Virenscanner findet...
 
Benachrichtigungen
Alles löschen

Virenscanner findet Phishing.HTML.Doc in den Datenbank-Logs

7 Beiträge
2 Benutzer
0 Reactions
587 Ansichten
(@blecheimer)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 64
Themenstarter  

Hallo zusammen,

ich habe auf den Servern eines Kunden den Virenscanner gewechselt (Von Trendmicro auf Securepoint Antivirus Pro.). Auf dem 2016er Exchange-Server werden ein paar der DB-Logs als Bedrohung eingestuft. Ich habe mal den entsprechenden Screenshot angehängt.

Das Search-ExchangeProxyNotShell - Skript habe ich ausgeführt, alles grün.

Hat das jemand schonmal gesehen? Der Exchange-Server befindet sich hinter einem Reverse-Proxy, Sicherheitsupdates sind aktuell. Ich möchte da jetzt natürlich nicht auf "bereinigen" klicken, vermutlich sind es ja echte DB-Logs.

Bin jetzt zwar nicht tiefenentspannt, aber auch nicht exorbitant besorgt.

 

Gruß

Blecheimer


   
Zitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1496
 

Aus dem Grund lässt man auch keinen file Level virenscanner auf die Exchange Daten los:

https://learn.microsoft.com/en-us/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1496
 
Veröffentlicht von: @blecheimer

Bin jetzt zwar nicht tiefenentspannt, aber auch nicht exorbitant besorgt.

Spamfilter und virenscanner im smtp flow und dann hat man weniger Stress. Ansonsten bedeutet das erstmal nur, dass irgendwas in der dB rumliegt. Solange keiner deiner User draufklickt gibts kein Problem. Ansonsten siehe oben „exclusions“.


   
AntwortZitat
(@blecheimer)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 64
Themenstarter  

SPAM-Filter habe ich dem Kunden schon implementiert.

Habe gerade alle empfohlenen Exclusions hinzugefügt. 83 an der Zahl. :D

 


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1496
 
Veröffentlicht von: @blecheimer

SPAM-Filter habe ich dem Kunden schon implementiert.

Und den antimalware Agent vom exchange hast du nicht aktiv?


   
AntwortZitat
(@blecheimer)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 64
Themenstarter  

Du meinst den, den man bei der Installation von Exchange oder einem CU-Update ein- oder ausschalten kann?

 

Der ist aktiv.


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1496
 

OK, der findet natürlich auch nicht alles, aber einiges. Aktuelle pattern kann er sich auch runterladen bei deiner konfig?


   
AntwortZitat
Teilen: