Hi,

• Server _sofort_ vom Netz trennen

[...]

• Daten von Backup einspielen (Bei MS-Office Dateien oder allen anderen Dateien, die Schädlinge enthalten könnten ist natürlich Vorsicht geboten!)

so wird bei uns nicht gearbeitet.

Es gibt aber, wie Du selber schon sagtest, keine Alternative.

• Administrator entlassen

Wenn ichs massiv eskalieren wuerde, waere meine eigene Ruebe in Gefahr.

Gut, das ist dann ein guter Grund, das irgendwie anders hinzufummeln.
Oder selber zu kündigen >;->

Ich möchte aber nciht versäumen drauf hinzuweisen, das ihr auch belangt werden könntet, wenn ihr von einem Plan Kenntnis hattet, andere zu schädigen. (Du vermutest ja einen DDoS)

• neuen Administrator einstellen, der sich mit der Absicherung von Netzen auskennt

Ich werde nun auf die naechste Attacke des LAN-Servers warten, das B-Team informieren und vielleicht kriegen die raus, was gerade im Speicher des angreifenden Servers so geschieht. Vielleicht auch nicht.

Es mag viele Möglichkeiten geben, auf die Meldung einer PF zu reagieren, die eine SYN-Flood-Angriff meldet. Dein Vorgehen gehört aber mit Sicherheit nicht dazu.
Einmal ganz davon ab, das PFs in einem Firmennetz nix zu suchen haben (und meiner Meinung auch sonst nirgendwo, aber das nur mal am Rande. Ist auch diskutabel): entweder glaubst Du ihr und handelst entsprechend - das Mindeste wäre eine sofortige Trennung vom Netz und Booten von einer CD mit den üblichen forenischen Tools, kostet etwa eine Stunde Downtime, aber was verwendet ihr auch Windowsserver ohne entsprechende Sicherheitsmaßnahmen - oder Du glaubst ihr nicht und läßt die Hände in der Tasche.

BTW: Günstige Gelegenheit z.B. mal den TÜV die Sicherheit überprüfen zu lassen (private externe Berater, wie etwa meine Beleibtheit, sind da zwar wesentlich komfortabler, da sie auch gleich die Implementation der Sicherung übernehmen können, aber auch deutlich teurer).

so short

Christoph Zurnieden