Mögliche Vireninfektion auf Citrix-System

[Greek-Fighter]

Moin FISI's,

 

hat jemand von euch Ahnung, inwiefern eine Schadsoftware sich innerhalb einer Citrix Session ausbreiten kann?

Ich bin erst seit kurzem in der Materie, jedoch war mir so, als würde bei jeder neuen Usersession eine Art von Image abgerufen werden, welches unveränderbar - also mehr oder weniger nicht zu infizieren ist. Scheinbar ist dem jedoch nicht so, hat hier jemand Erfahrungswerte?

 

Bearbeitet 28. Juni 2018 von Greek-Fighter
Zeilenumbruch

[RubberDog]

Ich nehme mal an, du redest von einer VM, die vermutlich aus einem Image gecloned wurde und auf einem Thin-Client läuft?

Naja, das Master-Image ist durch die VM nicht veränderbar, stimmt schon.

Aber lokal sollte der User, bzw halt Schadsoftware, machen können was auch immer innerhalb der gesetzten Berechtigungen machbar ist.

Wenn bei jedem reboot der Kiste ein neuer Clone erzeugt wird sollte nichts übrig bleiben - es sei denn, es gibt einen persistenten Speicherbereich auf dem Thin-Client.

[Greek-Fighter]

vor 4 Stunden schrieb RubberDog:

Ich nehme mal an, du redest von einer VM, die vermutlich aus einem Image gecloned wurde und auf einem Thin-Client läuft?

Naja, das Master-Image ist durch die VM nicht veränderbar, stimmt schon.

Aber lokal sollte der User, bzw halt Schadsoftware, machen können was auch immer innerhalb der gesetzten Berechtigungen machbar ist.

Wenn bei jedem reboot der Kiste ein neuer Clone erzeugt wird sollte nichts übrig bleiben - es sei denn, es gibt einen persistenten Speicherbereich auf dem Thin-Client.

Moin RubberDog,

 

Danke für deine Antwort, ich bin leider nicht im entsprechenden Fach Team und wollte daher einfach einmal bei Informierten nachhaken. Es ist scheinbar tatsächlich nur ein einzelner User, d.h. vermutlich ist sein Profil in irgendeiner Form korrumpiert worden, da bei jedem Login eine Scam-Fehlermeldung ausgegeben wird.

 

Ich rate einmal ins Blaue: Ein möglicher Lösungsansatz wäre der Neuaufbau des Benutzerprofils?

[RubberDog]

vor 11 Minuten schrieb Greek-Fighter:

Ich rate einmal ins Blaue: Ein möglicher Lösungsansatz wäre der Neuaufbau des Benutzerprofils?

Ja, genau.

Wobei dann halt noch interessant wäre, wo das Profil liegt. Wenn in einem persistenten Bereich auf der lokalen Platte ist es vermutlich halb so schlimm.

Wenn ihr Profile und Nutzerverzeichnisse allerdings Zentral speichert (z.b. via NFS / Samba Shares) habt ihr den Kram auch auf mindestens einem anderen System. Ist dann natürlich Glück im Unglück wenn es nur ein gammliger Scam-Versuch ist, statt sich selbstständig im System verbreitende Malware.

[Maniska]

Wenn sich Blödfug im Userprofil (Roaming Profile nehme ich an?) eingenistet hat, kommt das natürlich bei diesem einen User immer wieder. Mit etwas Glück bleibt das Zeug auch dort und rennt nicht weiter.

Ich würde das bestehende Profil des betreffenden Users umbenennen /wegkopieren und schauen was bei einem frisch gedruckten Profil passiert. Wenn dort alles gut ist, altes Profil in die Tonne. Muss der User seine Einstellungen halt neu setzen. Wenn das Problem weiterhin besteht, neues Profil weg, alter wieder hin, da es wohl eher nicht am Profil lag und der User (mal wirklich) nichts dafür kann.

Dann muss man weiter suchen.

[Greek-Fighter]

Danke für eure hilfreichen Antworten Leute, jetzt habe ich mir ein ungefähres Bild machen können! Super, as always.