Verseuchten Outlook Client finden

[TiTux 10]

Hallo,

 

es geht um ein Windows 2003 Netz, indem sich ein Exchange 2003 Server mit ca. 30 Outlook 2003 Clients befindet.

 

Unter den Konnektoren ist unser Provider eingetragen, über den versendet wird. Nun ist es so, dass wohl einmal am Tag

ein Haufen Spam verschickt wird, dieser landet dann in der Warteschlange des SMTP-Connectors. So ca. 100.000 Mails.

Der Exchange Server selber wurde mit mehreren Antiviren Clients überprüft, es konnte nichts gefunden werden, also vermute ich,

dass einer der Clients mit einem Trojaner verseucht ist und zu einer bestimmten Zeit mit dem Massen versenden anfängt.

Wie kann ich jetzt am besten rausbekommen, von welcher IP der Spam erzeugt wird? Die Kommunikation zwischen Outlook Client

und Exchange läuft ja über Mapi und benutzt RPC/IP, wenn ich das richtig gelesen habe. Der Client benutzt dafür doch eine dynamische Port-Range,

um die Verbindung mit dem Exchange aufzubauen. Mir fehlt hier irgendwie der richtige Ansatz.

 

Jemand einen Tipp für mich, wie ich das am besten anstellen kann?

 

Gruß

TiTux

[GuentherH 61]

Hallo.

 

Die wenigsten Trojaner, bzw. ich kenne derzeit überhaupt keinen, verwenden das MAPI Protokoll.

Von daher würde ich eher verneinen, dass ein Outlook CLient selbst das Problem ist.

 

Versuche es einmal so einzugrenzen:

- welche Daten stehen in den Mails, die sich im Pickup Ordner befinden?

- gibt es Rechner die über SMTP auf den Exchange zugreifen?

- warum bist du der Meinung, dass es sich um interne Clients handelt?

- ist der Exchange selbst relayfest?

- was sagt das SMTP Protokoll des Exchange?

 

LG Günther

[TiTux 10]

Hallo Günther,

 

Danke schonmal für Deine Antwort, ich kann erst am Mittwoch wieder testen, die Warteschlange wurde komplett bereinigt, heute kann ich nicht alle Punkte prüfen, melde mich dann.

 

Gruß

TiTux

[tcpip 12]

:suspect:

 

Wie wäre es den erstmal alle 30 Clients mit einem aktuellen Virenscanner zu prüfen?

 

Das wäre so meine erste Aufgabe die ich erledigen würde.

 

 

Gruß

 

tcpip

[TiTux 10]

Hi,

 

sodele, ich konnte es auf ein paar PCs eingrenzen und diese habe ich mit einem Virenscanner geprüft und auf einer der Maschinen 20 Trojaner gefunden.

 

Nachdem diese bereinigt sind, ist das Problem auch nicht mehr vorhanden. Den PC werde ich trotzdem neu aufsetzen, den bei so vielen Einträgen will ich sicher gehen.

 

Vielen Dank an alle und schöne Woche

 

TiTux

[Sunny61 773]

sodele, ich konnte es auf ein paar PCs eingrenzen und diese habe ich mit einem Virenscanner geprüft und auf einer der Maschinen 20 Trojaner gefunden.

 

Wie kommen so viele Trojaner auf eine Maschine? Arbeiten die Benutzer mit Adminrechten?

[TiTux 10]

Das Problem war, dass es sich um einen PC handelt, an dem ca. 30 Benutzer arbeiten (viele Kurzzeit-Arbeitskräfte, die auf diversen Seiten wohl unterwegs waren, was über einen Proxy ausschließlich protokolliert wird), Admin Rechte hat da niemand, der Virenclient war jedoch veraltet und das wurde nicht bemerkt.

[Sunny61 773]

Das Problem war, dass es sich um einen PC handelt, an dem ca. 30 Benutzer arbeiten (viele Kurzzeit-Arbeitskräfte, die auf diversen Seiten wohl unterwegs waren, was über einen Proxy ausschließlich protokolliert wird), Admin Rechte hat da niemand, der Virenclient war jedoch veraltet und das wurde nicht bemerkt.

 

OK, dann wäre das hier bestimmt etwas für den Client: Me, myself and I Das kannst Du auch per GPO erreichen, anschließend dürfen keine EXE mehr außerhalb von %programfiles% oder %windir% ausgeführt werden.

[TiTux 10]

Hi Sunny,

 

Danke, das probier ich mal aus, würde es wirklich schon einschränken ;-)

[TiTux 10]

Also das Problem besteht immer noch :( Der Exchange Server steht ja nicht direkt im Netz, wir senden über unseren Provider nach draussen und holen per Pop3 die Mails ab. Der Provider hat uns jetzt mal eine typische Spammail zukommen lassen:

 

[ SpamCop V4.6.2.001 ]
This message is brief for your comfort.  Please use links below for details.

Email from 213.216.23.81 / Wed, 13 Jun 2012 03:21:46 +0200
http://www.spamcop.net/w3m?i=z5787600875z026d6e8f8498c759a0eff800810dd21fz

[ Offending message ]
Return-Path: <info@triburg.co.in>
Delivered-To: spamcop-net-x
Received: (qmail 27257 invoked from network); 13 Jun 2012 01:23:53 -0000
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on filter8
X-Spam-Level: **********
X-Spam-Status: hits=10.8 tests=DATE_IN_FUTURE_06_12,FORGED_MUA_OUTLOOK,
       MISSING_HEADERS,RDNS_NONE,SUBJ_ALL_CAPS version=3.2.4
Received: from unknown (192.168.1.107)
 by filter8.cesmail.net with QMQP; 13 Jun 2012 01:23:53 -0000
Received: from unknown (HELO fetchmail.cesmail.net) (64.88.168.84)
 by mx70.cesmail.net with SMTP; 13 Jun 2012 01:23:53 -0000
Delivered-To: x
Received: from mail1309.opentransfer.com [76.162.254.102]
       by fetchmail.cesmail.net with POP3 (fetchmail-6.2.1)
       for x (single-drop); Tue, 12 Jun 2012 21:25:42 -0400 (EDT)
Received: (qmail 17806 invoked by uid 399); 13 Jun 2012 01:21:52 -0000
Received: from unknown (HELO ironport-1.opentransfer.com) (none@76.162.254.109)
 by mail1309.opentransfer.com with ESMTPM; 13 Jun 2012 01:21:52 -0000
X-Originating-IP: 76.162.254.109
Received: from mail.workss.de ([212.12.32.20])
 by ironport-1.opentransfer.com with ESMTP; 12 Jun 2012 21:21:52 -0400
Received: from [212.12.40.178] (helo=mail.workss.de)
       by mail.workss.de with esmtp (Exim 4.69)
       (envelope-from <info@triburg.co.in>)
       id 1SecHK-00085A-3S; Wed, 13 Jun 2012 03:21:46 +0200
Received: from [213.216.23.81] (helo=srv-mail-001.domain.local)
       by smtp.workss.de with esmtpa (Exim 4.72)
       (envelope-from <info@triburg.co.in>)
       id 1SecHJ-00074R-Vc; Wed, 13 Jun 2012 03:21:46 +0200
Received: from User ([41.203.79.249]) by srv-mail-001.domain.local with Microsoft SMTPSVC(6.0.3790.4675);
        Wed, 13 Jun 2012 03:25:44 +0200
Reply-To: <alloyhounso37@e-mail.ua>
From: "Jane Baxter"<info@triburg.co.in>
Subject: STOP THE JOKE AND WASTE!!! TAKE THE RIGHT CONTACT.
Date: Wed, 13 Jun 2012 02:21:09 -0700
MIME-Version: 1.0
Content-Type: text/plain;
       charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: avast! (VPS 120612-0, 06/11/2012), Outbound message
X-Antivirus-Status: Clean
Bcc:
Message-ID: <NI-S___________________14e4@srv-mail-001.domain.local>
X-OriginalArrivalTime: 13 Jun 2012 01:25:46.0546 (UTC) FILETIME=[754F1920:01CD4903]
X-SpamCop-Checked: 
X-SpamCop-Disposition: Blocked SpamAssassin=10

Hello Dear,


I am Ms. Jane Baxter; I am a US citizen, 48 years Old. I reside at 3213 290 TH Street, 
Brock ton, Iowa 50836, United States .. usw

 

Mir fehlt irgendwie die Übersicht, wie ich evtl anhand des Headers hier herausfinden kann, wer der Übeltäter sei kann. Auf RBL.JP hat der

Exchange Server alle Tests bestanden.

 

Jemand eine Idee?

 

Gruß

TiTux

[RobertWi 81]

Moin,

 

laut Header ist das hier der Überltäter:

 

Received: from User ([41.203.79.249]) by srv-mail-001.domain.local with Microsoft SMTPSVC(6.0.3790.4675);
        Wed, 13 Jun 2012 03:25:44 +0200

 

srv-mail-001.domain.local ist Euer Exchange Server (Exchange auf Windows 2003, wie man an "SMTPSVC(6.0.3790.4675)" erkennen kann).

Der User hatte die folgende IP-Adresse: 41.203.79.249 (Nigeria).

Und er hat via SMTP eingeliefert ("SMTPSVC").

 

Eventuell ein gehackter Account, der ordentlich mit Authentifikation eingeliefert hat (das protokolliert Exchange 2003 IMHO noch nicht)?

[TiTux 10]

Hi Robert,

 

aber wie funktioniert das dann von aussen, dass der Angreifer direkt von seinem Netz aus über unseren Exchange raussenden kann?

 

Im oberen Teil findet sich ja das hier:

 

Received: from unknown (192.168.1.107)
 by filter8.cesmail.net with QMQP; 13 Jun 2012 01:23:53 -0000

 

Das ist ja der Startschuss beim Versand der Mail gewesen, denn der Weg geht ja von oben nach unten im Header, wenn ich's richtig verstanden habe. Hier steht ja die 192.168.1.107

 

Wir haben hier auch das Netz: 192.168.1.0

 

Kann das ein Zufall sein oder verstehe ich was falsch?

[RobertWi 81]

Moin,

 

eigentlich ist der Ablauf von unten nach oben (technisch gesehen wir der neue Header einfach vorangestellt, das ist einfacher, als ihn irgendwo mittendrin einzufügen), siehe auch hier die Header-Auswertung:

Email Header Analyzer, RFC822 Parser - MxToolbox

 

Über die genauen Einträge im Header können wir Dir wenig sagen, weil wir die Geräte auf dem Weg nicht beurteilen können.

 

192.168.1.107 ist der Empfänger der Mail gewesen, ist ja auch kein Exchange-Server, er hat sie von "QMQP" bekommen.

 

Von außen kann er eigentlich nur über einen gehackten Account kommen.

[TiTux 10]

Ja, mit der Reihenfolge hatte ich mich vertan, meinte von unten nach oben, mich hatte die 192.168.1.107 irritiert, da es sich ja um eine private IP handelt. Aber bei genauem hinschauen mit einem Analyzer sieht man ja, dass es nur die interne Kommunikation von cesmail.net ist.

 

Aber nochmal für's Verständnis: Wie schafft es jetzt der Spammer, über seine externe IP 41.203.79.249 eine Mail mit einem authentifizierten Benutzer (vorrausgesetzt, er hat Login und Passwort von einem Domänen-Benutzer)?

[RobertWi 81]

Aber nochmal für's Verständnis: Wie schafft es jetzt der Spammer, über seine externe IP 41.203.79.249 eine Mail mit einem authentifizierten Benutzer (vorrausgesetzt, er hat Login und Passwort von einem Domänen-Benutzer)?

 

Er verbindet sich zur IP-Adresse 213.216.23.81 auf Port 25 (da lauscht Euer Exchange, habe ich gerade getestet) und verschickt als authentifzierter Benutzer Mails.

 

Du kannst ja mal das SMTP-Logging aktivieren und beobachten, ob meine Vermutung richtig ist.