Ergebnis 1 bis 9 von 9

Thema: Spamschleuder Zuhause, was tun?

  1. #1
    Neues Mitglied
    Registriert seit
    16.03.2008
    Beiträge
    4

    Standard Spamschleuder Zuhause, was tun?

    Hallo Leute,

    habe ein sehr grosses Problem, da sich anscheinend ein Rechner im Netzwerk eingeschläust hat, der Spam verteilt.

    Die geschichte von Anfang an:

    Ein Windows PC ist bei uns aufgefallen, da dauernd eine Meldung des AV kam ala "Prüfe ausgehende Mail", obwohl keine Mail verschickt wurde...
    kurze Zeit später kam die erste Abusemeldung --> Rechner neu aufgesetzt!

    danach erstmal Ruhe gewesen, wieder ca 2-3 Wochen später kam dann die nächste Abusemeldung --> alle Rechner neu aufgesetzt! (ausser den Linux Router)

    hier einmal die Abuse meines Anbieters bzw die Headerdaten meines Spams:

    http://www.nopaste.org/p/atqAf4BRg

    Nun habe ich den Traffic beobachtet mit iptraf und tcpdump, erstmal port 25, dann durch iptraf den Port 31681, der mir dann folgende Logs auswarf:

    http://www.nopaste.org/p/aoiY5gDQt

    da kam auch einiges durch, bis ich den dport 25 über die iptables meines Routers geschlossen habe... ich meine dort auch mal die Ip 192.168.0.1 gesehen zu haben, die aber nicht zu meinem subnet hier zuhause passt...

    seitdem logge ich jeden Verkehr über smtp Standardports von meinem Router, habe aber nichts auffälliges ...

    //edit: hijack this, ms proc explorer laufen lassen, keine komischen einträge...

    Was kann ich tun? Mein Problem ist ja erstmal gelöst, aber nicht behoben...

    Habt ihr noch andere Ratschläge für mich?

    vielen Dank im Voraus!

    Dennis
    Geändert von Dennis84 (16.03.2008 um 13:10 Uhr)

  2. #2
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.346

    Standard

    Hast du die Software gecheckt? Wenn du den Rechner neu aufgesetzt hast, hat vllt. ein Benutzer zuvor und danach eine Software / Screensaver / etc. installiert, die z.B. Rootkits beinhalten.

    Ich würde mal nach Rootkits such, z.B. mit gmer.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  3. #3
    Mitglied
    Registriert seit
    21.10.2006
    Ort
    Spenge
    Beiträge
    162

    Standard

    Also, wenn ich daran denke, daß du dir die Unbekannte IP 192.168.0.1 beobachtet hast - bei vielen Netzen ist dies die IP vom Router, bei dir nicht? Wenn Du wirklich ein anderes Subnetz benutzt, dennoch aber so eine IP siehst, überprüfe mal, welche Subnetze von deinem Linux-Router per Maquarading weitergeleidet werden? etwa 192.168.0.0/16 ? Wenn ja, klingt das für mich nach einem "fremden" im Netz, etwa durch ein (halb) offenes WLAN?

  4. #4
    Neues Mitglied
    Registriert seit
    16.03.2008
    Beiträge
    4

    Standard

    Hallo Leute,

    sorry, habe total verpeilt hier reinzuschauen... war etwas stressig die letzte Zeit
    also erstmal zu euren Antworten:

    Die Windows kisten habe ich alle überprüft, zb mit hijackthis, virenscanner und rootkit scannern, auch mit livedisk! Das heisst die sollten Save sein...

    Wie gesagt logge ich seitdem allen Traffic mit, habe aber nix mehr darüber laufen. Von daher warten wir mal ab...

    Das Wlan is an sich schon sicher, habe wpa verschlüsselung mit pwlänge >15 Zeichen, also sollte für den "Normalo" nicht zu knacken sein, oder etwas schwerer...
    Die ip gehört nicht zu meinem Subnetz, ich habe 192.168.100.*, das war auch das was mich beunruhigt hat.
    Ich habe solangsam das Gefühl, das meine Linux kiste was hat...
    Aber das kann ich ehrlich gesagt nicht glauben...
    Ein Rechner ist imo aber nicht im Haus.

    Was kann ich noch testen?
    das Problem habe ich an sich ja gelöst, aber die Ursache nicht gefunden...

    Vielen Dank für eure Antworten!

    Gruß, Dennis

  5. #5
    Mitglied
    Registriert seit
    21.10.2006
    Ort
    Spenge
    Beiträge
    162

    Standard

    Wenn du die Linux-Kiste verdächtigst, mal nen chkrootkit installiert und laufen lassen? Kein Fund heißt nicht, daß da nichts ist, aber immerhin einige bekannte Rootkits würden gefunden.

    Zum Thema WLAN: unabhängig von der Passwort-Länge des Secrets ist WEP immer unsicher... verwendest du denn WPA(2)?

  6. #6
    Mitglied Avatar von SpamRam
    Registriert seit
    11.09.2005
    Beiträge
    910

    Standard


    Zitat Zitat von Dennis84 Beitrag anzeigen
    habe wpa verschlüsselung mit pwlänge >15 Zeichen
    Forum-Statistik: 80%: 100x dieselbe Frage! Kaum einer liest, bevor er fragt! 10% zu faul, selbst zu suchen, oder man liest "leudz, lol, oO" und vokalloses SMS-Gestammel. => 90% Ausschuss. 10% helfen weiter, Schreiber hat überlegt, was er schreibt und Rechtschreibung geprüft. Traumhaft :-). [(M.Goldmann, gekürzt, Internet Professionell 4/07)]
    Die deutsche Sprache ist Freeware, jeder darf sie kostenlos nutzen. Sie ist jedoch nicht OpenSource und eigenmächtige Veränderungen sind nicht gestattet.

  7. #7
    Neues Mitglied
    Registriert seit
    16.03.2008
    Beiträge
    4

    Standard

    Zitat Zitat von wisi Beitrag anzeigen
    Wenn du die Linux-Kiste verdächtigst, mal nen chkrootkit installiert und laufen lassen? Kein Fund heißt nicht, daß da nichts ist, aber immerhin einige bekannte Rootkits würden gefunden.

    Zum Thema WLAN: unabhängig von der Passwort-Länge des Secrets ist WEP immer unsicher... verwendest du denn WPA(2)?
    du hast dich glaube verlesen
    ich verwende wpa hehe
    wpa2 nicht, das unterstützt mein router leider nicht...

    chkrootkit hab ich schon laufen lassen, nichts gefunden...

  8. #8
    Mitglied
    Registriert seit
    21.10.2006
    Ort
    Spenge
    Beiträge
    162

    Standard

    ok, sieht man denn sonst etwas verdächtiges auf der Kiste? netstat -an | grep 25 zeigt ausgehende connections auf entfernte port 25? Werden irgendwelche verdächtigen Module (evtl. schon per initrd) geladen, die das Rootkit verbergen?

  9. #9
    Neues Mitglied
    Registriert seit
    16.03.2008
    Beiträge
    4

    Standard

    ich weiss nun auch wo die 192.168.0.1 herkommt *gg
    hatte das total vergessen, ich hab ein modem am eth0, das über dhcp seine Internet ip an meine Netzwerkkarte gibt, und das Modem hat diese ip!
    also doch harmlos, hab mir darüber echt den kopf zerbrochen...

    naja, ich denke eigentlich nicht das es meine Linux Kiste ist, vorallem weil ich ja die eine verseuchte windows Kiste gesehen habe.
    Ich logge im Moment jeden Traffic von Port 25 und 465 mit und konnte noch nichts auffälliges feststellen... Habe jetzt echt der Verdacht, das es der Rechner sein könnte, der im Moment nicht hier ist.
    Mein Linuxrouter wurde von mir und 2 anderen Leuten gecheckt bzw drübergeschaut und wir haben nichts auffälliges gefunden.
    Ich werde das nun mal weiter prüfen und den anderen Rechner auf die Sachen testen wenn ich ihn wieder hier habe.

    Ansonsten kann ich nicht mehr wirklich viel machen... wenn ich keine Logs auf
    dem Server habe kann ich mim Mom net viel machen...

    Ich werde euch auf dem laufenden halten!

    aber auf jedenfall mal Danke für eure Hilfe

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen