PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Was genau ist der ddos%helo% Spambot?



TorstenS
11.12.2012, 17:33
Hallo zusammen!

Ich hätte da eine geblacklistete IP-Adresse, d.h. ich schaue auf http://cbl.abuseat.org/lookup.cgi?ip=xx.xx.xx.xx und da steht dann:



IP Address xx.xx.xx.xx is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2012-12-08 07:00 GMT (+/- 30 minutes), approximately 3 days, 9 hours ago.

It has been relisted following a previous removal at 2012-11-02 15:28 GMT (39 days, 41 minutes ago)

This IP is infected (or NATting for a computer that is infected) with the ddos%helo% spambot. In other words, it's participating in a botnet.


Soweit, so klar.

Aber wie bekomme ich irgendwelche genaueren Informationen, was der "ddos%helo%"-Spambot ist, damit ich ihn suchen und eleminieren kann.

Ich weiß was ein Botnet ist bzw. was ein Spambot ist und ich weiß auch was eine DDoS-Attacke ist. Aus der Schreibweise entnehme ich aber, dass es sich bei ddos%helo% um einen ganz bestimmtes, bekanntes Botnetz handelt. Nur ich finde dazu nichts. Kann jemand aushelfen?

Gruß
Torsten

alicesophie
11.12.2012, 17:40
Nur zur Klarstellung: Geht es dabei um deine IP-Adresse, die auf der Blacklist steht?

Es kann nämlich durchaus sein, dass dich das dann gar nicht betrifft. IP-Adressen werden in Deutschland überwiegend dynamisch vergeben: Du kriegst bei jedem Login ins Internet eine neue zugeteilt. Insbesondere, wenn die letzten Spam-Aktivitäten drei Tage alt sind (siehe Zeile Zwei deines Quotes), kann es sein, dass die IP da jemand ganz anderem gehörte.

TorstenS
11.12.2012, 18:12
Es geht um die IP-Adresse eines Mailservers für den ich verantwortlich bin.
Also es ist durchaus mein Problem und ich habe auch nicht aus Spass mal meine dynmaische IP mit der ich surfe da eingegeben, sondern der Hinweis auf die CBL stammt aus der NDN (Non Delivery Notification) für eine legitime E-Mail, die von diesem Server aus an einen anderen MX geschickt werden sollte.

alicesophie
11.12.2012, 18:31
Das waren Informationen, die aus deinem Eingangspost nicht ersichtlich waren, aber zur Klärung durchaus beitragen könnten.

So wie ich das verstehe, kann es durchaus sein, dass nicht dein Mailserver infiziert ist sondern einer deiner Klienten, der den Mailserver nutzt? ("NATting for a Computer that is infected.") Ich weiß nicht genügend über die Struktur deines Servers, um da sichere Vermutungen anzustellen, und ich verstehe auch, dass du dich nicht darauf verlassen willst, wenn Virenscanner deinen Mailserver als Sauber bezeichnen. Könntest du versuchen, nachzuvollziehen, ob übermäßiges Mail-Aufkommen von einem deiner Klienten über den Mailserver abgesetzt wurde oder ob der Mailserver selber das veranlasst hat?

carsten.gentsch
12.12.2012, 17:41
Hallo
schau doch mal mir rootkit hunter ob bei dir auf dem server was ist was nicht da sein sollte.
Sowas kommt immer mal vor. Ich hatte das erst vor kurzen da hat sich ein mailserver einer Firma versucht in meine WP einzuloggen. Dem Admin hab ich ne Emailgeschrieben und bekamm als rückantwort das dort Sachen installiert waren die dort nicht hingehörten ;)
Wie sag ich immer lieber paranoID: [ID filtered]

Gruß