PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spamschleuder Zuhause, was tun?


Dennis84
16.03.2008, 12:00
Hallo Leute,

habe ein sehr grosses Problem, da sich anscheinend ein Rechner im Netzwerk eingeschläust hat, der Spam verteilt.

Die geschichte von Anfang an:

Ein Windows PC ist bei uns aufgefallen, da dauernd eine Meldung des AV kam ala "Prüfe ausgehende Mail", obwohl keine Mail verschickt wurde...
kurze Zeit später kam die erste Abusemeldung --> Rechner neu aufgesetzt!

danach erstmal Ruhe gewesen, wieder ca 2-3 Wochen später kam dann die nächste Abusemeldung --> alle Rechner neu aufgesetzt! (ausser den Linux Router)

hier einmal die Abuse meines Anbieters bzw die Headerdaten meines Spams:

http://www.nopaste.org/p/atqAf4BRg

Nun habe ich den Traffic beobachtet mit iptraf und tcpdump, erstmal port 25, dann durch iptraf den Port 31681, der mir dann folgende Logs auswarf:

http://www.nopaste.org/p/aoiY5gDQt

da kam auch einiges durch, bis ich den dport 25 über die iptables meines Routers geschlossen habe... ich meine dort auch mal die Ip 192.168.0.1 gesehen zu haben, die aber nicht zu meinem subnet hier zuhause passt...

seitdem logge ich jeden Verkehr über smtp Standardports von meinem Router, habe aber nichts auffälliges ...

//edit: hijack this, ms proc explorer laufen lassen, keine komischen einträge...

Was kann ich tun? Mein Problem ist ja erstmal gelöst, aber nicht behoben...

Habt ihr noch andere Ratschläge für mich?

vielen Dank im Voraus!

Dennis
truelife
17.03.2008, 12:19
Hast du die Software gecheckt? Wenn du den Rechner neu aufgesetzt hast, hat vllt. ein Benutzer zuvor und danach eine Software / Screensaver / etc. installiert, die z.B. Rootkits beinhalten.

Ich würde mal nach Rootkits such, z.B. mit gmer.
wisi
29.03.2008, 15:36
Also, wenn ich daran denke, daß du dir die Unbekannte IP 192.168.0.1 beobachtet hast - bei vielen Netzen ist dies die IP vom Router, bei dir nicht? Wenn Du wirklich ein anderes Subnetz benutzt, dennoch aber so eine IP siehst, überprüfe mal, welche Subnetze von deinem Linux-Router per Maquarading weitergeleidet werden? etwa 192.168.0.0/16 ? Wenn ja, klingt das für mich nach einem "fremden" im Netz, etwa durch ein (halb) offenes WLAN?
Dennis84
29.03.2008, 17:46
Hallo Leute,

sorry, habe total verpeilt hier reinzuschauen... war etwas stressig die letzte Zeit :(
also erstmal zu euren Antworten:

Die Windows kisten habe ich alle überprüft, zb mit hijackthis, virenscanner und rootkit scannern, auch mit livedisk! Das heisst die sollten Save sein...

Wie gesagt logge ich seitdem allen Traffic mit, habe aber nix mehr darüber laufen. Von daher warten wir mal ab...

Das Wlan is an sich schon sicher, habe wpa verschlüsselung mit pwlänge >15 Zeichen, also sollte für den "Normalo" nicht zu knacken sein, oder etwas schwerer...
Die ip gehört nicht zu meinem Subnetz, ich habe 192.168.100.*, das war auch das was mich beunruhigt hat.
Ich habe solangsam das Gefühl, das meine Linux kiste was hat...
Aber das kann ich ehrlich gesagt nicht glauben...
Ein Rechner ist imo aber nicht im Haus.

Was kann ich noch testen?
das Problem habe ich an sich ja gelöst, aber die Ursache nicht gefunden...

Vielen Dank für eure Antworten!

Gruß, Dennis
wisi
29.03.2008, 18:50
Wenn du die Linux-Kiste verdächtigst, mal nen chkrootkit installiert und laufen lassen? Kein Fund heißt nicht, daß da nichts ist, aber immerhin einige bekannte Rootkits würden gefunden.

Zum Thema WLAN: unabhängig von der Passwort-Länge des Secrets ist WEP immer unsicher... verwendest du denn WPA(2)?
SpamRam
29.03.2008, 19:01
:o

habe wpa verschlüsselung mit pwlänge >15 Zeichen

:)
Dennis84
30.03.2008, 14:46
Wenn du die Linux-Kiste verdächtigst, mal nen chkrootkit installiert und laufen lassen? Kein Fund heißt nicht, daß da nichts ist, aber immerhin einige bekannte Rootkits würden gefunden.

Zum Thema WLAN: unabhängig von der Passwort-Länge des Secrets ist WEP immer unsicher... verwendest du denn WPA(2)?

du hast dich glaube verlesen :)
ich verwende wpa hehe :)
wpa2 nicht, das unterstützt mein router leider nicht...

chkrootkit hab ich schon laufen lassen, nichts gefunden...
wisi
30.03.2008, 15:46
ok, sieht man denn sonst etwas verdächtiges auf der Kiste? netstat -an | grep 25 zeigt ausgehende connections auf entfernte port 25? Werden irgendwelche verdächtigen Module (evtl. schon per initrd) geladen, die das Rootkit verbergen?
Dennis84
30.03.2008, 16:42
ich weiss nun auch wo die 192.168.0.1 herkommt *gg
hatte das total vergessen, ich hab ein modem am eth0, das über dhcp seine Internet ip an meine Netzwerkkarte gibt, und das Modem hat diese ip!
also doch harmlos, hab mir darüber echt den kopf zerbrochen...

naja, ich denke eigentlich nicht das es meine Linux Kiste ist, vorallem weil ich ja die eine verseuchte windows Kiste gesehen habe.
Ich logge im Moment jeden Traffic von Port 25 und 465 mit und konnte noch nichts auffälliges feststellen... Habe jetzt echt der Verdacht, das es der Rechner sein könnte, der im Moment nicht hier ist.
Mein Linuxrouter wurde von mir und 2 anderen Leuten gecheckt bzw drübergeschaut und wir haben nichts auffälliges gefunden.
Ich werde das nun mal weiter prüfen und den anderen Rechner auf die Sachen testen wenn ich ihn wieder hier habe.

Ansonsten kann ich nicht mehr wirklich viel machen... wenn ich keine Logs auf
dem Server habe kann ich mim Mom net viel machen...

Ich werde euch auf dem laufenden halten!

aber auf jedenfall mal Danke für eure Hilfe :)