Gerade eine weitergeleitete Mail aus meinem dienstlichen Webmaster-Account bekommen, bei der es mir die Nackenhaare aufstellt:
Return-Path: <>
Delivery-Date: Sun, 11 Dec 2005 xx:xx:xx +0100
Received: from [212.114.212.14] (helo=mx2.nefonline.de)
by mx.kundenserver.de (node=mxeu1) with ESMTP (Nemesis),
ID: [ID filtered]
Received: from localhost (localhost)
by mx2.nefonline.de (NEFkom Mailservice) ID: [ID filtered]
Sun, 11 Dec 2005 xx:xx:xx +0100
Date: Sun, 11 Dec 2005 xx:xx:xx +0100
From: Mail Delivery Subsystem <MAILER-DAEMON [at] mx2.nefonline.de>
Message-ID: [ID filtered]
To: <MEINE_DIENSTLICHE_WEBMASTER-ADRESSE>
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="jBBKqjeH007127.1134334365/mx2.nefonline.de"
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)
Envelope-To: MEINE_PRIVATE_MAILADRESSE

Im Nachrichtenteil schaut das dann so aus:

The original message was received at Sun, 11 Dec 2005 xx:xx:xx +0100
from p5494C76F.dip.t-dialin.net [84.148.199.111]

----- The following addresses had permanent fatal errors -----
<NICHT_EXISTIERENDES_POSTFACH [at] EXISTIERENDER_SERVER.FOO>
(reason: 550 No such mail drop defined.)
Das ganze steht 55 mal hintereinander, für verschiedene Postfachnamen, die aussehen, wie aus unserem DAVID-Adressbuch gewürfelt, gefolgt von

----- Transcript of session follows -----
... while talking to EXISTIERENDER_SERVER.:
>>> RCPT To:<NICHT_EXISTIERENDES_POSTFACH [at] EXISTIERENDER_SERVER.FOO>
<<< 550 No such mail drop defined. für die gleichen 55 "Postfächer".

Angehängt ist eine Sober.y-Mail mit dem Subject "SMTP Mail gescheitert"

Meine Frage: Habe ich da eine faule Dose im Nest, oder tut da nur ein Wurm so, als käme er von uns und wir kriegen jetzt die Bounce-Parade vorgetanzt?

Mit beunruhigten Grüßen
L.
(dem gerade die Düse geht)

P.S. Bezüglich p5494C76F.dip.t-dialin.net [84.148.199.111]:
Unser Büro hängt per 1&1-DSL am Netz, das könnte wirklich aus unserem Stall stammen, aber der Access-Router kann leider nicht die zugeteilten Provider-IPs loggen.:sick:

Wenn eine Kiste bei euch verseucht ist, dann müsste der Wurm permanent Mails von euch versenden. Ein 'traceroute' der Absender-IP per CentralOps.net müsste bei eurem Router landen.

Möglicherweise hilft auch die Virus-Beschreibung: http://www.antiviruslab.com/description.php?virus=288453&lang=de

...
P.S. Bezüglich p5494C76F.dip.t-dialin.net [84.148.199.111]:
Unser Büro hängt per 1&1-DSL am Netz, das könnte wirklich aus unserem Stall stammen, aber der Access-Router kann leider nicht die zugeteilten Provider-IPs loggen.:sick:

Hier kannst Du grob testen, ob die geografische Richtung passen könnte: http://geobytes.com/IpLocator.htm?GetLocation.
Ist denn NEFkom bei Euch aktiv, kenne ich nur aus dem Großraum Nürnberg.

ansonsten empfehle ich Dir, auf einer Kiste ein Script laufen zu lassen, das irgendeinen IP-Dienst regelmäßig mit wget aufruft, z.B. http://wasistmeineip.de, und die Ergebnisse zu sichern. Dann hast Du nachträglich einen Überblick.

Ist denn NEFkom bei Euch aktiv, kenne ich nur aus dem Großraum Nürnberg.


1. Ja.
2. Bei denen ist exakt die Domain gehostet, auf der der Wurm diese 55 Postfächer vergeblich durchgeklingelt hat.(Also in der Schreibweise des Ausgangspostings: EXISTIERENDER_SERVER .FOO)

Kennt hier jemand einen extremst zuverlässigen sofort verfügbaren Online-Scanner für Win2k-Server, der auch Killen kann?
Ich traue der eingesetzten Schutzlösung nämlich erst mal nicht mehr, solange ich nicht weiss, ob der Wurm bei uns sitzt. *üblen_Fluch_ausstoß*

So, erst mal Fluppen holen gehen. Kotzt mich dieser Tag schon wieder an... *knurr*

MfG
L.

Kennt hier jemand einen extremst zuverlässigen sofort verfügbaren Online-Scanner für Win2k-Server, der auch Killen kann?
Unsere Windows-geplagten Admins schwärmen vom Trend Micro (http://www.trendmicro.de/) ServerScan und wollen den Namen "Norton" nie mehr hören und lesen.
Von TM kannst Du eine Testversion für 30 Tage runterladen.

Unsere Windows-geplagten Admins schwärmen vom Trend Micro (http://www.trendmicro.de/) ServerScan und wollen den Namen "Norton" nie mehr hören und lesen.
Von TM kannst Du eine Testversion für 30 Tage runterladen.

Gute Idee und ein guter Grund, dem Geschäftsführer klar zu machen, das es letztendlich billiger ist, Altlasten wie z.B. den von mir schon lange angemahnten Virenscanner über Bord zu kippen.

MfG
L.

F-Secure verrichtet seinen Dienst auch recht gut, verbraucht allerdings unter Windows XP recht viel Arbeitsspeicher. Sollte also nicht auf älteren Kisten zum Einsatz kommen.

...
Kennt hier jemand einen extremst zuverlässigen sofort verfügbaren Online-Scanner für Win2k-Server, der auch Killen kann?
Ich traue der eingesetzten Schutzlösung nämlich erst mal nicht mehr, solange ich nicht weiss, ob der Wurm bei uns sitzt. *üblen_Fluch_ausstoß*

In den letzten c't s waren spezielle Konfigurationen von BartsPE bzw. Knoppix mit integriertem Virenscanner, die nach Boot von CD die Signaturen übers Internet nachladen und dann die Kiste aus einer definitiv sauberen Umgebung aus scannen können.

Ansonsten bin ich mit AVG (http://www.spamfree.de/de/produkte/anti-virus/avg.htm)sehr zufrieden. Kam zwar in der aktuellen c't bzgl. Erkennungsleistung nicht so super weg, ist aber von der Geschwindigkeit und der Systembelastung her spitze. Und die Lizenz kostet jeweils für 2 Jahre soviel wie andere für 1 Jahr.

Und da ich noch eine Linuxfirewall mit Spam- und Virenscanner vorgeschaltet habe paßt das dann auch.

Ich werde mich wohl erst mal mit dem Produkt von TrendMicro beschäftigen. Derzeit läuft ein Housecall-Scan.

MfG
L.

Derzeit läuft ein Housecall-Scan.

Erster Durchgang is fäddich. Da geben sich diverse Sober und Netsky die Klinke in die Hand. *FLUCH* Habe erst mal auf "säubern" geschaltet und mache danach nochmal einen Scan. SO EINE SCHEIXXE!!!!! Kann man eigentlich den Hersteller unfähiger Virenschutz-Software für sowas verklagen, ohne eine Kriegskasse in der Größenordnung eines Einfamilienhauses vorhalten zu müssen?

Mit stressgeplagten Grüßen
L.

Hi Stalker,
ich tät auch die Motten kriegen, bei so einem Befall.
Wir habe in unserem Netzwerk seit mehreren Jahren Trend Micro im Einsatz.
Die Softwar ist sowohl am Server als auch auf jedem Client im Einsatz. Die Signaturen auf dem Server lassen wir stündlich updaten.
Wir haben inzwischen seit mind. 3 Jahren keinen Viren/Wurmbefall mehr auf einem Client, wobei diese Biester massenhaft einschlagen. Den Wurm Sober.AG hat das Programm schon mind. 1.500 mal gekillt.
Viel Spass beim Wurmfangen, ich hoffe, du bist Angler zur Zweitverwertung.
:rolleyes:
Wobei die Lösung sicher nicht billig ist, aber in einem Profi Netzwerk geht es nicht anders,
das sieht auch unsere Geschäftsleitung ohne wenn und aber ein.

...
Wobei die Lösung sicher nicht billig ist, aber in einem Profi Netzwerk geht es nicht anders,
das sieht auch unsere Geschäftsleitung ohne wenn und aber ein.
Wie gesagt: Bei den von mir betreuten Netzen: Linux-Firewall mit Spam- und Virenfilter (alles Open-Source), d.h. beim Client kommen schon fast keine Viren mehr an, egal wieviele per Mail einprasseln.
Spam wird mit einer Kennung im Betreff zugestellt => leichte Filterung.
Zusätzlich auf den (Windows-)Servern und den (Windows-)Clients AVG und gut ist (und relativ preiswert).

Mal eine Frage zu Eurem Netzwerk:
Werden die Dateien der Mitarbeiter auf den Festplatten, bzw. auf dem Laufwerk c: selbst oder Zentral auf einem Fileserver gespeichert?


Je nach dem, wo die Mitarbeiter-Daten (z.B. Emails, sonstige Arbeits-Dateien, etc...) und Einstellungen gespeichert werden, würde sich evtl auch der Einsatz von Reborn-Karten in den Windows-Workstations lohnen.
Eine Reborn-Karte stellt beim Neustart eines Rechners einen definierten Zustand der überwachten Festplatten/Partitionen wieder her...
Wenn sich doch einmal ein Virus auf C: einnisten sollte, wäre er beim nächsten Systemstart automatisch weg...

Übrigens:
Zur Vorbeugung gibt es jetzt von M$ auch eine Hardwarelösung gegen Trojaner (http://www.spamfree.de/de/news/microsoft-aufkleber-gegen-trojaner.htm) :)

Übrigens:
Zur Vorbeugung gibt es jetzt von M$ auch eine Hardwarelösung gegen Trojaner (http://www.spamfree.de/de/news/microsoft-aufkleber-gegen-trojaner.htm) :)

Genial, werde ich sofort weiterempfehlen an meinem Rechner funktionierts einwandfrei, werds aber noch ein paar Tage testen.:)

P.S.: Ich krieg den Aufkleber nicht auf Maus- und Stromstecker gleichzeitig. Die liegen zu weit auseinander.
Hilfe!! was ist zu tun??

Hilfe!! was ist zu tun??
Da musst Du das Professional-Paket holen, da sind zwei Aufkleber drin - mit zwei gesondert berechneten Lizenzen. :clown:

Eigentlich sollte es reichen, das Ding über die Telefonbuchse zu kleben, dann hat man sogar Mehrfachschutz:

Keine Gefahren mehr durchs Internet
Kein Telefonterror
Keine Werbefaxe

Beim Briefkasten hilft einfacher Tesafilm über die Briefkastenklappe geklebt ;)

Da musst Du das Professional-Paket holen, da sind zwei Aufkleber drin - mit zwei gesondert berechneten Lizenzen. :clown:

Danke für den Tip, zwei Lizenzen kann ich mir aber leider gerade nicht leisten, aber wenn ich die Gewinnauszahlung erhalten habe, werde ich ganz sicher deinem Ratschlag folgen:

LOTERIA PRIMITIVA
AWARD/PROMOTIONAL DEPARTMENT
VALENCIA.SPAIN.
http:
//loteria.com/primitiva.php

We are please to announce you as one
of the 12 lucky winners in the email lottery programme draw of the
LOTERIA PRIMITIVA held on the 12th of october 2005. All 12 winning
addresses were randomly selected from a batch of 100,000,000
international emails Your email address emerged along sidewith 12
others as a category 6 winner in this year's loteria primitiva award
Draw.
Most recently the foundation set up the NEW HOPE LOTTERY to give
out prizes based on the computer ballot system( THEREFORE YOU DO NOT
NEED TO BUY A TICKET TO ENTER FOR IT.YOUR EMAIL ADDRESS WAS RANDOMLY
SELECTED AS A WINNER ).

Consequently,you have therefore been
approved a MEGA JACK POT of 1,427,159.00 euro ( One million,four
hundred and twenty seven thousand,one hundred and fifty-nine euro )only.
The following particulars are attached to your lotto payment order:

(i) Result winning numbers:16-27-35-43-46-47-2-4
(ii) email ticket
number: FL754/22/76
(iii) Lotto code number: PDP98643JK
(iv) The file
Ref number: FL/04/67903456/SP

Please,note that you will be require to
notarized and obtained a vetting approval before your winning prize can
be transfered.To immediately claim your prize,contact the claim/paying
agent below.