SBS 2003 Systemneustart und Manipulationsschutz

20/04/2009 - 14:06 von Hardy Elis | Report spam
Hallo Admins,

ich habe ein merkwürdiges Problem mit einem SBS2003 SP2.
Vor gut 2 Wochen habe ich den vorletzten Schwung Updates installiert und den
Server neugestartet. Vor ein paar Tagen kam dann wieder die Meldung, neue
Updates seien verfügbar (u.A. Sicherheitsupdates). Dieser Meldung versuche
ich immer zeinah nachzukommen. Geplant war das Einspielen übers Wochenende.

Am Sonntagmorgen dann eine email, dass der Server unerwartet neugestartet
wurde. Automatische Updates sind natürlich deaktiviert.
Bei der Durchsicht des Eventlogs heute morgen fand ich diesen Hinweis:


Benutzer: NT-AUTORITÄT\SYSTEM
Quelle: Symantec AntiVirus
Ereigniskennung: 45


SYMANTEC MANIPULATIONSSCHUTZ WARNMELDUNG

Ziel: C:\Programme\Symantec AntiVirus\Rtvscan.exe
Ereignisinfo: Anhalten Thread
Durchgeführte Aktion: Blockiert
Angreifender Prozess: C:\WINDOWS\System32\svchost.exe (PID 3084)
Zeit: Sonntag, 19. April 2009 00:32:49
-


Ist sicherlich nicht in Zusammenhang mit den Updates zu bringen, vielleicht
aber, und deshalb der Hinweis oben, ein Angriff auf eine Sicherheitslücke die
ich noch nicht geschlossen habe weil ich mit dem Einspielen zu lange gewartet
hatte.
Am Router sind nur die nötigsten Ports offen (RWW, SMTP, WEB, SSL,
RemoteDesktop). Was besagt das Ereignis? Mir fehlt die Erfahrung beim Umgang
mit Viren/Trojanern auf einem Server. Was würdet ihr mir empfehlen nun zu tun?

Zum System: SBS2003 aktuelle SPs, Sym.AV Corporate 10, Backup-Exec 9.1,
sonst SBS Standard.

Danke für jeden Hinweis, wàre sehr hilfreich.
Gruß
Hardy
 

Lesen sie die antworten

#1 Hardy Elis
22/04/2009 - 07:35 | Warnen spam
Hat denn niemand einen Ansatz? Der Server làuft seit dem problemlos weiter.
Könnte dies ein Angriff gewesen sein? Ich habe sonst nur wenige Informationen
dazu im Netz gefunden. Würde gerne ein paar Stellen abklopfen, bin aber mit
Trojanern und co überhaupt nicht vertraut und schon garnicht auf
Serversystemen. Gibt es brauchbare Diagnosetools für sowas? Was würdet ihr an
dieser Stelle tun?

Viele Grüße
Hardy

"Hardy Elis" wrote:

Hallo Admins,

ich habe ein merkwürdiges Problem mit einem SBS2003 SP2.
Vor gut 2 Wochen habe ich den vorletzten Schwung Updates installiert und den
Server neugestartet. Vor ein paar Tagen kam dann wieder die Meldung, neue
Updates seien verfügbar (u.A. Sicherheitsupdates). Dieser Meldung versuche
ich immer zeinah nachzukommen. Geplant war das Einspielen übers Wochenende.

Am Sonntagmorgen dann eine email, dass der Server unerwartet neugestartet
wurde. Automatische Updates sind natürlich deaktiviert.
Bei der Durchsicht des Eventlogs heute morgen fand ich diesen Hinweis:


Benutzer: NT-AUTORITÄT\SYSTEM
Quelle: Symantec AntiVirus
Ereigniskennung: 45


SYMANTEC MANIPULATIONSSCHUTZ WARNMELDUNG

Ziel: C:\Programme\Symantec AntiVirus\Rtvscan.exe
Ereignisinfo: Anhalten Thread
Durchgeführte Aktion: Blockiert
Angreifender Prozess: C:\WINDOWS\System32\svchost.exe (PID 3084)
Zeit: Sonntag, 19. April 2009 00:32:49
-


Ist sicherlich nicht in Zusammenhang mit den Updates zu bringen, vielleicht
aber, und deshalb der Hinweis oben, ein Angriff auf eine Sicherheitslücke die
ich noch nicht geschlossen habe weil ich mit dem Einspielen zu lange gewartet
hatte.
Am Router sind nur die nötigsten Ports offen (RWW, SMTP, WEB, SSL,
RemoteDesktop). Was besagt das Ereignis? Mir fehlt die Erfahrung beim Umgang
mit Viren/Trojanern auf einem Server. Was würdet ihr mir empfehlen nun zu tun?

Zum System: SBS2003 aktuelle SPs, Sym.AV Corporate 10, Backup-Exec 9.1,
sonst SBS Standard.

Danke für jeden Hinweis, wàre sehr hilfreich.
Gruß
Hardy

Ähnliche fragen