Hi,

• Server _sofort_ vom Netz trennen
• sämtliche Daten sichern (Plattenimage ziehen, für die spätere Forensik)
• sämtliche Software rückstandslos entfernen ("Platte putzen"), dran denken, das es auch Schädlinge gibt, die auf das BIOS zugreifen!
• Software wieder einspielen (vom Backup nur, wenn diese Backup _vor_ dem Netzanschluß erfolgte!)
• Daten von Backup einspielen (Bei MS-Office Dateien oder allen anderen Dateien, die Schädlinge enthalten könnten ist natürlich Vorsicht geboten!)

so wird bei uns nicht gearbeitet.

• Administrator entlassen

Wenn ichs massiv eskalieren wuerde, waere meine eigene Ruebe in Gefahr. (Wenn ich die Art der Attacke richtig verstanden habe, sollen da Trojaner zusammengeschaltet werden um andere Server anzugreifen, DDOS-maessig. Das waere dann ja primaer nicht unser Bier, wuerde behauptet werden von unserem kompetenten Betriebsteam und die Entscheider und Bewerter des Ganzen, die nicht unbedingt aus dem IT-Bereich kommen muessen, koennten das moeglicherweise sogar nachvollziehen. ;-)

• neuen Administrator einstellen, der sich mit der Absicherung von Netzen auskennt

Ich werde nun auf die naechste Attacke des LAN-Servers warten, das B-Team informieren und vielleicht kriegen die raus, was gerade im Speicher des angreifenden Servers so geschieht. Vielleicht auch nicht.

Aber ich habe schon verstanden, "Platte putzen" waere korrekt und alternativlos.

Gruss,
Ludger