Jump to content

Spam Bot im Netzwerk aufspüren?

OscarWilde
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

OscarWilde Experienced

OscarWilde   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich bin bisher von Zombierechnern verschont geblieben, aber es scheint sich trotz Panda Business Secure ein Zombie im Netz zu befinden, den ich bisher nicht aufspüren konnte. :suspect:

Der Spamversand ist im Moment massiv (läuft nicht über Exchange) und ich weiß nicht so recht, wie ich den betreffenden Rechner finden soll, kann mir jemand ein paar Tipps zur Vorgehensweise geben oder auch ein paar Tools nennen mit denen ich einen solchen Rechner finden könnte?

 

Ich habe hier ein 2K3 Server mit Exchange, einige Server 2K3 und ca 50 Workstations mit XP. Alle sind mehr oder weniger auf dem neusten Stand und mit Panda Business Secure geschützt (sollten sie zumindest, dachte ich :shock:). Ansonsten haben wir nach außen eine Cicso Managed Firewall.

 

Danke!

 

Frank

Link zu diesem Kommentar
djmaker Veteran

djmaker   95

Geschrieben
Geschrieben
Genau das mache ich jetzt mal, ich muss das allerdings in Auftrag geben, da es einen Managed FW ist, irgendeine Cisco ASA...

 

Kann ich mit irgendeinem Tool im Netz evtl. aufzeichnen wer da versucht auf Port 25 zu senden?

 

 

Sofern dein Switch port Mirroring unterstützt kannst Du den ausgehenden Datenverkehr auf einen anderen Port spiegeln und auswerten (MS network Monitor, ethereal etc.)

Link zu diesem Kommentar
Gast zzZZStonyZZzz

Gast zzZZStonyZZzz  

Geschrieben
Geschrieben
Danke für die vielen Antworten! Ich hatte gestern Port 25 für alle außer dem Mailserver zugemacht und der Arbeitsplatz hat sich dabei selber verraten, indem eine Meldung aufging "Proxy not aviable". Auf das Logfile der ASA warte ich noch da managed FW.

 

Dann bleibt Dir ja nur noch Dein kompromittiertes Netz (aka alle Rechner) neu aufzusetzen und dann Dein Sicherheitskonzept zu überdenken (Panda Business Secure hat sich ja schonmal als wirkungslos erwiesen... allerdings sind auch die Produkte der Mitbewerber prinzipbedingt auch nicht viel mehr als Placebos).

 

Vorher solltest Du allerdings noch herausfinden wie der Bot in Dein System gelangen konnte... Ich könnte mir gut vorstellen das Deine User mindestens Hauptbenutzer auf ihren Maschinen sind.

 

Was mir schwer zu denken geben würde ist das der Spambot sich mittels Dialogfeld zu Wort meldet... entweder dilletantisch programmiert oder ein schlaues Ablenkungsmanöver...

 

Im übrigen halte ich eine "manged Firewall" die man im Notfall nicht selbst bedienen oder konfigurieren kann für sinnlos. Wenn man erst mühsam einem Dienstleister erklären muß was er zu ändern hat kann es schon zu spät sein..

 

Gut wäre natürlich, wenn die FW zumindest in groben Zügen den SMTP-Verkehr mitgeloggt hat... Vielleicht hat der Bot ja auch das eine oder andere wichtige Word-Dokument, Excel-Sheet oder Bild als Anhang mit verschickt...

 

Ich drücke Dir die Daumen, dass es wirklich nur ein schlecht gemachter Spambot war der Viagra-Werbung verteilt hat...

 

Grüßle,

Stonie

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...