieren und den netzwerkverkehr mitloggen. daraufhin würde ich die logs aufmerksam überprüfen. ferner würd ich den/die server trotzdem noch mal nach schwachstellen anhand eines security scanners (Nessus oder so) testen. trotz hohem patchlevel kann irgendwas vergessen worden sein. gruss Hab ich auch schon gedacht / gemacht, aber: Muss / sollte das IDS nicht auf dem Gateway zum WAN laufen? Ich habe es leider nur auf einem Host in der DMZ installieren können (Linux / Ettercap) und dort ist nichts auffälliges passiert. Auf dem Gateway läuft zum WAN (Astaro) läuft sowieso ein IDS, aber dies gibt in dieser Hinsicht keinen Aufschluss auf den Eingang von Viren! Und: ja, ich kann USB und Mail ausschliessen. Nessus könnte ich noch installieren! Gibt es eine Windows Version? Gruß und Danke Zitieren Link zu diesem Kommentar
diceone 10 Geschrieben 12. Oktober 2006 Melden Teilen Geschrieben 12. Oktober 2006 jepp es gibt ne windows version mitlerweile. is zwar glaub ich noch beta aber funzt perfekt! Nessus einfach mal den downloadbereich checken! nach einer kleinen reg kriegt man dann den download!!! aber bitte mit vorsicht benutzen! ansonsten kann ich nur die knoppix live cds von Main Page - Remote-exploit.org empfehlen. auf der auditor live cd ist nessus gleich mit drauf. gruss Zitieren Link zu diesem Kommentar
MikeKellner 10 Geschrieben 13. Oktober 2006 Melden Teilen Geschrieben 13. Oktober 2006 Interessant wäre welche Viren Du auf dem server hast. Anhand des Virus können seine Verbreitungswege doch nachgelesen werde. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.