virusi u mrezi i na serveru, potreban savet iskusnih...

[padavan]

pozdrav svima.

problem je sledeci, mreza ima blizu 100 racunara, win 2003 r2 server je u pitanju, iz nekog razloga na samoj mrezi nije postojalo nista od zastite i onda su normalno poceli i problemi. neki od tih racunara imaju i direktan izlaz na internet. kad sam instalirao AV na server naravno nasao je razne viruse i slicne "zle" programe, kako na serveru tako i po manje vise svim racunarima u mrezi... kako najbezbolnije resiti ovaj problem, tj. jel ima neko pametnije resenje od fizikalisanja tj. da se cela mreza raskaci, svuda pogasi system restore pa onda da se ubijaju virusi i spybot-om i jos nekim av-om na svakom racunaru pojedinacno, ili ima neko jednostavnije resenje jer sa ovolikim brojem racunara to ima da traje dosta dugo... takodje ukoliko imate neki iskusniji virus killer koji ima "delovanje sirokog spektra" s obzirom da ne znam ni sam na sta cu sve da naletim a da je praktican za ovakve situacije sve preporuke su dobrodosle.

s obzirom da je nekim racunarima unutar mreze neophodan izlazak na internet koje je najbolje resenje po pitanju bezbednosti osim instaliranja av-a na sve racunare, mozda upotreba nekog proxy servera? da li proxy moze u realtime-u da skenira internet saobracaj i time poboljsa bezbednost mreze?

koji antivirus predlazete za upotrebu u ovakvim mrezama, koliko znam postoje neke corporate licence koje su namenjene za vece mreze pa me zanima koliko otprilike kostaju recimo takve licence za 100 racunara.

dobrodosla je i literatura na srpskom ukoliko imate linkove vezano za win2003 i proxy servere... imam jos raznih pitanja ali za pocetak ce biti dovoljno i ovo sto sam pitao, hvala unapred na odgovorima.

 

[e6111]

vecina antivirus softvera ima verzije za biznis korisnike, npr. eset nod, sa mogucnostima zastite kompletne mreze racunara, i administracijom iz glavne konzole koja se npr nalazi na serveru. sto ti olaksava posao da ne moras na svakom kompu u mrezi posebno da startujes scan, vec to odradis na svim direktno sa servera.

ali s obzirom da nije postojao nikakav softver za zastitu u mrezi, nekad je jako tesko ocistiti sve kada virus vec zarazi racunare u mrezi, pa se naknadno instalira zastita, to nekad pali nekad ne, zavisno od vrste virusa

sto se tice price oko proksija, trebalo bi biti moguce da se na samom proksi serveru skenira citav internet saobracaj, ali to moze biti jako zahtevan posao, zavisno koliko se podataka prenese sa interneta. I to ti ima koristi samo u slucaju da je izvor te zaraze bio sa interneta, umesto npr sa flash diskova zakacenih na neki od kompova u mrezi (sto je danas otprilike najcesci nacin sirenja virusa).

tako da mozes da probas da ocistis sve sa naknadnom instalacijom antivirusnog softvera, ako ne uspes ne gine ti reinstall sistema svih zarazenih kompova.

 

[underground]

slazem se sa preporukom e6111 za eset proizvode za serverska okruzenja ...
moja preporuka je da prvo sredis server, pa tek onda da lomis kitchmu sa ostalima ..
moj redosled bi bio :
1. malwarebytes 1.38 portable ...
2. eset smart security
pa onda kad to sve resis, prati saobracaj ka net-u ... samo da vidis da li je sve vraceno u normalu ..
isto uradi sa radnim stanicama, pa tek onda razmisli o podizanju nekog proxy server-a ...
poz i srecno ...

p.s. nadam se samo da ti server nije mnogo osakacen virusima :crash:

 

[ciki022]

Svima predlažem sledeću stvar, bar sam ja tako rešio problem sa neka dva virusa, ne sećam se njihovih imena, uglavnom su pravili probleme sa internet konekcijom, i nisu dozvoljavali da radi normalno ( jedan je valjda sysdrv32.dll a drugi wmibusn.exe )
Instalirao sam Comodo Internet Security ( baš njega zato što je commercial free ) u safe modu, skenirao kompjuter, on će da predloži da se pobrišu pravi i eventualni virusi, potrebno je obratiti pažnju šta se briše, kad završi i po restartu sistema bi trebalo da je komp čist
Ukoliko je neki virusić i ostao, Comodov Defence+ deo će videti da neki nepoznat fajl / proces pokušava nešto da uradi, pa tu treba videti o čemu se radi i izbrisati ili dozvoliti taj fajl / proces

Uglavnom, Comodo radi na Windows Serveru 2003 r2

 

[padavan]

hvala vam na korisnim savetima, pustio sam scan na par racunara, uglavnom su u pitanju crvi tipa conflicker i slicno kao i neki malware i za sada ih je spybot pobio bez problema, prilicno brzo i efikasno, nadam se da je ovaj uzorak koji sam uradio prilicno relevantan za celo stanje na mrezi ali videcemo vreme ce pokazati. inace mi spybot za sada zavrsava posao i prilicno je zgodan jer mogu da ga update-ujem iz file-a s obzirom da veci deo mreze nema pristup internetu a privremeno sam stavio i free avg koji takodje ima opciju da skenira removable devices i koliko sam video takodje moze da se update-uje iz file-a a nije uopste zahtevan s obzirom da su masine uglavnom neke slabije "office" konfiguracije. za sada sam odusevljen efikasnoscu spybot-a u ovoj situaciji.

za nod sam se raspitao kod zastupnika i otprilike je licenca 17e po racunaru za godinu dana sto je prihvatljivo, ostalo je jos samo da vidim kako ce nod svariti te slabije racunare tj. kako ce raditi i da ga istestiram u mreznom okruzenju.

s obzirom da postoje 2 zasebne mreze sa 2 servera, jedna je manja, svega 15ak kompova dok je ova druga veca, stavio sam na ovu vecu nod koji ima i trafficing control, u principu mi se za sada lepo pokazuje, blokira radne stanice koje imaju viruse na 10 minuta i ispisuje mi problematicne ip adrese pa mogu selektivno da ih resavam, jedino mi se desavalo da nod ne moze da ocisti neke fajlove i onda instaliram spybot i sa njim to resim bez problema tako da mi to malo nije jasno ali u pitanju je krakovana verzija cisto kako bih istestirao pre kupovine legalne verzije tako da se nadam da to ima veze sa tim a ne sa samim nod-om.

serveri nisu pretrpeli neka veca ostecenja i verovatno necu morati da ih rusim i dizem opet, mada mi se jedan server cudno ponasa tj. jos nisam uspeo da izvalim sta mu se desava. to je server u manjoj mrezi na koji je instaliran program koji radi u server mode-u i ima bazu koju povlace radne stanice. desava se nasumicno u odredjenim trenutcima da radne stanice u sred rada odjednom ne vide mapirani drajv na serveru gde se nalazi program. kad probam reconect na taj drajv sa bilo kog racunara kaze da je already in use, kad se diskonektujem i probam da se konektujem tada ne vidi mapirani drive i ne moze da ga nadje ni kad mu dam rucno putanju ni automatski. kad se tako zaglupi, to se desi na svim radnim stanicama, i jedino resenje je restart servera kada sve proradi kao da se nista nije desilo. u trenutku kad ne moze da se pridje mapiranom drajvu na serveru bez problema pingujem sa radnih stanica server i sa servera radne stanice, dakle mreza radi ali nesto se tu desava... skenirao sam server, skinuo i sve zastite sa njega, sve je u redu ali se to desava, pokusavam da smislim jos neke ideje pre nego sto ga oborim pa dignem opet...