AV löscht einfach Exchange Datenbank .log Datei

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
TJ-Systems
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

AV löscht einfach Exchange Datenbank .log Datei

Beitrag von TJ-Systems »

Hi,

ich habe hier ein riesen Problem, der SecurepointAV hat mir eine Datenbankdatei des Exchange "First-Storage" einfach, mit der Annahme es sein ein Trojaner gelöscht! Die AV Console bietet mir keine Option an, um diese Datei wiederherzustellen an. Wo ist die Datei jetzt hin? Wer kann mir jetzt um diese Zeit noch helfen, ein Anruf um 17:55 Uhr war logischerweise nicht von Erfolg.^^

Aber mal ernsthaft. Wie kann es sein das solche sensiblen Dateien von einem AV Programm, so ohne weiteres gelöscht werden können? Warum gibt es nicht per Default nicht eine Exklusionlist, die sowas verhindert? Ich habe hier jetzt einen Kunden der sein Mitarbeiter nach Hause schicken kann, weil ein Arbeiten ohne E-Mail nicht mehr möglich ist.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Gute Fragen!
Viel Erfolg beim Recovern der Exchange-Datenbank mit "eseutil.exe"...

Benutzeravatar
TJ-Systems
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

Beitrag von TJ-Systems »

Zwischenstand:
Nach dem ich den Server neu gestartet habe, kann ich auf einmal in der SecurepointAV Console die "E00tmp.tmp" zum Recover freigegeben. Ähm was soll das ? Jetzt ist es zu spät und ich bin im Repairmodus mit Eseutil...grrrrr....^^

pascal

Beitrag von pascal »

Moin,
TJ-Systems hat geschrieben:Hi,

ich habe hier ein riesen Problem, der SecurepointAV hat mir eine Datenbankdatei des Exchange "First-Storage" einfach, mit der Annahme es sein ein Trojaner gelöscht! Die AV Console bietet mir keine Option an, um diese Datei wiederherzustellen an. Wo ist die Datei jetzt hin? Wer kann mir jetzt um diese Zeit noch helfen, ein Anruf um 17:55 Uhr war logischerweise nicht von Erfolg.^^
Was genau steht den im Log, was mit der entsprechenden Datei passiert ist? Der AV sperrt nur den Zugriff auf Dateien, außer ein Benutzer sagt "Datei löschen".
TJ-Systems hat geschrieben:Aber mal ernsthaft. Wie kann es sein das solche sensiblen Dateien von einem AV Programm, so ohne weiteres gelöscht werden können? Warum gibt es nicht per Default nicht eine Exklusionlist, die sowas verhindert? Ich habe hier jetzt einen Kunden der sein Mitarbeiter nach Hause schicken kann, weil ein Arbeiten ohne E-Mail nicht mehr möglich ist.
Wir haben kein Template für Exchange Server. Hierfür bitte die Empfehlungen von Microsoft für den entsprechenden Server verwenden.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

pascalm hat geschrieben:Wir haben kein Template für Exchange Server. Hierfür bitte die Empfehlungen von Microsoft für den entsprechenden Server verwenden.
Okay, dann muss momentan jeder "Securepoint Antivirus Pro-Installateur" das Rad selbst neu erfinden?
Ich muss dingend meine Kollegen informieren. Bevor das nicht genau untersucht ist, muss dieser Antivirus von den Microsoft Exchange- und SQL-Servern unserer Kunden entfernt werden. Das ist mir zu riskant.
 
Es wäre sehr wünschenswert, wenn der Securepoint Antivirus Pro wenigstens mit den marktführenden Anwendungen des KMU-Bereichs per Default angemessen umzugehen wüsste!

Gruß

Franz

pascal

Beitrag von pascal »

Moin,

die Ursache für das "verschwinden" der Datei konnte durch das Log gefunden werden. Der AV hat den Zugriff auf die Datei gesperrt, da diese als infiziert erkannt wurde (Basierend auf der Signatur der Logdatei). Die Datei war anschließend nicht mehr vorhanden, da diese anscheind vom System oder dem Exchange Server (Mit den Rechten vom System) entfernt wurde.

Wichtig ist, dass die Systemvoraussetzungen für die Betriebssysteme eingehalten werden muss, damit der Client Updates erhält. Ansonsten kann es zu Problemen führen.

Jeder Hersteller von Software sollte bekannt geben, wenn für einen Virenscanner Ausnahmen definiert werden sollen, diese sind für Microsoft Produkte im techNet zu finden. Ob diese auch angewendet werden, muss der Systemadministrator evaluieren, da diese Listen im Internet öffentlich zugänglich sind und für potentielle Angreifer eine Angriffsfläche bieten.

Benutzeravatar
TJ-Systems
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

Beitrag von TJ-Systems »

Abschluss:
Die Datenbank konnte sauber wieder hergestellt werden. Mir wurde nur gesagt das der Securepoint AV auf dieser Windows 2008 SBS Maschine nicht mehr von Securepoint unterstütz wird und nur noch seine Signaturupdates bekommt. Es wird begründet damit, dass Windows 2008 nicht mehr von Microsoft unterstütz wird. Woher diese Annahme kommt weiß ich nicht. Offiziell ist Windows 2008 noch bis zum 14.Januar 2020 im Support. https://www.microsoft.com/de-ch/cloud-p ... erver-2008

Ich werde bei Zeiten mal eine Liste an Server-Exklusionen hier posten, zur gemeinsamen Diskussion. ^^

pascal

Beitrag von pascal »

Moin,
wie letzte Woche telefonisch besprochen liegt das Problem nicht an der Laufzeit vom Windows Server 2008, sondern daran das Microsoft ein benötigtes Sicherheitsupdate für den Windows Server 2008 ab R2 und Service Pack 1 (Build 6.1.7601) bereitstellt. 
Nur durch dieses Sicherheitsupdate kann sichergestellt werden, dass genutzte Zertifikate für Dienste und Treiber überprüft sind und diese nicht verändert wurden.

Hierzu auch unsere Meldung Hinweis zu einer Sicherheitslücke im Treiber

Benutzeravatar
TJ-Systems
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

Beitrag von TJ-Systems »

@pascalm dann habe ich das falsch verstanden. Also wenn ich das jetzt  richtig verstehe gibt es keine Möglichkeit, dass die Entwicklung das Treiber-Modul-Problem (von Microsoft) "umschiffen" kann.

Benutzeravatar
TJ-Systems
Beiträge: 25
Registriert: Fr 15.02.2013, 11:08
Wohnort: 127.0.0.1
Kontaktdaten:

Beitrag von TJ-Systems »

@Franz nun nicht gleich Panik verfallen. Man muss sich nur einmal die wichtigsten Systembereiche anschauen und die exkludieren.

Beispiel:
%HOMEDRIVE%:\Program Files (x86)\Microsoft SQL Server\
%HOMEDRIVE%:\ProgramData\Microsoft\
%HOMEDRIVE%:\Program Files\Microsoft\Exchange Server\Mailbox\ (oder da wo die Datenbanken liegen)
%HOMEDRIVE%:\Windows\SYSMSI\SSEE\

Falls im Einsatz:
POPCon          %HOMEDRIVE%:\Program Files (x86)\POPcon
MultisendCon  %HOMEDRIVE%:\Program Files (x86)\Servolutions\MultiSendcon

Datei Exklusion:
*.mdb
*.edb
*ldf
*mdf
*OST
*PST

pascal

Beitrag von pascal »

TJ-Systems hat geschrieben:@pascalm dann habe ich das falsch verstanden. Also wenn ich das jetzt  richtig verstehe gibt es keine Möglichkeit, dass die Entwicklung das Treiber-Modul-Problem (von Microsoft) "umschiffen" kann.
Wir fragen Microsoft, ob Microsoft den Zertifikaten vertraut. Wenn MS das nicht tut, tun wir das auch nicht. Da Microsoft das benötigte Sicherheitsupdate erst ab 7601 bereitstellt, ist dies eine Systemvoraussetzung. 

Antworten