kan besmette pc niet vinden in het netwerk

Het beste kun je zo snel mogelijk contact opnemen met de systeembeheerder en er niet zelf aan sleutelen. Uit de logs van de server kan hij zeker de informatie halen waar je naar zoekt.

Draai de Malicious Software Removal tool van Microsoft eens op alle systemen. Wellicht dat je een rootkit hebt op een van de machines.

Kan ziggo niet aan jullie aangeven welke pc er verstuurd.

Ze detecteren dat er mail verstuurd word, het lijkt mij dat ze dan ook in de headers kunnen zien wie (welke PC naam) de afzender is

@MarchelHoek afaik wordt dat niet meegestuurd. Maar je hebt hier toch logs voor?

MarchelHoek schreef op dinsdag 04 oktober 2011 @ 16:45:
Kan ziggo niet aan jullie aangeven welke pc er verstuurd.

Ze detecteren dat er mail verstuurd word, het lijkt mij dat ze dan ook in de headers kunnen zien wie (welke PC naam) de afzender is

Headers kunnen gefaked worden.

Serieus: alle PC's die zomaar naar buiten kunnen is not-done. Zorg voor een firewall, trap poort 25 dicht, en laat je programma via je Exchange naar buiten mailenDan heb je in ieder logging.

Op dit moment is het enige wat je kan doen een sniffer tussen je firewall en router gooien. Dus een bridge die al het verkeer afluisterd. Of je moet overal wireshark op willen installeren....

Via wat voor'n mailserver dan?

Staat bij ziggo poort 25 niet standaard dicht behalve naar de mailrelay server van ziggo (zogenaamd als antispam maatregel, maar eerder om aan de bewaarplicht te kunnen voldoen) zelf ?

Heeft ziggo geen logging ter ondersteuning van de melding meegezonden ?

Hoe hangt je netwerk verder aan het internet ? Alle (externe) mail gaat toch via de SBS server (mag ik hopen)?

Al eens met Housecall van TrendMicro een scan gedaan ?

Weet je zeker dat je SBS server geen open relay is ?

Beatboxx schreef op dinsdag 04 oktober 2011 @ 16:50:
Via wat voor'n mailserver dan?

Microsoft Exchange?

Beatboxx schreef op dinsdag 04 oktober 2011 @ 16:50:
Via wat voor'n mailserver dan?

windows SBS 2008

Ergo: TS draait zelf Exchange, en die stuurt het naar buiten. Of dat bij Ziggo naar een smarthost is weet ik niet..

Je zou eens een hub tussen je internet verbinding kunnen plaatsen en je netwerk. Op deze server plaats je dan een pc met tcpdump / insta snorby of iets in die richting. Ik heb in fora gezien dat verschillende mensen met Insta Snorby al een virus pc hebben gevonden.

Wat ook kan zijn is dat je exchange server misbruikt wordt voor backscattering (non delivery reports met afwijkenende return to mail adres)

http://snorby.org/

Als Ziggo je geen extra logging of informatie kan geven (hoe handig..), en de normale checks op de individuele pc's niets opleveren zul je toch netwerkverkeer moeten gaan onderzoeken vrees ik.

thor666 schreef op dinsdag 04 oktober 2011 @ 16:59:
hoe kan ik het gemakkelijkst een sniffer tussen de router en het netwerk installeren.
Is hier een out of the box oplossing voor of is dit gemakkelijk te maken van bepaalde hardware?

Zie mijn update Een hub is het makkelijkst en zo niet dan een switch met een monitor of span port. Voordeel van Snorby is dat hij ook lijsten heeft met patronen zodat hij voor je kan zien wat voor trojan je hebt

[ Voor 13% gewijzigd door raymonvdm op 04-10-2011 17:02 ]

Er zijn toch zelfs kant en klare Linux Live CD's die voorzien zijn van sniffing mogelijkheden ?
Dan heb je alleen een hubje en een pc nodig.

Wel duidelijk vooraf met de werknemers communiceren dat je dit gaat doen !
Je wil intern geen DPI en mobiele telecomproviders discussie.
En laat je baas je deze opdracht ook even schriftelijk bevestigen.


Verder kun je natuurlijk ook per pc een netstat -a doen op de command prompt, en dat desnoods even laten loggen naar file.
Niet het leukste werk, maar vertelt je wel waar een pc verbinding mee heeft op dat moment.


En, ik zou beginnen met poort 25 dichtzetten via een firewall. (of je internet loskoppelen.) Je weet dat je een probleem veroorzaakt, dus eerst dat stoppen, en dan pas onderzoeken.

[ Voor 36% gewijzigd door aZuL2001 op 04-10-2011 17:25 . Reden: aanvulling ]

Hmm.. toch appart dat men zo'n probleem er pas morgen naar gekeken gaat worden. Lijkt me serieus genoeg om accuut op zoek te gaan.

Men kan dus mail versturen via de Exchange bak, maar ook direct via de smtp van Ziggo. Aan Ziggo al gevraagd om een mailtje? Daar kan je ook info uit halen. De exchange-bak zal z'n eigen headers plaatsen, met ook het IP van de afzender.

Heb je de server zelf ook al gescanned? En draait daar wel een virusscanner op?

Is er WiFi in het pand? Kan zijn dat er vanaf buiten het pand gespammed wordt, omdat de sleutel gevonden/gehacked is.

Als er dus WiFi gebruikt wordt, kan het ook een telefoon/tablet van een werknemer zijn die de boel verstuurd.

Moeilijk doen met linux is niet nodig. Zeker niet als je dat niet kent.
Met packet sniffers zoals wireshark kan je alle datapakketjes zien.

Er kleeft inderdaad wel een privacyrisico aan vast. Je kan alles zien, van onversleutelde e-mails tot msn gesprekken en ftp verkeer. Feitelijk kan je alles wat niet versleuteld is lezen.

In de logs staat normaal toch het Mac Address?

Je dochtertje zou het niet eens doorhebben als je een avondje later thuis was
Je vrouw daarentegen is heel andere koek


Zonder gekheid :

- Zorg voor formele opdracht
- Begin met loskoppelen internetverbinding
- Pak een kop koffie en maak een plan van aanpak
- Pak nog een kop en bespreek dit plan met je baas of externe leverancier
- Maak tijdens het uitvoeren van je plan aantekeningen over wat je aantreft

Het is dat je aan de andere kant van het land woont, anders had ik morgen bij je op de stoep gestaan om te helpen

thor666 schreef op dinsdag 04 oktober 2011 @ 21:16:
Poort 25 hoef ik eerst nog niet dicht te zetten, dit is al gebeurd door ziggo.
[...]

Juist wel, dan stoppen de meldingen die nu geregistreerd worden bij ze. Op het moment dat je dan safe bent kunnen ze ook zien dat het gestopt is.

thor666 schreef op dinsdag 04 oktober 2011 @ 16:37:
We kunnen poort 25 niet afsluiten voor de onderlinge pc's omdat we een programma draaien die orderbonnen rechtstreeks mailt.

...

thor666 schreef op dinsdag 04 oktober 2011 @ 16:49:
op de server is dit ook niet te zien want de mail gaat niet via de SBS server maar rechtstreek vanaf de besmette pc.

Naar wie/wat mailt dat programma de orderbonnen? Direct naar de klant? Is er dan niet gewoon een fout in het programma ingesteld zoals bijv dat een klant 10000 copy-bonnen oid wilt?

Ik zou eerst de programmeurs van dat programma eens benaderen, of dat ding echt geen mail-relay ondersteunt, want nu is elke pc een beveiligingsrisico in je netwerk.

Programma lekker laten relayen via exchange (die logt dan alles voor je) en dan poort 25 simpelweg afsluiten voor alles behalve de exchange server.

In SBS kun je toch in de logs van de firewall (isa/tmg) zien wie er naar buiten staat te schreeuwen?

Dat hangt van de SBS versie af. In de standard heb je geen ISA/TMG.

Het zou wel leuk zijn als je ons een beetje op de hoogte houdt van wat je tegengekomen bent en hoe je te werk bent gegaan.

Dan kunnen anderen er ook nog wat van leren.

thor666 schreef op woensdag 05 oktober 2011 @ 11:57:
Hier scan ik nu alle verkeer naar het ip adres van de smtp server van Ziggo via wireshark.

Ik zou zelf scannen op verkeer dat van poort 25 gebruik wil maken, dat hoeft namelijk niet via Ziggo te lopen..

De TS gebruikt GoT sowieso als helpdesk, koppeld niks terug, jammer.

Overigens hoeft poort 25 door ziggo niet open gezet te worden om te zien waar het probleem zit. Als het langs de machine gaat, kan je het sniffen en dus zien. Dat er vervolgens niet naar buiten kan, maakt niet uit.

Het zou inderdaad fijn zijn als je de community ook zelf ondersteund door de bevindingen terug te koppelen, zodat andere ook geholpen kunnen worden. Bijna 8 jaar lid hier, en dan nog roepen om een slotje, zegt ook wel genoeg.

Ik hoop dat je het probleem getackled hebt, en dat je inderdaad ook iets terug doet voor de community, al denk ik dat als het probleem opgelost is, de TS voorlopig hier niet meer te vinden is. Erg jammer.