Jump to content

Trojaner auf Exchange oder Relay?

Zaraduum

Von Zaraduum
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Zaraduum Community Regular

Zaraduum   10

Geschrieben
Geschrieben

Hi,

 

seit vorgestern bekomme ich vom Mailserver Warnungen: The delivery queue size has exceeded the threshold.

Also die Warteschlange ist voll. Und tatsächlich befinden sich im entsprechenden Ordner über 1900 Objekte. In der Wiederholungswarteschleife sind dann zig Emails mit dem Empfänger "@hanmail.net". Wenn ich das Log von IMSS anschaue, sehe ich immer das Gleiche:

 

Received from ekb.ibl.xgfls.info ([211.171.81.66]) by unseremMailserver [c24:d88]

2006/04/24 00:01:08 GMT+02:00 56EC0B17-0902-48BC-84C0-16576DFA31B7 Message from: <ji3104@hanmail.net> [c24:d88]

2006/04/24 00:01:08 GMT+02:00 56EC0B17-0902-48BC-84C0-16576DFA31B7 Message to: <i63py3gfr1skay0aoe2r@domain.de>

 

"domain.de" stellt eine unserer Domänen dar, an die das Relay senden darf

 

 

zwei Sekunden später:

 

Received from unseremExchangeServer([hier wird die öffentliche IP angegeben, obwohl er im LAN steht]) by unseremMailserver [c24:d88]

2006/04/24 00:01:10 GMT+02:00 2C7CFCD5-05BC-40C3-AD1D-45A936531269 Message from: <> [c24:d88]

2006/04/24 00:01:10 GMT+02:00 2C7CFCD5-05BC-40C3-AD1D-45A936531269 Message to: <ji3104@hanmail.net>

 

Ich habe bei Trend Micro in Bezug auf "hanmail" recherchiert und Hinweise auf folgende Trojaner erhalten:

 

TROJ_SYSTENTRY.A, TROJ_SAFEMALL.A, B und C

 

nach einem Scan in der ganzen Domäne und durchsuchen der Rechner nach Registry-Einträgen oder Dateien im Systemordner habe ich nichts gefunden.

 

Zudem sehe ich im IMSS-Monitor folgende Einträge:

 

delivering mail to <zzim0245@hanmail.net> through mx4.hanmail.net

delivering mail to <zzim0245@hanmail.net> through mx6.hanmail.net

delivering mail to <zzim0245@hanmail.net> through mx3.hanmail.net

delivering mail to <zzim0245@hanmail.net> through mx9.hanmail.net

 

hier müsste ich eigentlich auch Einträge im Log finden, sind aber keine da.

 

Bin ich verseucht, hab ich was falsch gemacht, ist da jemand????

 

Was kann ich tun, ausser eine Policy zu schreiben und "hanmail.net" kategorisch auszuschliessen und auf den nächsten zu warten.

 

Bitte helft. Manchmal fror der Rechner ein, weil er scheinbar Emails generieren musste.

 

Thx in front

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...