Draaien hier SBS2003 met de nieuwste servicepacks/updates , deze haalt de mail binnen via de pop3 connector en gebruikt de smarthost om mail te versturen. In de server zit 1 netwerk kaart
Sinds enkele dagen werd het internet steeds trager , dus opzoek gegaan naar een spammende pc. Was aardig simpel te vinden want het ledje op de hub en de router knipperden volop. Daarna server er tussen uit gehaald , modem opnieuw gestart en het internet werkte weer zoals het hoorde te werken.
Daarna even gekeken in qeue of er mails in de wachtrij stonden , maar deze is compleet leeg behalve een paar mailtjes van een paar collega's. Het lijkt er nu op dat een virus/trojan via een andere poort volop spammed , dus met netstat -a gekeken welke connecties openstaan. Hieruit bleek dat de server verbinding zocht met een aantal onbekende ipadressen.
Op de server draait kaspersky administration kit+ kaspersky for windows servers. Er is een policy gedefineerd zodra er meer als 3 virussen worden gedetecteerd op allen stations+servers een volledige scan word gestart. Helaas detecteerde kaspersky deze virussen niet. Waarop er werd gescand met de 'normale' spywarescanners zoals spysweeper , spybot enz. De hebben het nodige gevonden en verwijderd.
De vraag is nu , wat kun je het beste er preventief tegen doen? Roaming profiles / offline folders enz zijn ondertussen uitgezet , hierin bleken de meeste virussen te zitten. Via http://www.test-smtp.com/ gecontroleerd of het openrelay gebeuren is afgesloten , de volgende docs doorgelezen :
-http://technet.microsoft.com/en-us/library/bb123843(EXCHG.65).aspx
-http://www.msexchange.org/tutorials/Hardening-Exchange-Server-2003-Environment-Part1.html
Maar deze docs richten zich vooral op het open-relay verhaal. Helaas word de server te traag als diverse spyware scanners actief meedraaien en kaspersky antivirus kan met sommige scanners niet samen draaien.
Sinds enkele dagen werd het internet steeds trager , dus opzoek gegaan naar een spammende pc. Was aardig simpel te vinden want het ledje op de hub en de router knipperden volop. Daarna server er tussen uit gehaald , modem opnieuw gestart en het internet werkte weer zoals het hoorde te werken.
Daarna even gekeken in qeue of er mails in de wachtrij stonden , maar deze is compleet leeg behalve een paar mailtjes van een paar collega's. Het lijkt er nu op dat een virus/trojan via een andere poort volop spammed , dus met netstat -a gekeken welke connecties openstaan. Hieruit bleek dat de server verbinding zocht met een aantal onbekende ipadressen.
Op de server draait kaspersky administration kit+ kaspersky for windows servers. Er is een policy gedefineerd zodra er meer als 3 virussen worden gedetecteerd op allen stations+servers een volledige scan word gestart. Helaas detecteerde kaspersky deze virussen niet. Waarop er werd gescand met de 'normale' spywarescanners zoals spysweeper , spybot enz. De hebben het nodige gevonden en verwijderd.
De vraag is nu , wat kun je het beste er preventief tegen doen? Roaming profiles / offline folders enz zijn ondertussen uitgezet , hierin bleken de meeste virussen te zitten. Via http://www.test-smtp.com/ gecontroleerd of het openrelay gebeuren is afgesloten , de volgende docs doorgelezen :
-http://technet.microsoft.com/en-us/library/bb123843(EXCHG.65).aspx
-http://www.msexchange.org/tutorials/Hardening-Exchange-Server-2003-Environment-Part1.html
Maar deze docs richten zich vooral op het open-relay verhaal. Helaas word de server te traag als diverse spyware scanners actief meedraaien en kaspersky antivirus kan met sommige scanners niet samen draaien.
[ Voor 14% gewijzigd door marc181982 op 29-12-2009 20:06 ]
/u/169878/crop60f2c3c12a642_cropped.png?f=community)
:strip_icc():strip_exif()/u/55080/el-inigualable-chuck-norris_07.jpg?f=community)
/u/53159/Isabelleicon6060.JPG?f=community)
:strip_icc():strip_exif()/u/8430/logo.jpg?f=community){kind=logo}
:strip_exif()/u/243981/luckyy_oranje.gif?f=community)
/u/127261/crop5dcd39ec2f45d_cropped.png?f=community)