PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spam via Webmail



holofloh
21.07.2010, 21:04
Hallo Leute

ich habe in den letzten zwei Wochen mehrmals beobachten können wie Spam über unsere Webmail Server versendet wurde. Gemäss Logfiles wird dabei als Benutzer eingeloggt und dann, vermutlich via Script, eine neue Mail nach der anderen erstellt. Das ganze relativ gemächlich damit es nicht so schnell auffällt aber doch mit bis zu einigen hundert Empfängern pro Stunde.

Ich hatte das schon auf zwei verschiedenen Systemen die weitgehend aber nicht komplett identisch sind (verschiedene Kunden mit unterschiedlichen Anforderungen). In allen Fällen wurde Benutzernamen und Passwort von existierenden Kunden genutzt. Die Logins kommen von "praktisch überall". Sperrt man eine IP, macht eine komplett andere irgendwann weiter. In mindestens einem Fall muss das Passwort relativ komplex gewesen sein (Aussage des Kunden, ich selber sehe nur einen Hash in der DB). Wird das Kunden PW geändert ist der Spuk vorbei!

Wie die Spammer an den Account gekommen sind weiss ich nicht. Entweder wurden die direkt vom Rechner des Kunden geklaut oder irgendwie abgefisht. Brute-Force auf den Server schliesse ich aus das wäre aufgefallen. Würde direkt aus der Server-DB geklaut wären bestimmt mehr Fälle aufgetreten und das müsste im DB Accesslog auffallen. Zumal die DB von aussen nicht erreichbar ist. Da habe ich aber jetzt trotzdem ein wachsames Auge drauf.

Mir scheint das eine neue Masche zu sein, seID: [ID filtered]

Flo

TillP
21.07.2010, 21:46
Wie die Spammer an den Account gekommen sind weiss ich nicht. Entweder wurden die direkt vom Rechner des Kunden geklaut oder irgendwie abgefisht. Brute-Force auf den Server schliesse ich aus das wäre aufgefallen. Würde direkt aus der Server-DB geklaut wären bestimmt mehr Fälle aufgetreten und das müsste im DB Accesslog auffallen. Zumal die DB von aussen nicht erreichbar ist. Da habe ich aber jetzt trotzdem ein wachsames Auge drauf.

Mir scheint das eine neue Masche zu sein, seID: [ID filtered]

Ist nicht wirklich neu diese Masche. Passwörter bringen halt nichts, wenn ein Trojaner das Passwort abfängt oder der Nutzer das Passwort auf einer Phishing-Seite eingibt...