Menü
Avatar von iMil
  • iMil

mehr als 1000 Beiträge seit 26.11.2004

Re: Trojaner versendet Faxe - Mailserver kompromittiert?

Ich habe die Verbindung über den Taskmanager umgehend getrennt

gut

und relevante Passwörter geändert,

auch gut

was in Summe wohl nicht ausreichend ist.

kommt drauf an, wie der 'Böse' drauf gekommen ist.
Doch um das feststellen zu können, muss man den Server vom Netz nehmen.

Dann kann man in den Logs nachsehen, wie der Zugriff erfolgte, denn wenn das Admin-Passwort genommen wurde (und wenn der andere Admin war, muss er dieses ja gehabt haben), müsste man nachsehen, wie der Zugriff möglich war, damit (nach einem neuaufsetzten des System) dieses nicht nochmals passiert.

Es gibt einige einfachste Ratschläge, die man immer umsetzten kann.
So ist der wichtigste Punkt, dass man den lokalen Administrator umbenennt.

Bei einem Kunden haben sie anschließend den (gesperrten) Gast-User in "Administrator" umbenannt.

Das wichtigste ist aber, den Server vom Netz nehmen.
Erst dann kann man ihn untersichen.

Bewerten
- +