Seltsamer ankommender Zugriffsversuch, der geblockt wird

[Simon1985]

Hallo, seit einigen Tagen ist bei uns im Firmennetzwerk ein etwas seltsames Problem aufgetreten.

Wenn ich in die Protokoll Datein von Symantec Endpoint Protection schaue, sehe ich, dass dort jeder minute, ca 3 bis 5 mal irgendetwas auf den Rechner Zugreift, von diesem Problem sind 4 PCs im Netzwerk betroffen, auf dem Server sowie, auf den ca. 100 anderen Clients ist dieser Fehler nicht.

Ich habe daraufhin mal einen der PCs komplett platt gemacht, also HDD gelöscht und neu installiert, daraufhin wieder Symantec installiert und gesehen, der seltsame Zugriffsversuch ist weiterhin da, daraufhin habe ich mal die IP aus dem Netz gelöscht und eine andere vergeben, auch dies hat nichts geholfen, weswegen ich davon ausgehe, dass irgendwer auf die Mac Adresse einen Ping oder irgndetwas der Art sendet.

Dazu muss man sagen, dass wir vor einigen Tagen eine Trojaner Datei per Mail bekommen haben, die auch an einem der PCs angekommen ist, dieser PC wurde allerdings formatiert und das komplette Netzwerk mehrfach überprüft, mit verschiedenden Tools, ist nichts mehr von vorhanden.

Wenn irgendwer eine Idee hat, was das ist und wie ich diesen Zugriffsversuch wegbekommen kann, währe ich echt dankbar für Hilfe.

Hier mal ein Screen von dem Protokoll von Symantec:

http://www.directupload.net/file/d/3858/4ahm778v_png.htm

mfg Simon1985

 

[Smily]

Keine externe IP Adresse protokolliert wo man mal schnell ne whois Abfrage machen kann?

 

[Simon1985]

nein leider nicht, ich finde ja auch mit keinem tool irgendwas, das einzige wo ich was sehe ist die Protokoll Datei von Symantec.

 

[chrigu]

ruf doch bei symantec an, bei 100 user hast du sicher ein support-abo abgeschlossen...

mhhh... immer noch? https://www.computerbase.de/forum/threads/virusmeldung-beim-hochfahren.1425699/
bitte besorgt euch doch mal ein profi...

 

[Wilhelm14]

Ich bein kein Netzwerk-Profi, daher reine Spekulation von mir. Quelle und Ziel ist jeweils die IP 0.0.0.0
http://en.wikipedia.org/wiki/0.0.0.0
Das "Protokoll" ist "Ethernet" laut Screenshot.
Für mich sieht das so aus, als ob dort kein "Dienst" bzw. Malware zugreift, sondern als ob dort ein Wackelkontakt am Kabel herrscht oder als ob irgendein Gerät im Netz per DHCP, ICMP, irgendwas mit Ping, WOL im LAN herum ruft.

Es gibt Seiten im Netz, wo du zur MAC den Hersteller herausfinden kannst. So kannst du prüfen, ob die MACs in deinem LAN sind. Bei Stichproben kam eben etwas wie D-Link und 3Com heraus.

Edit@chrigus Link: Ach so, da geistert seit letztem Jahr ein Virus herum? Holt euch Profis. Warum kommt überhaupt ein Virus-Anhang per E-Mail in die Firma, habt ihr einen selbstkonfigurierten E-Mail-Server?

 

[fireblade_xx]

Was ist Regel 15 bei deiner Firewall? Evtl. ist es nur geblockert IPv6 Traffic.

 

[max_1234]

Oh Gott so much security, do you even admin?

Ernsthaft, wenn du Geld dafür bekommst geh bitte nochmal studieren und komm dann erst wieder zurück.
Es ist im Übrigen illegal sensible Daten dermaßen ungesichert zu administrieren.
Wenn ich dann lese "Ping auf MAC Adresse" kreuseln sich mir schon die Ohrenhaare - hier ist nicht das Geringste bisschen Knowledge dahinter. Und das ist fahrlässig.

Ruf bei Symantec an und lass die das Netzwerk durchchecken.
Damit bist du wenigstens bis hier hin vor Gericht nicht verurteilbar wenn dann doch mal was passiert.

mfg,
Max

 

[bezelbube]

Ethernet type=0xF0F0 sind NetBUI anfragen.
Da NetBUI nicht Routfähig ist kommen die anfragen aus dem Netzwerk!!!

 

[Smily]

Wobei NetBEUI eigentlich ausgestorben sein sollte. Schätze ihr habt noch XP Rechner im Einsatz?

 

[Simon1985]

sind alles win 7 rechner,

@max_1234, wenn du so schlau bist, dann sag mir doch bitte wonach sich das orientieren soll, wenn nicht nach der Mac Adresse, wenn ich den PC schon komplett Platt gemacht habe, sogar mir ner anderen HDD und eine ander IP vergeben habe. weil es ja wiklich nur an diesne 4 Rechnern ist und an sonnst nichts und an den ist es halt auch nicht weg zu bekommen.

 

[chrigu]

mac-adressen als ultimative orientierung anzusehen ist auch nicht wirklich schlau, da eine mac-adresse innert 1 sekunde geändert/übernommen werden kann.

deshalb diese zwei fragen beantworten:
1. was ist regel 15 (wie fireblade es fragt)
2. was meint symantec dazu...

 

[Leviathan460]

Ich frage mich, wo das Problem liegt?
So wie es aussieht, werden sämtliche Zugriffe von aussen durch Symantec geblockt? Also scheint Eure Security zur Abwechslung zu funktionieren...
Wenn ich die anderen Kommentare richtig verstehe, hast Du 2 Möglichkeiten:

1. Es sind noch irgendwo in Eurem Netzwerk Reste des Trojaners (Geiler anderer Thread ) und der will "telefonieren"
2. Du hast ganz Profan im Netzwerk ein defektes Netzwerkkabel oder eine defekte Netzwerkkarte.

Off Topic: Mittelständisches Unternehmen und nur eine 1-Mann-IT und ein Azubi?

 

[purzelbär]

Simon1985, wartet nicht länger und lasst endlich einen qualifizierten IT Fachmann/Profi von ausserhalb(jemand der nicht zu eurer Firma gehört)kommen der euer komplettes System überprüft.

 

[max_1234]

Dieser Thread mag dem ein oder anderen sehr brutal vorkommen, aber es geht oft um folgendes:

- Kundendaten (Kreditkarten Nummern, persönliche Daten bishin zu medizinischen Daten, vertrauliche gesetzlich geschützte Daten)
- Firmendaten (Geheimnisse, Produktionen, Umsätze, Einkäufe)

Beide arten von Daten nicht fachmännisch abzusichern ist fahrlässig - und (besonders ersteres) strafbar.

mfg,
Max