Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 6891 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ZeroAccessBot(sirefefe) im Netzwerk lokalisieren

DennisSpitzer

Hallo,

wir haben einen UTM220.

Jetzt landen wir haben mit unserer Festen IP jeden Morgen/Nachmittag auf der Spamliste von Spamhaus.org aufgrund eines ZeroAccessBot auch als sirefef bekannt. 

Also habe ich die Ports mit welchem dieser arbeitet gesperrt, jedoch langen wir immer noch auf der Spamliste (Mailserver liegt lokal, also kann man keine Mails mehr versenden).

Jetzt möchte ich eigentlich nur gerne wissen wie oder wo ich finde welcher Rechner oder Maschine von dem Bot betroffen ist, dass muss man doch in irgendeinem log sehen können oder?

 

Danke!

Dennis



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    diese Schadsoftware (-Gruppe) hat die unterschiedlichsten Erscheinungsformen. Die verwendeten Ports sind wohl nicht statisch.

    Ein Hinweis könnte sein, warum man auf der Spamliste gelandet ist.

    Ist das Versenden von Spam die Ursache, sollte überlegt werden, ob wirklich jeder Mails vom PC aus versenden können muß.

    Die ATP der UTM hat gute Möglichkeiten die Kommunikation von Schadsoftware zu erkennen.

    Also aktivieren ... u.U. erst mal nur mit "Benachrichtigen". Ich habe das in nahezu allen Installationen aktiv und keine false positives.

    Verwendet man die UTM als DNS Proxy in Richtung Internet und aktiviert IPS herden viele Kommunikationsversuche erkannt und geblockt - falls aktiviert.

    Wir haben auch schon beobachtet, dass Links zu Schadsoftware in Mails angeklickt wurden und dadurch die IP's auf den Listen gelandet sind.

    Hier half die Trennung von HTTP und SMTP Traffic auf unterschiedliche externe IP's.

     

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hey, danke für die schnelle Antwort.

    Laut Spamhaus sind wir ja eben nicht gelistet wegen Spam sondern eben wegen ZeroAccessBot(sirefef).

    Aber anscheinend hat der Tipp mit ATP schon den Fehler gelöst, zumindest habe ich nach Aktivierung ruck zuck eine Warnung bekommen.

  • 0 in reply to DennisSpitzer

    PS: Es war tatsächlich der WLan Router selbst der ein Botnet war...verrückt, aber Danke!

Reply Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML