[exchange w2k] Gehacked? Hoe weet ik wat?

Logboek?

zijn het niet "gewoon" virus mails, zoals bv netsky/mydoom

[ Voor 17% gewijzigd door Xtremelead op 17-12-2004 12:44 ]

Je kan met "netstat -an" in een cmd venstertje kijken welke poorten er open staan, je kan natuurlijk ook gewoon een goeie firewall installeren die ervoor zorgt dat ongewenste programma's geen poorten open kunnen zetten, je kan dan ook mooi zien welke programma's allemaal als server willen werken en zo het schuldige programma misschien vinden (en natuurlijk alle backdoors als die zijn geinstalleerd...)

Het best is natuurlijk om de belangrijke gegevens op een cdtje/dvdtje te zetten en een format te doen en helemaal opnieuw te beginnen als je er zeker van bent dat je server gehacked is...

de meldingen die je krijgt zijn gewoon spam en virussen

om je een klein idee te geven
ik ben werkzaam bij een MKB onderneming met een kleine 100 gebruikers met email boxen.

Ik krijg PER WEEK ca. 7500!!!!! spam / virus / NDR-reports binnen welke niet "goed" zijn.

dus zorg voor een goede virus oplossing en spam filter, problem solved

Om het nog mooier te zeggen al de post hierboven
Wij krijgen hier per DAG zo'n 8.000 Virussen binnen op onze virusscanner
Spam niet meegerekend
Dus reken maar dat wij hier ook vaak aan virussen denken.
En een dubbele firewall hebben met MD5 gecrypte wachtwoorden die wij zelfs niet eens kunnen achterhalen.
Dus hou er rekening mee dat er heel gemakkelijk virussen\hacker\scriptkiddies aanvallen uitvoeren.
Wat ik inderdaad zou adviseren is dat je je firewall opnieuw installeerd

[ Voor 3% gewijzigd door Verwijderd op 17-12-2004 14:52 ]

Het is dat wij onze virus scanning buiten de deur hebben....dat spaart een ontiegelijke zooi undeliverables uit.

Maar draai de exchange best practices analyzer, en controleer daarmee op eventuele fout geconfigde relay zaken. Weet je iig zeker of je al dan niet al relay misbruikt wordt.

Verwijderd schreef op vrijdag 17 december 2004 @ 13:00:
[...]Ik heb netstat -an gedraaid.
Ik zag niet veel vreemds; Alleen mijn open browsers naar mcafee en tweakers.
....

Durf je in PNS met droge ogen te zeggen dat je op je Exchange server doodleuk naar tweakers.net zit te surfen? Zit je d'r ook je pr0n te downen? Als je die server straks herinstalleert, doe dan jezelf en je users een lol en geef jezelf geen administrator rechten meer op die machine.

[ Voor 10% gewijzigd door Brahiewahiewa op 17-12-2004 16:30 ]

Brahiewahiewa schreef op vrijdag 17 december 2004 @ 16:29:
[...]
Durf je in PNS met droge ogen te zeggen dat je op je Exchange server doodleuk naar tweakers.net zit te surfen? Zit je d'r ook je pr0n te downen? Als je die server straks herinstalleert, doe dan jezelf en je users een lol en geef jezelf geen administrator rechten meer op die machine.

Ik snap je punt maar overdrijven is ook een vak...

Verwijderd schreef op zaterdag 18 december 2004 @ 23:13:
[...]

Ik snap je punt maar overdrijven is ook een vak...

Nee hij heeft 200% gelijk, als jij gelijk een leuk virusje meepakt of een ander stukje software, hoe ga je dat dan uitleggen aan je baas?

"De mailserver ligt plat omdat ik heb zitten surfen." Ik kan me al iets bedenken bij de reactie

Surfen doe je op een werkstation, liefst met beperkte rechten.... Dat wordt voor thuisgebruik al aangeraden, en jij gaat op een bedrijfsserver zitten surfen.

Verwijderd schreef op zaterdag 18 december 2004 @ 23:13:
[...]

Ik snap je punt maar overdrijven is ook een vak...

Nope.... daar is niets overdreven aan..... neem de handel (je eigen handel?) serieus, delegeer administrative rights en log zo min mogelijk als admin in, zorg voor een gewoon user account en ga achter een desktop zitten......

Precies.

Op servers hoor je niets te doen, en die dingen moeten ook niet ingelogd staan.

Alhoewel ik goede ervaringen heb met GFI Mailessentials icm exchange,

Van de 8000 mailtjes op mijn account, blijven er nu nog maar zo'n 10 over.....:-)
(en ik kon hem niet kopen, dus draai ik nog in trailmode (limieten enzo)

Zodra je dat spul aanschaft, heb je ook nog word checks etc.

Dus veel spam enzo....onzin...kwestie van goed filteren,

En antivirus ? B.v. Norton Antivirus for Exchange...werkt heerlijk....

En zeker als je exchange installeerd, ook even een ' remote' smtp machine voor de exchange hangen, zodat deze het kan forwarden naar zijn [smarthost] ...(wedden dat mensen de [ ] vergeten....dan heb je nog spam)

Op deze manier kan alleen de mail voor je company worden gedelivered op de SMTP doos.
Is het mail voor het bestaande domain ? Ja, dan doorsturen naar de smarthost (exchange met b..v gfi Mailessentials)

Je exchange kan natuurlijk naar de rest van de wereld sturen, mits het maar bestaande emailadressen(domeinen) zijn..(dat controleren doet gfi dus.)

Heel simpel op te lossen....als je weet hoe.

Kijk een op www.isaserver.org en www.msexchange.org (zoiets)...daar vind je genoeg info...