Trojaner/Wurm infizierter Mailserver

[StefanWe 14]

Hi,

 

habe hier ein echt be******enes Problem.

 

Wir haben seit einigen Tagen das Problem das über unsern Mailserver Mails an email@gmail.com geschickt werden. (SPAM Mails) mit unserem Absender.

 

Als Mailserver läuft hier ein David Zehn. Ein Client kann es nicht sein, da die Mails auch nachts verschickt werden. Ich vermute es ist unser mailserver.

 

Virenscanner und AntiSpyware finden nichts.

 

Vor dem Mailserver hängt eine Firewall, im Log finde ich ebenfalls nichts, das jemand von außen versucht über unsern Server Mails zu verschicken.

 

Habe jetzt erstmal den Mailserver vom Netz genommen. Jetzt würde mich aber interessieren ob es wirklich der Server ist.

Habe mit Wireshark auf dem Mailserver mir die pakete angeschaut, aber dort tauchen keine Verbindungen auf, nach etwas suchen im Internet habe ich gesehen, das man unter Windows nicht das Loopback interface ablauschen kann.

 

Hat jemand eine Idee, wie ich dem ganzen nun etwas auf die schliche kommen kann? Ich will ja nicht gleich das System neu installieren, ohne zu wissen woher es wirklich kam.

[Stephan Betken 43]

Eigentlich sollte doch im DVISE-Administrator (oder wie auch immer der jetzt heißt) im Ausgangsprotokoll ersichtlich sein, ob die Mails von eurem Postman versendet wurden. Nur weil irgendwo Mails mit eurem Absender auftauchen heißt das aber nicht unbedingt, dass die Mails von eurem Server kommen.

[StefanWe 14]

die mails laufen über den Postman. So stehts im Ausgangsbuch.

 

Allerdings finde ich weder im Log Monitor vom Postman noch im Log meiner Firewall, wer über Port 25 auf meinen Mailserver eine Verbindung aufbaut.

Daher vermute ich, das es über das Loopback Interface geht.

[StefanWe 14]

ich habe gerade festgestellt, habe den Postman nun beendet und trotzdem habe ich nun eine neue mail im ausgangsbuch. wie kann das angehen? es kann ja nun keiner mehr auf port 25 zugreifen, da der dienst nicht läuft

[djmaker 95]

Viele Viren bringen Ihren eigenen SMTp-Server mit, das ist kein Kunststück und in ein paar KB unterzubringen.

[StefanWe 14]

aber dann ist es doch trotzdem merkwürdig, das die mails in meinem david auflaufen, auf wenn mein postman nicht läuft, tauchen sie trotzdem im ausgangsbuch auf, zwar als unbearbeitet, aber sie stehen auf einmal drin.

[Sanic 10]

Hast du denn schon mal nachgesehen ob merkwürdige Prozesse auf deinem Server laufen?

Kommen auch "neue Mails" rein wenn der Server gar keine Netzwerkverbindung hat?

[StefanWe 14]

also merkwürdige prozesse hab ich keine gefunden. mails kommen dann nicht an.

 

nur eben versuchen rauszugehen

[surfcontrol 10]

Hi,

fahr doch mal den Server abgesichert hoch und lass das alles mal online von einem Scanner tsten.

Oder besorge mal eine starfähige CD eines Antivirenprogramms. der lädt dann neue Signaturen nach und geht die Sache mit geänderten Rechten an.

Findet der nichts, dann muss überlegt werden, was zu tun ist.

Wir hatten bei einem meiner früheren Arbeitgebern auch mal so eins Situation, da standen tausende Mails im Ausgang, allerdings bei Davic 8. Das Problem war dann ein fehlerhafter Eintrag bei der Authentifizierung. ABer frag mich nicht mehr wie das damals war.

Jednfalls nach Änderung dieses Zustandes war der Spuk vorbei.

surfcontrol

[StefanWe 14]

folgendes, habe nun den tcp port mal auf port 26 gesetzt.

 

emails werden trotzde mversucht zu versenden. die emails die reinkommen, sind die gleichen mails die raus gehen.

 

Nur ie kriege ich nun raus, woher die emails kommen, die ständig da im postausgang liegen?

 

von cd booten udn scannen udn abgesichterte modus, alles shcon probiert - nichts gefunden.

 

fehler mit authentifizierung? was meinst du damit genau?

 

Aber mails an gmail.com? folgendem inhalt?

 

 

Hello jonn2!

 

Thanks for your message to oftecs.de.

The message has been forwarded to

the relevant person and will be taken care of immediately.

 

Your company name

oftecs.de

 

------------------------------------------------------------------------------

 

Your message to us:

comment4, <a

href="http://redo.homeunix.net/century-21-north-houses-for-sale-in-mass.html">ce

ntury 21 north houses for sale in mass</a>, >:-((, <a

href="http://rame.shacknet.nu/condo-for-sale-holiday-villa-ii.html">condo sale

holiday villa ii</a>, 5729, <a

href="http://flaw.homeunix.org/flushing-condos-for-cheap-sale-in-nyc.html">flush

ing for cheap sale in nyc</a>, 5749, <a

href="http://tele.thruhere.net/sale-used-cars-in-atlanta-private-owner.html">sal

e used cars in private owner</a>, 2653, <a

href="http://rame.shacknet.nu/private-condo-sales-toronto.html">private condo

toronto</a>, :-(, <a

href="http://flaw.homeunix.org/co-ops-condos-for-sale-woodside-queens.html">co-o

ps condos for woodside queens</a>, 8-DD, <a

href="http://flaw.homeunix.org/lsu-condos-for-sale.html">lsu condos sale</a>,

%-((, <a href="http://tele.thruhere.net/new-home-necktie.html">new home necktie

</a>, %OOO, <a

href="http://tele.thruhere.net/springfield-mo-loft-rentals.html">springfield mo

loft</a>, 8DDD, <a

href="http://rame.shacknet.nu/beachfront-condo-florida-keys-for-sale.html">beach

front condo keys for sale</a>, ogowo, <a

href="http://tele.thruhere.net/rv-parks-in-rancho-bernardo.html">rv parks in

rancho bernardo</a>, :-OOO, <a

href="http://eyes.is-a-geek.net/loft-style-apartment-in-lincoln-park-chicago.htm

l">loft style apartment in lincoln chicago</a>, gmkde, <a

href="http://redo.homeunix.net/house-for-rent-by-century-21.html">house rent by

century 21</a>, 796716, <a

href="http://eyes.is-a-geek.net/vanguard-nasdaq-index-mutual-funds.html">vanguar

d nasdaq index mutual funds</a>, 449, <a

href="http://redo.homeunix.net/rent-a-home-with-century-21.html">rent a home

with 21</a>, 084, <a

href="http://redo.homeunix.net/century-21-action-long-beach-are-they-good.html">

century 21 action long beach are they good</a>, :-OO, <a

href="http://tele.thruhere.net/second-hand-wedding-dresses-los-angeles.html">han

d wedding dresses los angeles</a>, iwbkkf, <a

href="http://redo.homeunix.net/condos-for-sale-in-panama-city-beach-florida.html

">for sale in panama city beach florida</a>, 8-)), <a

href="http://tele.thruhere.net/property-for-sale-kelowna-area-lakefront.html">pr

operty sale kelowna area lakefront</a>, :-PPP, <a

href="http://redo.homeunix.net/century-21-website-templates.html">century 21

website templates</a>, %(, <a

href="http://flaw.homeunix.org/regency-towers-myrtle-beach-condos-for-sale.html"

>regency towers myrtle condos for sale</a>, hpmotd,

[surfcontrol 10]

Hi,

ja genau das hatten wir damals auch. Da wurden dutzende Mails im Sekundentakt generiert. Die gleichen kamen dann wieder rein und so ging das ewig fort. Gleichzeitig war die Maschine fast am oberen Drehzahlbegrenzer.

Das ist jetzt schon gut 3 Jahre her.

Da war bei den POP Konten bei der Authentifizierung auf einmal ein falsches PW drin.Nachdem das behoben war ging alles wieder normal.

Ich erinnere mich auch noch daran, daß ein anderer Benutzer im damaligen Tobit Forum diesen Fehler ebenfalls gemeldet hat. Er hat dann die Kiste neu hochgezogen und dennoch war das Ärgernis nicht behoben.

Auch er hat dann bei den Authenitifizierungen nachgesehen und alles nochmals geprüft und dann hats ebenfalls wieder geklappt.

Ist nur eine Vermutung.

Notfalls, wenn alles fehlschlägt, kommt die bittere Stunde. Leider.

surfcontrol

[StefanWe 14]

mh also pop konten nutzen wir nicht, daher kann mit authentifizierung eigentlich nix schief laufen..

 

oh man ist das ein murks..

[surfcontrol 10]

Wenn ich mal auf die gezeigten Seiten klicke, dann handelt es sich um Webserver und Ftp Server.

Wenn das mit den POP nicht ist, würde ich den Kameraden platt machen.

Ich weiß, das ist nicht beliebt. Sicher ist aber in diesem Fall sicherer.

surfcontrol

[StefanWe 14]

platt gemacht wird das teil auf jedenfall - nur ich möchte schon ganz gerne wissen was das ist.

 

gibt es denn irgendwelche tools die aufzeigen, was im hintergrudn von windows läuft ?

[Sanic 10]

Der ProcessExplorer ist recht detailiiert:

Process Explorer