Seite 1 von 1

AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Di 30.10.2018, 19:26
von TJ-Systems
Hi,

ich habe hier ein riesen Problem, der SecurepointAV hat mir eine Datenbankdatei des Exchange "First-Storage" einfach, mit der Annahme es sein ein Trojaner gelöscht! Die AV Console bietet mir keine Option an, um diese Datei wiederherzustellen an. Wo ist die Datei jetzt hin? Wer kann mir jetzt um diese Zeit noch helfen, ein Anruf um 17:55 Uhr war logischerweise nicht von Erfolg.^^

Aber mal ernsthaft. Wie kann es sein das solche sensiblen Dateien von einem AV Programm, so ohne weiteres gelöscht werden können? Warum gibt es nicht per Default nicht eine Exklusionlist, die sowas verhindert? Ich habe hier jetzt einen Kunden der sein Mitarbeiter nach Hause schicken kann, weil ein Arbeiten ohne E-Mail nicht mehr möglich ist.

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Mi 31.10.2018, 08:55
von Franz
Gute Fragen!
Viel Erfolg beim Recovern der Exchange-Datenbank mit "eseutil.exe"...

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Mi 31.10.2018, 10:45
von TJ-Systems
Zwischenstand:
Nach dem ich den Server neu gestartet habe, kann ich auf einmal in der SecurepointAV Console die "E00tmp.tmp" zum Recover freigegeben. Ähm was soll das ? Jetzt ist es zu spät und ich bin im Repairmodus mit Eseutil...grrrrr....^^

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Do 01.11.2018, 09:01
von pascal
Moin,
TJ-Systems hat geschrieben:Hi,

ich habe hier ein riesen Problem, der SecurepointAV hat mir eine Datenbankdatei des Exchange "First-Storage" einfach, mit der Annahme es sein ein Trojaner gelöscht! Die AV Console bietet mir keine Option an, um diese Datei wiederherzustellen an. Wo ist die Datei jetzt hin? Wer kann mir jetzt um diese Zeit noch helfen, ein Anruf um 17:55 Uhr war logischerweise nicht von Erfolg.^^
Was genau steht den im Log, was mit der entsprechenden Datei passiert ist? Der AV sperrt nur den Zugriff auf Dateien, außer ein Benutzer sagt "Datei löschen".
TJ-Systems hat geschrieben:Aber mal ernsthaft. Wie kann es sein das solche sensiblen Dateien von einem AV Programm, so ohne weiteres gelöscht werden können? Warum gibt es nicht per Default nicht eine Exklusionlist, die sowas verhindert? Ich habe hier jetzt einen Kunden der sein Mitarbeiter nach Hause schicken kann, weil ein Arbeiten ohne E-Mail nicht mehr möglich ist.
Wir haben kein Template für Exchange Server. Hierfür bitte die Empfehlungen von Microsoft für den entsprechenden Server verwenden.

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Fr 02.11.2018, 12:44
von Franz
pascalm hat geschrieben:Wir haben kein Template für Exchange Server. Hierfür bitte die Empfehlungen von Microsoft für den entsprechenden Server verwenden.
Okay, dann muss momentan jeder "Securepoint Antivirus Pro-Installateur" das Rad selbst neu erfinden?
Ich muss dingend meine Kollegen informieren. Bevor das nicht genau untersucht ist, muss dieser Antivirus von den Microsoft Exchange- und SQL-Servern unserer Kunden entfernt werden. Das ist mir zu riskant.
 
Es wäre sehr wünschenswert, wenn der Securepoint Antivirus Pro wenigstens mit den marktführenden Anwendungen des KMU-Bereichs per Default angemessen umzugehen wüsste!

Gruß

Franz

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Fr 02.11.2018, 15:08
von pascal
Moin,

die Ursache für das "verschwinden" der Datei konnte durch das Log gefunden werden. Der AV hat den Zugriff auf die Datei gesperrt, da diese als infiziert erkannt wurde (Basierend auf der Signatur der Logdatei). Die Datei war anschließend nicht mehr vorhanden, da diese anscheind vom System oder dem Exchange Server (Mit den Rechten vom System) entfernt wurde.

Wichtig ist, dass die Systemvoraussetzungen für die Betriebssysteme eingehalten werden muss, damit der Client Updates erhält. Ansonsten kann es zu Problemen führen.

Jeder Hersteller von Software sollte bekannt geben, wenn für einen Virenscanner Ausnahmen definiert werden sollen, diese sind für Microsoft Produkte im techNet zu finden. Ob diese auch angewendet werden, muss der Systemadministrator evaluieren, da diese Listen im Internet öffentlich zugänglich sind und für potentielle Angreifer eine Angriffsfläche bieten.

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Mi 07.11.2018, 10:50
von TJ-Systems
Abschluss:
Die Datenbank konnte sauber wieder hergestellt werden. Mir wurde nur gesagt das der Securepoint AV auf dieser Windows 2008 SBS Maschine nicht mehr von Securepoint unterstütz wird und nur noch seine Signaturupdates bekommt. Es wird begründet damit, dass Windows 2008 nicht mehr von Microsoft unterstütz wird. Woher diese Annahme kommt weiß ich nicht. Offiziell ist Windows 2008 noch bis zum 14.Januar 2020 im Support. https://www.microsoft.com/de-ch/cloud-p ... erver-2008

Ich werde bei Zeiten mal eine Liste an Server-Exklusionen hier posten, zur gemeinsamen Diskussion. ^^

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Mi 07.11.2018, 11:15
von pascal
Moin,
wie letzte Woche telefonisch besprochen liegt das Problem nicht an der Laufzeit vom Windows Server 2008, sondern daran das Microsoft ein benötigtes Sicherheitsupdate für den Windows Server 2008 ab R2 und Service Pack 1 (Build 6.1.7601) bereitstellt. 
Nur durch dieses Sicherheitsupdate kann sichergestellt werden, dass genutzte Zertifikate für Dienste und Treiber überprüft sind und diese nicht verändert wurden.

Hierzu auch unsere Meldung Hinweis zu einer Sicherheitslücke im Treiber

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Mi 07.11.2018, 13:08
von TJ-Systems
@pascalm dann habe ich das falsch verstanden. Also wenn ich das jetzt  richtig verstehe gibt es keine Möglichkeit, dass die Entwicklung das Treiber-Modul-Problem (von Microsoft) "umschiffen" kann.

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Mi 07.11.2018, 13:20
von TJ-Systems
@Franz nun nicht gleich Panik verfallen. Man muss sich nur einmal die wichtigsten Systembereiche anschauen und die exkludieren.

Beispiel:
%HOMEDRIVE%:\Program Files (x86)\Microsoft SQL Server\
%HOMEDRIVE%:\ProgramData\Microsoft\
%HOMEDRIVE%:\Program Files\Microsoft\Exchange Server\Mailbox\ (oder da wo die Datenbanken liegen)
%HOMEDRIVE%:\Windows\SYSMSI\SSEE\

Falls im Einsatz:
POPCon          %HOMEDRIVE%:\Program Files (x86)\POPcon
MultisendCon  %HOMEDRIVE%:\Program Files (x86)\Servolutions\MultiSendcon

Datei Exklusion:
*.mdb
*.edb
*ldf
*mdf
*OST
*PST

Re: AV löscht einfach Exchange Datenbank .log Datei

Verfasst: Mi 07.11.2018, 13:59
von pascal
TJ-Systems hat geschrieben:@pascalm dann habe ich das falsch verstanden. Also wenn ich das jetzt  richtig verstehe gibt es keine Möglichkeit, dass die Entwicklung das Treiber-Modul-Problem (von Microsoft) "umschiffen" kann.
Wir fragen Microsoft, ob Microsoft den Zertifikaten vertraut. Wenn MS das nicht tut, tun wir das auch nicht. Da Microsoft das benötigte Sicherheitsupdate erst ab 7601 bereitstellt, ist dies eine Systemvoraussetzung.