Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 6901 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ZeroAccessBot(sirefefe) im Netzwerk lokalisieren

DennisSpitzer

Hallo,

wir haben einen UTM220.

Jetzt landen wir haben mit unserer Festen IP jeden Morgen/Nachmittag auf der Spamliste von Spamhaus.org aufgrund eines ZeroAccessBot auch als sirefef bekannt. 

Also habe ich die Ports mit welchem dieser arbeitet gesperrt, jedoch langen wir immer noch auf der Spamliste (Mailserver liegt lokal, also kann man keine Mails mehr versenden).

Jetzt möchte ich eigentlich nur gerne wissen wie oder wo ich finde welcher Rechner oder Maschine von dem Bot betroffen ist, dass muss man doch in irgendeinem log sehen können oder?

 

Danke!

Dennis



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    diese Schadsoftware (-Gruppe) hat die unterschiedlichsten Erscheinungsformen. Die verwendeten Ports sind wohl nicht statisch.

    Ein Hinweis könnte sein, warum man auf der Spamliste gelandet ist.

    Ist das Versenden von Spam die Ursache, sollte überlegt werden, ob wirklich jeder Mails vom PC aus versenden können muß.

    Die ATP der UTM hat gute Möglichkeiten die Kommunikation von Schadsoftware zu erkennen.

    Also aktivieren ... u.U. erst mal nur mit "Benachrichtigen". Ich habe das in nahezu allen Installationen aktiv und keine false positives.

    Verwendet man die UTM als DNS Proxy in Richtung Internet und aktiviert IPS herden viele Kommunikationsversuche erkannt und geblockt - falls aktiviert.

    Wir haben auch schon beobachtet, dass Links zu Schadsoftware in Mails angeklickt wurden und dadurch die IP's auf den Listen gelandet sind.

    Hier half die Trennung von HTTP und SMTP Traffic auf unterschiedliche externe IP's.

     

     

Reply
  • 0

    Hallo,

    diese Schadsoftware (-Gruppe) hat die unterschiedlichsten Erscheinungsformen. Die verwendeten Ports sind wohl nicht statisch.

    Ein Hinweis könnte sein, warum man auf der Spamliste gelandet ist.

    Ist das Versenden von Spam die Ursache, sollte überlegt werden, ob wirklich jeder Mails vom PC aus versenden können muß.

    Die ATP der UTM hat gute Möglichkeiten die Kommunikation von Schadsoftware zu erkennen.

    Also aktivieren ... u.U. erst mal nur mit "Benachrichtigen". Ich habe das in nahezu allen Installationen aktiv und keine false positives.

    Verwendet man die UTM als DNS Proxy in Richtung Internet und aktiviert IPS herden viele Kommunikationsversuche erkannt und geblockt - falls aktiviert.

    Wir haben auch schon beobachtet, dass Links zu Schadsoftware in Mails angeklickt wurden und dadurch die IP's auf den Listen gelandet sind.

    Hier half die Trennung von HTTP und SMTP Traffic auf unterschiedliche externe IP's.

     

     

Children