Hallo,

sitze gerade in einer Firma, deren Netzwerk von einem Virus/Trojaner befallen ist und ein/mehrere PCs als Spamrelay genutzt werden. Vor ein paar Tagen ist die 2. Mahnung der Telekom eingetroffen, dass der Spamversand doch bitte eingestellt werden soll. Somit müsste schnellstmöglich der infizierte PC identifiziert werden. Leider bin ich kein wirklicher Experte auf dem Gebiet und frage mich, wie ich weiter vorgehen soll. Wir haben bereits die Windows-Firewall nachts alle Verbindungen protokollieren lassen und nichts verdächtiges gefunden. Wireshark werde ich über das WE auch einsetzen, doch welche Filter sollte ich hier verwenden? Reicht es, wenn ich dort die üblichen Mailports (25, 110, 465 usw) scanne, oder schicken die Trojaner ihren Spam über andere Ports?
Knoppix habe ich auch hier. Würde dann mit clamav die PCs scannen. Allerdings müsste ich dann ja immer von der Live-CD booten. Habe provisorisch mal Virtual PC installiert und Knoppix darin gebootet. Gibt es hier vielleicht eine Möglichkeit, das Host-System zu scannen?


Bin für Tipps und Anregungen dankbar!

Knoppix habe ich auch hier. Würde dann mit clamav die PCs scannen. Allerdings müsste ich dann ja immer von der Live-CD booten. [

Jo, wäre auch die beste Möglichkeit, weil



Habe provisorisch mal Virtual PC installiert und Knoppix darin gebootet. Gibt es hier vielleicht eine Möglichkeit, das Host-System zu scannen?

Theoretisch ja, wenn man in Virtual-PC ähnlich wie bei VirtualBox oder VMware Die Festplatte des wirts als "shared Folder" im Gast einbinden kann.

Ob man dem Ergebnis aber trauen kann, wage ich schwer zu bezweifeln, wer sagt Dir, daß der Schädling nicht den Host (und damit vielleicht das laufende Virtualisierungsprogramm) soweit manipuliert hat, daß die Ergebnisse verfälscht sind?

So lange ein potentiell infiziertes System die "laufende Basis" Deines setups darstellt, ist das Ergebnis nicht vertrauenswürdig.

Vor ein paar Tagen ist die 2. Mahnung der Telekom eingetroffen, dass der Spamversand doch bitte eingestellt werden soll.

Als Sofortmassnahme kannst Du auf der Firewall alle ausgehenden Verbindungen auf Port 25 Sperren. Für den Mailserver müsstest Du noch eine Ausnahmeregel erstellen falls dieser im selben Netz steht.
Sollte kein zentraler Mailserver verwendet und Mails direkt von den Clients versendet werden müsstest Du alle Anfragen zum Mail Relay des Providers zulassen.


Wireshark werde ich über das WE auch einsetzen, doch welche Filter sollte ich hier verwenden? Reicht es, wenn ich dort die üblichen Mailports (25, 110, 465 usw) scanne, oder schicken die Trojaner ihren Spam über andere Ports?

Üblicherweise reichen die SMTP Ports. POP3- Ports brauchst Du nicht zu belauschen denn SPAM wird ja in Deinem Fall versendet, nicht empfangen.

Knoppicillin wäre evtl. nicht schlecht wenn du die verdächtigen PCs eingrenzen konntest.. dummerweise sieht die Lizenz keinen kommerziellen Einsatz vor ...

http://www.avira.com/de/support/support_downloads.html

Die Avira Rettungskonsole.

Nettes Tool. Wird laut Beschreibung mehrmals täglich aktualisiert. Damit brauchst du nur eine CD brennen und dann kannst du loslegen.

http://www.avira.com/de/support/support_downloads.html

Die Avira Rettungskonsole.

Nettes Tool. Wird laut Beschreibung mehrmals täglich aktualisiert. Damit brauchst du nur eine CD brennen und dann kannst du loslegen.Nettes Tool - Ja.
Ist die beste Rescue-CD, die ich bisher in der Hand hatte.

Das mit der Aktualisierung stimmt nicht mehr. Die haben auch auf Online-Aktualisierung umgestellt. Du brauchst also einen funktionierenden Internet-Zugang zum scannen oder Du aktualisierst Dir die CD von Hand.

Also nur auf die Avira CD würde ich mich nicht verlassen, da diese leider nicht alles findet.
Durfte ich selber an mehreren massiv verseuchten Kunden PCs feststellen.

Ich hab das ganze dann kombiniert. (-:
Avira, Kaspersky, Panda und knoppicillin.

Allerdings wächst der Aufwand dadurch proportional. :rolleyes:

Also da wäre wohl eine Neuinstallation am sinnvollsten. Solchen Kisten kann man nicht mehr vertrauen.

Also da wäre wohl eine Neuinstallation am sinnvollsten. Solchen Kisten kann man nicht mehr vertrauen.

Jedes Antiviren Programm hat so seine Schwächen. Von daher müsstest dann du bei jedem befallenen Rechner eine Neuinstallation machen.

.. und bräuchtest quasi ein zweites LAN.. eins in dem die "dreckigen" und eines für die "sauberen" Kisten da eine "saubere Kiste" ja sonst gleich wieder über das LAN befallen werden kann...

Okay, danke mal für die schnelle Hilfe! Zu Knoppillicin habe ich leider auf die Schnelle nur Uralt-Links gefunden, daher hatte ich den Gedanken bereits verworfen. Aber werde dann nochmals genauer suchen. Auch die hier angeführte Avira-Live-CD habe ich schon heruntergeladen. Hätte ich auch mal getestet, aber wenn ich die Antworten hier lese, scheint diese CD ja sehr brauchbar zu sein.

Die Mails werden direkt von den Clients versendet, kann da leider nichts eingrenzen. Deshalb gestaltet sich die Suche auch etwas schwierig und umfangreich.

Eine Neuinstallation wird sowieso durchgeführt. Dann allerdings nicht mehr von mir - und dieses mal hoffentlich mit einer richtigen IT-Infrastruktur (und nicht mit Windows XP Media Editions und Home-Versionen...).

Knoppicillin "muttu kaufen" https://www.heise.de/kiosk/special/ct/09/06/

Die 8,90 Euro ist sie aber sicher wert. Ich würde bei mehreren PCs von einem garantiert nicht infizierten PC unter Windows aus die Signaturen mit dem Signaturlader runterladen und dann bei Knoppicillin immer mit dem USB Stick aktualisieren..

Knoppicillin "muttu kaufen" https://www.heise.de/kiosk/special/ct/09/06/

Es gibt auch Suchmaschinen die den Weg zum .iso weisen ;)

http://www.google.de/search?hl=de&client=firefox-a&rls=com.ubuntu:de:unofficial&hs=YFK&ei=RefRSvfUNMmPsAaplYmPBA&sa=X&oi=spell&resnum=0&ct=result&cd=1&ved=0CAsQBSgA&q=knoppicillin+iso&spell=1

mfg
cane

Die Mails werden direkt von den Clients versendet, kann da leider nichts eingrenzen. Deshalb gestaltet sich die Suche auch etwas schwierig und umfangreich.

In kleinen Firmen ist dies durchaus üblich. Dann ist als Mail Relay im MUA normalerweise bei allen der gleiche SMTP Server eingetragen. Dieser verteilt die Mails letztlich an die eigentlichen Ziele.

Diesen Relay Server müsstest Du bei der Firewall ausklammern. Alle anderen darfst Du getrost blocken. Spambots versenden AFAIK ihre Mails meist direkt an die Zielserver, würden also an der Firewall scheitern.

@Cane : das hat Takeshi bereits getan, ich vor längerer Zeit auch: die .iso s die du findest sind ältere (dein Link: 3.1 und 5.0, aktuell: 7).

Der "Gag" bei der Knoppicillin ist dass du ein Jahr lang die aktuellen Virensignaturen der drei beteiligten Hersteller (Avira, Kaspersky, Bitdefender) erhältst.. somit nützt dir ein älteres Knoppicillin nicht wirklich was.. wenn man etwas komplett kostenloses benötigt (oder wegen des Wochenendes nicht schnell genug an Knoppicillin rankommt) wäre es besser ein Knoppix auf einen Memory Stick zu installieren und ein oder zwei aktuelle freie Virenscanner mit dazu zu installieren ...


3 Scanner für 9 Euro.. auf einem Linux basierenden Live System.. da greife ich jedes Mal zu ....

In kleinen Firmen ist dies durchaus üblich. Dann ist als Mail Relay im MUA normalerweise bei allen der gleiche SMTP Server eingetragen. Dieser verteilt die Mails letztlich an die eigentlichen Ziele.

Ich glaube, Du stellst Dir das hier etwas zu durchdacht vor. Das "Netzwerk" hier haben Leute eingerichtet, die nicht mal wissen, dass es unter Windows ein Startmenü gibt (traurige Wahrheit). Obwohl es hier sogar einen Server und eine Domäne gibt, haben wir hier zig Windows XP Media-Editions oder Home-Editions rumfliegen. Mailkonten richtet sich (sofern er es kann) der User selbst an, usw usw usw...

Die Mailkonten werden von einem externen Mail-Hoster verwaltet. Dieser ist einfach an einigen PCs direkt als Mailkonto in Outlook Express eingetragen. Darüber werden jedoch keine Spam-Mails verschickt, das habe ich schon nachgeprüft. D.h. der wird Spam direkt von hier aus verschickt - und nicht über den in Outlook eingetragenen SMTP-Server.

Sehe das Problem genau so wie Newbie. Für Knoppilicin gibt es keinen aktuellen Virenschutz. Werde also tatsächlich mal das mit Knoppix auf dem USB-Stick versuchen.

Die Mailkonten werden von einem externen Mail-Hoster verwaltet. Dieser ist einfach an einigen PCs direkt als Mailkonto in Outlook Express eingetragen. Darüber werden jedoch keine Spam-Mails verschickt, das habe ich schon nachgeprüft. D.h. der wird Spam direkt von hier aus verschickt - und nicht über den in Outlook eingetragenen SMTP-Server.

Sag ich doch. Port 25 ausgehend sperren, den in Outlook (Express) eingetragenen SMTP Server ausklammern und gut ist. So sperrt Dir der Provider nicht den Anschluss und Du hast Zeit das Problem zu lokalisieren.

Wie siehts eigentlich aus? Schon fündig geworden? Oder wurde der Anschluss schon gesperrt?

@Takeshi:Jetzt ist Montag. Samstag ging das nicht... jetzt würde ich einfach ans Kiosk gehen und mir die C't Security mit den aktuellen Virenscannern holen. Dann die aktuellen Signaturen mit dem enthaltenen Windows Programm einmal runterladen und auf nen Stick, das spart bei mehreren PCs ganz nett Zeit (vor allem die Kaspersky Signaturen dauern ganz schön lange).

Das ist weniger Aufwand als die Knoppix-Notfalllösung....

Also aktueller Stand der Dinge:
Anschluss noch nicht gesperrt, denke mal dass wir hier noch 2 Wochen Zeit haben. Die anderen Mahnungen gingen auch erst nach 3 Wochen Spammerei raus.

Einen PC scanne ich gerade mit Knoppix & Clamav. Heute Abend gehe ich dann mal an den Kiosk und schaue mich nach der aktuellen c't Security um. Dann werde ich einfach beide Versionen verwenden.

Dummerweise kann ich auch nicht den Port 25 sperren, da wir mit unseren Auftraggebern ständig in E-Mail-Kontakt stehen müssen. D.h. wir bekommen die Aufträge per Mail und senden die Rückmeldungen ebenfalls per Mail.

Dummerweise kann ich auch nicht den Port 25 sperren, da wir mit unseren Auftraggebern ständig in E-Mail-Kontakt stehen müssen. D.h. wir bekommen die Aufträge per Mail und senden die Rückmeldungen ebenfalls per Mail.

Na genau deswegen sollst Du ja den SMTP Provider von der Regel ausklammern.

Herein kommen Mails sowieso über POP3 oder IMAP, sind also von der Regel nicht betroffen. Raus gehen sie alle über den selben Mailprovider und dessen SMTP Relay Server. Diesen von der Regel ausklammern, den Rest sperren und gut ist.

Ich hab schon erlebt wie Chefs reagieren wenn plötzlich der komplette Zugang gesperrt ist. Ist nicht schön sag ich Dir... :ugly:
Zumindest bei uns geht dies je nach Spamaufkommen innert Stunden.

Mit Knoppix hätte ich eher Avira oder AVG verwendet, Clamav ist zwar komplett frei, hat aber eine relativ schlechte Signaturerkennung.

Ich würde beim Einsatz von Knoppicillin keine weiteren Scans durchführen.. mit Avira, Bitdefender und Kaspersky nacheinander .. das reicht dann eigentlich ... ;-)

Ich würde beim Einsatz von Knoppicillin keine weiteren Scans durchführen.. mit Avira, Bitdefender und Kaspersky nacheinander .. das reicht dann eigentlich ... ;-)

Da wäre ich mir nicht sicher. 100 % Ruhe hast du nur bei Neuinstallation.

Bei der oben genannten Arbeitsweise wird die Ruhe aber nicht lange halten.

OK, so hatte ich das nicht gemeint:

100 % Ruhe: Neuinstallation. Und zwar streng genommen alle Rechner im Netz.


Knoppicillin mit seinen drei Scannern reicht eigentlich für den Scan aus... das wollte ich damit sagen. Da muss man dann nicht nochmal mit ClamAv drüber ;)

ClamAV ist frei. Sogar erkennungsfrei :)

Im Vergleichstest musste man nur die ct auf den Kopf stellen, dann lag ClamAV vorne.

Oder noch fieser ausgedrückt: wenn ClamAv sagt "die Platte ist sauber" dann hat das für mich etwa so viel Aussagekraft wie Blüms "die Renten sind sicher" :ugly:

Ein Virenscanner bringt doch überhaupt nichts mehr - jeder 12 Jährige kann beliebige Schädlinge per Packprogrammen so modizizieren das sie KEIN virenscanner erkennt.

Habs selbst mal getestet, ist erschreckend trivial.

Deswegen Neuinstalieren und diesmal sauber aufsetzen so das soetwas gar nicht erst wieder passiert. Alles andere ist halbgar.

mfg
cane

Die bleiben dann ausführbar ? Eigentlich sollten die Scanner doch auch in Archiven nachsehen, und in der Regel kommen doch Schadprogramme aus Bausätzen zum Einsatz ?

Die bleiben dann ausführbar ? Eigentlich sollten die Scanner doch auch in Archiven nachsehen, und in der Regel kommen doch Schadprogramme aus Bausätzen zum Einsatz ?

Wir sprechen hier nicht von ZIP Archiven.

Ein Einstieg:
http://opus.haw-hamburg.de/volltexte/2007/367/pdf/Dipl_morgen_c.pdf

Es ist heutzutage trivial fertige Malware so zu verändern das KEIN Virenscanner Sie erkennt.

Reality sucks ;)

mfg
cane

Bei der oben genannten Arbeitsweise wird die Ruhe aber nicht lange halten.

Deswegen Neuinstalieren und diesmal sauber aufsetzen so das soetwas gar nicht erst wieder passiert.

Das werde ich aus diversen Gründen (hat mit der Arbeitsweise, dem Umgang den MA gegenüber uvm. zu tun) nicht mehr machen. Zumal es wirklich recht sinnlos wäre, da die PCs und das Netzwerk innerhalb kürzester Zeit wieder ähnlich aussehen würde. Nur zur Info: die Idee mit der c't ist daran gescheitert, dass der Chef das Geld für das Magazin nicht ausgeben möchte :ugly:

Ein Scannen der PCs ist das Letzte, was ich in dieser Fa. noch machen werde. Habe auch gerade etwas gefunden, ironischerweise auf dem PC der Person, die am lautesten geschrien hat :-D Mal sehen, ob noch mehr kommt...

Also unter den Umständen.... würde ich es bei dem Scan mit ClamAV belassen... und guck dass du nen neuen Job hast wenn die Post den Laden endlich vom Internet abklemmt ;-)

@Cane: danke für den Link.. sehr interessant.. werde das bei Gelegenheit mal genauer durchlesen...