Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Benutzeravatar
TJ-Systems
Themen-Autor
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

AV löscht einfach Exchange Datenbank .log Datei

Di 30.10.2018, 19:26

Hi,

ich habe hier ein riesen Problem, der SecurepointAV hat mir eine Datenbankdatei des Exchange "First-Storage" einfach, mit der Annahme es sein ein Trojaner gelöscht! Die AV Console bietet mir keine Option an, um diese Datei wiederherzustellen an. Wo ist die Datei jetzt hin? Wer kann mir jetzt um diese Zeit noch helfen, ein Anruf um 17:55 Uhr war logischerweise nicht von Erfolg.^^

Aber mal ernsthaft. Wie kann es sein das solche sensiblen Dateien von einem AV Programm, so ohne weiteres gelöscht werden können? Warum gibt es nicht per Default nicht eine Exklusionlist, die sowas verhindert? Ich habe hier jetzt einen Kunden der sein Mitarbeiter nach Hause schicken kann, weil ein Arbeiten ohne E-Mail nicht mehr möglich ist.
 
Franz
Beiträge: 223
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: AV löscht einfach Exchange Datenbank .log Datei

Mi 31.10.2018, 08:55

Gute Fragen!
Viel Erfolg beim Recovern der Exchange-Datenbank mit "eseutil.exe"...
 
Benutzeravatar
TJ-Systems
Themen-Autor
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

Re: AV löscht einfach Exchange Datenbank .log Datei

Mi 31.10.2018, 10:45

Zwischenstand:
Nach dem ich den Server neu gestartet habe, kann ich auf einmal in der SecurepointAV Console die "E00tmp.tmp" zum Recover freigegeben. Ähm was soll das ? Jetzt ist es zu spät und ich bin im Repairmodus mit Eseutil...grrrrr....^^
 
Benutzeravatar
pascalm
Securepoint
Beiträge: 293
Registriert: Mi 05.02.2014, 14:28
Wohnort: Hamburg

Re: AV löscht einfach Exchange Datenbank .log Datei

Do 01.11.2018, 09:01

Moin,

TJ-Systems hat geschrieben:
Hi,

ich habe hier ein riesen Problem, der SecurepointAV hat mir eine Datenbankdatei des Exchange "First-Storage" einfach, mit der Annahme es sein ein Trojaner gelöscht! Die AV Console bietet mir keine Option an, um diese Datei wiederherzustellen an. Wo ist die Datei jetzt hin? Wer kann mir jetzt um diese Zeit noch helfen, ein Anruf um 17:55 Uhr war logischerweise nicht von Erfolg.^^

Was genau steht den im Log, was mit der entsprechenden Datei passiert ist? Der AV sperrt nur den Zugriff auf Dateien, außer ein Benutzer sagt "Datei löschen".
TJ-Systems hat geschrieben:
Aber mal ernsthaft. Wie kann es sein das solche sensiblen Dateien von einem AV Programm, so ohne weiteres gelöscht werden können? Warum gibt es nicht per Default nicht eine Exklusionlist, die sowas verhindert? Ich habe hier jetzt einen Kunden der sein Mitarbeiter nach Hause schicken kann, weil ein Arbeiten ohne E-Mail nicht mehr möglich ist.

Wir haben kein Template für Exchange Server. Hierfür bitte die Empfehlungen von Microsoft für den entsprechenden Server verwenden.
Mit freundlichen Grüßen

Pascal Mitsching
Head of Antivirus Pro
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
http://www.securepoint.de
 
Franz
Beiträge: 223
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: AV löscht einfach Exchange Datenbank .log Datei

Fr 02.11.2018, 12:44

pascalm hat geschrieben:
Wir haben kein Template für Exchange Server. Hierfür bitte die Empfehlungen von Microsoft für den entsprechenden Server verwenden.

Okay, dann muss momentan jeder "Securepoint Antivirus Pro-Installateur" das Rad selbst neu erfinden?
Ich muss dingend meine Kollegen informieren. Bevor das nicht genau untersucht ist, muss dieser Antivirus von den Microsoft Exchange- und SQL-Servern unserer Kunden entfernt werden. Das ist mir zu riskant.
 
Es wäre sehr wünschenswert, wenn der Securepoint Antivirus Pro wenigstens mit den marktführenden Anwendungen des KMU-Bereichs per Default angemessen umzugehen wüsste!

Gruß

Franz
 
Benutzeravatar
pascalm
Securepoint
Beiträge: 293
Registriert: Mi 05.02.2014, 14:28
Wohnort: Hamburg

Re: AV löscht einfach Exchange Datenbank .log Datei

Fr 02.11.2018, 15:08

Moin,

die Ursache für das "verschwinden" der Datei konnte durch das Log gefunden werden. Der AV hat den Zugriff auf die Datei gesperrt, da diese als infiziert erkannt wurde (Basierend auf der Signatur der Logdatei). Die Datei war anschließend nicht mehr vorhanden, da diese anscheind vom System oder dem Exchange Server (Mit den Rechten vom System) entfernt wurde.

Wichtig ist, dass die Systemvoraussetzungen für die Betriebssysteme eingehalten werden muss, damit der Client Updates erhält. Ansonsten kann es zu Problemen führen.

Jeder Hersteller von Software sollte bekannt geben, wenn für einen Virenscanner Ausnahmen definiert werden sollen, diese sind für Microsoft Produkte im techNet zu finden. Ob diese auch angewendet werden, muss der Systemadministrator evaluieren, da diese Listen im Internet öffentlich zugänglich sind und für potentielle Angreifer eine Angriffsfläche bieten.
Mit freundlichen Grüßen

Pascal Mitsching
Head of Antivirus Pro
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
http://www.securepoint.de
 
Benutzeravatar
TJ-Systems
Themen-Autor
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

Re: AV löscht einfach Exchange Datenbank .log Datei

Mi 07.11.2018, 10:50

Abschluss:
Die Datenbank konnte sauber wieder hergestellt werden. Mir wurde nur gesagt das der Securepoint AV auf dieser Windows 2008 SBS Maschine nicht mehr von Securepoint unterstütz wird und nur noch seine Signaturupdates bekommt. Es wird begründet damit, dass Windows 2008 nicht mehr von Microsoft unterstütz wird. Woher diese Annahme kommt weiß ich nicht. Offiziell ist Windows 2008 noch bis zum 14.Januar 2020 im Support. https://www.microsoft.com/de-ch/cloud-platform/windows-server-2008

Ich werde bei Zeiten mal eine Liste an Server-Exklusionen hier posten, zur gemeinsamen Diskussion. ^^
 
Benutzeravatar
pascalm
Securepoint
Beiträge: 293
Registriert: Mi 05.02.2014, 14:28
Wohnort: Hamburg

Re: AV löscht einfach Exchange Datenbank .log Datei

Mi 07.11.2018, 11:15

Moin,
wie letzte Woche telefonisch besprochen liegt das Problem nicht an der Laufzeit vom Windows Server 2008, sondern daran das Microsoft ein benötigtes Sicherheitsupdate für den Windows Server 2008 ab R2 und Service Pack 1 (Build 6.1.7601) bereitstellt. 
Nur durch dieses Sicherheitsupdate kann sichergestellt werden, dass genutzte Zertifikate für Dienste und Treiber überprüft sind und diese nicht verändert wurden.

Hierzu auch unsere Meldung Hinweis zu einer Sicherheitslücke im Treiber
Mit freundlichen Grüßen

Pascal Mitsching
Head of Antivirus Pro
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
http://www.securepoint.de
 
Benutzeravatar
TJ-Systems
Themen-Autor
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

Re: AV löscht einfach Exchange Datenbank .log Datei

Mi 07.11.2018, 13:08

@pascalm dann habe ich das falsch verstanden. Also wenn ich das jetzt  richtig verstehe gibt es keine Möglichkeit, dass die Entwicklung das Treiber-Modul-Problem (von Microsoft) "umschiffen" kann.
 
Benutzeravatar
TJ-Systems
Themen-Autor
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

Re: AV löscht einfach Exchange Datenbank .log Datei

Mi 07.11.2018, 13:20

@Franz nun nicht gleich Panik verfallen. Man muss sich nur einmal die wichtigsten Systembereiche anschauen und die exkludieren.

Beispiel:
%HOMEDRIVE%:\Program Files (x86)\Microsoft SQL Server\
%HOMEDRIVE%:\ProgramData\Microsoft\
%HOMEDRIVE%:\Program Files\Microsoft\Exchange Server\Mailbox\ (oder da wo die Datenbanken liegen)
%HOMEDRIVE%:\Windows\SYSMSI\SSEE\

Falls im Einsatz:
POPCon          %HOMEDRIVE%:\Program Files (x86)\POPcon
MultisendCon  %HOMEDRIVE%:\Program Files (x86)\Servolutions\MultiSendcon

Datei Exklusion:
*.mdb
*.edb
*ldf
*mdf
*OST
*PST
 
Benutzeravatar
pascalm
Securepoint
Beiträge: 293
Registriert: Mi 05.02.2014, 14:28
Wohnort: Hamburg

Re: AV löscht einfach Exchange Datenbank .log Datei

Mi 07.11.2018, 13:59

TJ-Systems hat geschrieben:
@pascalm dann habe ich das falsch verstanden. Also wenn ich das jetzt  richtig verstehe gibt es keine Möglichkeit, dass die Entwicklung das Treiber-Modul-Problem (von Microsoft) "umschiffen" kann.

Wir fragen Microsoft, ob Microsoft den Zertifikaten vertraut. Wenn MS das nicht tut, tun wir das auch nicht. Da Microsoft das benötigte Sicherheitsupdate erst ab 7601 bereitstellt, ist dies eine Systemvoraussetzung. 
Mit freundlichen Grüßen

Pascal Mitsching
Head of Antivirus Pro
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
http://www.securepoint.de

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast