Hallo,
Mein System:
NT4-Server mit Mailserver David6 von Tobit.
W2k-Server mit Serverprotect, Pattern 747
Der Wurm wird befindet sich in David in Postman/In, wird erkannt, kann von Serverprotect aber nicht gelöscht werden.
Im Ergebnis bekomme ich mehrere tausend Protokolleinträge, so daß mir bald die Platte voll läuft. Trend-Micro ist dermaßen überlastet, daß ich von da keine Hilfe erwarten kann. Hat jemand ne Idee, außer den Mailserver abzuschalten?
Danke, Rainer
Der Wurm wird befindet sich in David in Postman/In, wird
erkannt, kann von Serverprotect aber nicht gelöscht werden.
Warum, wenn du doch weisst, wo sie sich befindet, löschst du die Datei nicht manuell? Und was spricht dagegen, den David kurz zu beenden? Ist natürlich blöd, wenn man nur einen MX hat, aber die Aktion dauert ja wohl kaum länger als ein paar Sekunden.
Gruss,
Schorsch
Problem scheint gelöst
Hallo,
inzwischen habe ich Trendmicro telefonisch erreicht.
Kommentar; falsches Produkt. Serverprotect hilft da nicht, ‚Interscan Massaging Security Service‘ einsetzen.
Da sind wir beim Kauf falsch beraten worden. ;-(
Also neu kaufen.
cu Rainer
Hallo Schorsch,
das habe ich heute schon drei mal gemacht. 
Der Wurm kommt aber dauern neu und jedes mal habe ich das selbe Problem. Ich sitze schon den ganzen Tag am Server und meine andere Arbeit bleibt liegen. ;-(
OK, Du siehst ja etwas weiter oben jetzt die Lösung, ‚IMSS‘ kaufen.
Danke für die Hilfe.
cu Rainer
Hallo,
OK, Du siehst ja etwas weiter oben jetzt die Lösung, ‚IMSS‘
kaufen.
Nur um eine Mail zu löchen? Das nenne ich Geldverbrennung.
Gruß,
Sebastian
Hallo,
Nur um eine Mail zu löchen? Das nenne ich Geldverbrennung.
nein, es geht nicht um eine Mail, sondern um die hunderte, die nachkommen werden. Erstens bremst das den Server aus, zweitens kostet meine Arbeitszeitz auch Geld.
cu Rainer
Hallo,
Nur um eine Mail zu löchen? Das nenne ich Geldverbrennung.
nein, es geht nicht um eine Mail, sondern um die hunderte, die
nachkommen werden.
Ich sehe zwar nicht den Unterschied, weshalb ein Programm, was eine Mail löscht, nicht hundert gelöscht bekommt, aber vielleicht ist das die „Single-Mail-Lizenz“
zweitens kostet meine Arbeitszeitz auch Geld.
Da würde ich Dir voll recht geben.
Gruß,
Sebastian
steh ich auf dem Schlauch? …
Ich sehe zwar nicht den Unterschied, weshalb ein Programm, was
eine Mail löscht, nicht hundert gelöscht bekommt, aber
vielleicht ist das die „Single-Mail-Lizenz“
… oder hast Du’eine Mail’ geschrieben?
cu Rainer
Hallo,
inzwischen habe ich Trendmicro telefonisch erreicht.
Kommentar; falsches Produkt. Serverprotect hilft da nicht,
‚Interscan Massaging Security Service‘ einsetzen.
Da sind wir beim Kauf falsch beraten worden. ;-(
Wieso? So ein „Massaging Service“ hätt’ ich auch gern. Natürlich nicht für den Mailserver… Aber mein Arbeitgeber gönnt mir ja nix.
Also neu kaufen.
Ja. Okay. Kost’ ja praktisch nix. Ich sichere meine Mailserver mit f-prot ab. Kost glaub ich 1000,-US$ ggüber f-prot for Linux mailserver.
Gruss,
Schorsch
Hallo,
inzwischen habe ich Trendmicro telefonisch erreicht.
Kommentar; falsches Produkt. Serverprotect hilft da nicht,
‚Interscan Massaging Security Service‘ einsetzen.
Da sind wir beim Kauf falsch beraten worden. ;-(Wieso? So ein „Massaging Service“ hätt’ ich auch gern.
Natürlich nicht für den Mailserver… Aber mein Arbeitgeber
gönnt mir ja nix.
Ist ja gut, ist ja gut. … Suite, nicht Service. Was das Ding kostet weiß ich noch gar nicht. 
Serverprotect hilft mir jedenfalls nicht, das war die falsche Beratung. Der Händler hätte mir IMSS mit verkaufen müssen und nicht nur Serverprotect. Du verstehst mich aber auch immer falsch. … ;-(
Also neu kaufen.
Ja. Okay. Kost’ ja praktisch nix. Ich sichere meine Mailserver
mit f-prot ab.
Klingt interessant. … Hab’ mir grad die Seite angesehen.
Wie oft gibt’s da Updates? Krig ich das zwischen David und die Firewall? (b.z.w. der Techniker, der das installiert:wink:)
Was du von Trendmicro bekommst, ist nix anderes, …
Das kann gut sein. Gut, daß Du’s mir gesagt hast, sonst hätte ich ja nichts davon gewußt.
cu Rainer
Klingt interessant. … Hab’ mir grad die Seite angesehen.
Wie oft gibt’s da Updates?
Wie oft? Keine Ahnung. Automatische Updatemechanismen mag ich nicht, und manuell date ich ziemlich unregelmässig up (der eigentl. Virenschutz läuft bei mir über andere Mechanismen - keine Executables). Aber wenn Heise eine Meldung über einen neuen Virus bringt, hat f-prot immer schon am Vortag die neuen Signaturen. Updates der Engine hingegen sind eher selten.
Krig ich das zwischen David und die
Firewall? (b.z.w. der Techniker, der das installiert:wink:)
Wie gesagt, ich kenn die Schnittstellen von David nicht. Meine Idee lief darauf hinaus, den Virenscanner in David zu integrieren. Ihn zwischen Firewall und David zu hängen, ist aber vielleicht die bessere Idee. In dem Fall benötigst du einen SMTP- (und evtl. POP3) Proxy, der dann auch gleich andere Aufgaben (Spamschutz) im Vorfeld erledigen kann, ohne den David-Server zusätzlich zu belasten.
So etwas aufzubauen, sollte für einen externen Techniker kein Problem sein. Der wird dann aber wieder entweder ein teures „Rundum sorglos“-Paket, z. B. von TrendMicro, empfehlen, oder eine Linux-Lösung, z. B. Postfix, Spamassassin und ClamAV unter Debian. Die letztgenannte Lösung wird aber den zusätzlichen Einsatz eines kommerziellen Virenscanners auf Serverlizenzbasis erfordern, da ClamAV (zumindest derzeit) mit recht schwachen Erkennungsleistungen aufwartet http://www.heise.de/newsticker/result.xhtml?url=/new…
Ich würde die Linux-Lösung vorziehen, da sie zwar, wenn du mit Linux bislang nicht gearbeitet hast, zunächst einen wesentlich höheren Lernaufwand erfordert, dafür aber erheblich flexibler, skalierbarer und besser konfigurier- und anpassbar ist. Erfordert dann natürlich einen externen Berater, der auch nicht gerade billig kostet (900-1000 Euro/Manntag). Ob sich das für dich lohnt, ist natürlich auch von der Komplexität deines Netzes abhängig. In einem kleinen, überschaubaren Netz, in dem du neben der eigentlichen Administration hauptsächlich Benutzerbetreuung machst und die Budgets für Fortbildung und Auditing begrenzt sind, ist IMSS wahrscheinlich die bessere Lösung.
Gruss,
Schorsch
Hallo Schorsch,
ich fang hinten an.
65 Nasen im Unternehmen, Produktionsbetrieb, gerade mal 30 Clients.
Der Techniker wird etwas teurer, eta 200 Euro/h (Siemens).
Linux kenn ich gar nicht aus der Nähe. ;-( Das wollte ich immer mal auf ner älteren Kiste testen, schaffe es aber nicht zu installieren. Dafür habe ich aber einen UNIX-Rechner im Netz (SCO 5.01) und könnte also sogar schon mal ne Datei kopieren.
Mein Chef ist sehr besorgt, was die Sicherheit angeht, da muß der Virenscanner schon täglich per Scheduler sein Update saugen, sonst will der das nicht. Daß mir Siemens lieber IMSS verkauft ist klar. Mein Chef ist da auch ein leichtes Opfer. Ich habe leider gar keine Ahnung und muß mich immer überraschen lassen, womit ich mich rumplagen soll. Als ich mit dem Job angefangen habe, stand da noch ein Prozessrechner, ein Netz gab es nicht. …
Danke für die Tipps, mal sehen, wie das wird.
Es muß halt schnell werden, weil der Wurm ja immer noch auf dem Server ist. Sollte das Netz ausfallen, wird’s teuer.
cu Rainer
ist sehr schnell mit den Updates, hat bislang 100%
Trefferquote.
Welche Trefferquote soll er denn sonst haben? Oder meinst du, das Ding schreibt dir Dinge wie: „Oops! Versehentlich Virus durchgelassen“ oder „Könnte ein Wurm gewesen sein“ ins Logfile?
Stefan, der den 100%-Scanner von McAfee benutzt
Hallo Rainer,
65 Nasen im Unternehmen, Produktionsbetrieb, gerade mal 30
Clients.
Der Grund, warum ich diese „Rundum sorglos“-Pakete von Symantec, TrendMicro, McAffee etc. nicht mag, ist der, dass diese Pakete Sicherheit versprechen, die sie nicht halten können. Zwar erkennen sie einigermassen sicher Viren, deren Signaturen ihnen bekannt sind, sobald sie aber mit heuristischen Methoden unbekannte Dateien als verdächtig erkennen sollen, scheitern sie. Oftmals scheitern sie schon daran, dass der Virus nicht Base64- sondern UUdecoded verschickt wird.
In solchen Paketen wird oft versprochen, sie könnten ausführbare Dateien in Mails isolieren. Was machen die Anwender, wenn sie trotzdem Moorhuhn.exe mailen wollen? Sie benennen sie nach Moorhuhn.ee um. Batsch! Wieder eine Sicherheitslösung auf die Schnauze gefallen. Sie zippen das Huhn. Batsch! Die nächste Lösung fällt auf die Schnauze. Dabei reichen ein paar Zeilen Code und ein dutzend Pattern, um Windows-Executables in Mail mit hoher Sicherheit zu erkennen.
Richtig spassig sind Mails, die von PC des Unternehmens FirmaXYZ gesendet wurden, und den Vermerk enthalten: Network Associates WebShield SMTP V4.5 MR1a on mailgate.FirmaXYZ.de detected virus W32/Mydoom@MM in attachment body.scr from and it was Cleaned and Quarantined.
Schön, dass diese Firma keine Viren verschickt, sondern sie schon am Mailgate abfängt. Blöde Frage: Wie ist der Virus eigentlich vorher am Webshield vorbei in die Firma hineingekommen?
Wenn ich hier im Forum manchmal über Virenscanner schimpfe, meine ich den Reiter und treffe das Ross. Die Scanner an sich sind ja ganz nützliche kleine Haustierchen, jeder sollte so eins haben. Die Werbeversprechen der Sicherheitsfirmen aber, die vollmundig versprechen „Wir sichern Ihr Netzwerk ab!“ sind nichts als heisse Luft, und wer sich auf diese Versprechen verlässt, der ist verlassen.
Andererseits sollte ein Sicherheitskonzept aber immer auch das Verhältnis von Aufwand zu Nutzen betrachten, und in einem Unternehmen mit 30 Clients kann ein IMSS, ordentlich gewartet, durchaus eine hinreichende Lösung sein. Wenn dein Chef aber so auf Sicherheit bedacht ist, wie du schreibst, ist es vielleicht eine gute Idee, ihm mal ein paar tausend Kröten für ein mehrtägiges Sicherheitsaudit durch eine externe Beraterfirma aus der Nase zu leiern. In vielen Fällen lässt sich nämlich schon mit geringem (teilweise negativen) finanziellen Aufwand ein erhebliches Mehr an Sicherheit erbringen.
Vor allem fallen nach solchen Audits die früher oft geäusserten Bedenken „Ja, eigentlich sollten wir das anders machen, aber dann geht das nicht mehr, und da wird’s unbequem…“ oftmals weg.
Gruss,
Schorsch
Hallo Stefan
Welche Trefferquote soll er denn sonst haben? Oder meinst du,
das Ding schreibt dir Dinge wie: „Oops! Versehentlich Virus
durchgelassen“ oder „Könnte ein Wurm gewesen sein“ ins
Logfile?
Wie ich an anderer Stelle schon erwähnt habe, verlasse ich mich in solchen Dingen nicht auf Virenscanner, sondern filtere ausführbare Mailanhänge mittels eigener Scripts, und habe einen sehr guten Überblick über das, was durch die Filter geht, und was nicht.
Und meine 100%-Aussage bezog sich ausschliesslich auf diese Gegenprobe. Ganz so blödsinnig, wie du es jetzt darstellst, und wie meine Aussage zunächst tatsächlich auch klingt, ist sie also nicht.
Aber spätestens, wenn es z. B. um Makroviren geht, die ich nicht mit eigenen Methoden gegenprüfe, ist meine Aussage natürlich nicht mehr haltbar.
Gruss,
Schorsch
Hallo Schorsch,
Die Werbeversprechen der Sicherheitsfirmen aber,
die vollmundig versprechen „Wir sichern Ihr Netzwerk ab!“ sind
nichts als heisse Luft, und wer sich auf diese Versprechen
verlässt, der ist verlassen.
Der Werbung glaube ich natürlich nicht, aber eine andere Möglichkeit, als mich auf Beratung zu verlassen haben wir nicht. Natürlich behalte ich die Software dann im Auge, aber was die nicht anzeigt, sehe ich auch nicht. So lange das allein bei Siemens in Auftrag gegeben wurde, gab es wenig Probleme. Leider hat sich beides geändert.
Andererseits sollte ein Sicherheitskonzept aber immer auch das
Verhältnis von Aufwand zu Nutzen betrachten, und in einem
Unternehmen mit 30 Clients kann ein IMSS, ordentlich gewartet,
durchaus eine hinreichende Lösung sein. Wenn dein Chef aber so
auf Sicherheit bedacht ist, wie du schreibst, ist es
vielleicht eine gute Idee, ihm mal ein paar tausend Kröten für
ein mehrtägiges Sicherheitsaudit durch eine externe
Beraterfirma aus der Nase zu leiern. In vielen Fällen lässt
sich nämlich schon mit geringem (teilweise negativen)
finanziellen Aufwand ein erhebliches Mehr an Sicherheit
erbringen.Vor allem fallen nach solchen Audits die früher oft
geäusserten Bedenken „Ja, eigentlich sollten wir das anders
machen, aber dann geht das nicht mehr, und da wird’s
unbequem…“ oftmals weg.
Darüber werde ich demnächst mal reden, aber dann werde ich nach Namen gefragt, die ich nicht kenne. Wenn ich mir da was aus den ‚Gelben Seiten‘ suche, kann das leicht nach hinten los gehen.
Danke für die Tipps!
cu Rainer
Ich sehe zwar nicht den Unterschied, weshalb ein Programm, was
eine Mail löscht, nicht hundert gelöscht bekommt, aber
vielleicht ist das die „Single-Mail-Lizenz“… oder hast Du’eine Mail’ geschrieben?
Ähhh. Ja. Dennoch ist es mir unverstäbdlich, wiesoman um Dateien zu löschen, die offensichtlich mit einem Tool als nicht verteilungswürdig klassifiziert wurden ein weiteres braucht.
Löschen einer vorgegebenen Liste von Dateien klingtt in meinen Ohren nicht so komplex als daß es eines teuren Spezialprogrammes bedürgen sollte.
Hmm.
Gruß,
Sebastian
Hallo Sebastian,
ich versuche dir noch einmal die Situation zu erklären.
Der Mailserver holt die Mails ab und will sie in die Postfächer der einzelnen Anwender verteilen.
Der Virenscanner erkennt die verseuchte Mail, kann sie aber nicht löschen.
Das passiert mehrmals täglich.
Im Moment werde ich die verseuten Mails nur los, wenn ich den Servicelayer des Mailservers anhalte. Das muß ich manuell machen.
Dazu muß ich die Server ständig überwachen, weil ich die Benachrichtigungsfunktion abschalten mußte.
Das war nötig, weil mir sonst bei eingehendem Wurm 20 Nachrichten pro sekunde geschickt werden. Der Wurm wird erkannt, nicht gelöscht, das 20 mal pro Sekunde.
Einzige Möglichkeit, das Problem zu löschen ist, die Mails zu scannen, bevor sie auf dem Mailserver ankommen und die Viren/Würmer gereits da zu entfernen.
Für diese Aufgabe ist Serverprotect das falsche Werkzeug.
Beim derzeitigen Zustand verbringe ich die Hälfte meiner Arbeitszeit an den Servern und meine Programme werden nicht fertig.
Deshalb das andere werkzeug, das direkt hinter der Firewall die Mails scannt und filtert.
cu Rainer