Mail-Adresse von Spammern missbraucht: Welches Vorgehen?

Dieses Thema im Forum "Security Talk" wurde erstellt von Meister Lampe, 30.10.2004.

  1. #1 Meister Lampe, 30.10.2004
    Meister Lampe

    Meister Lampe Doppel-As

    Dabei seit:
    17.02.2004
    Beiträge:
    124
    Zustimmungen:
    0
    Ort:
    Marburg
    Hallo,

    nun hat es mich erwischt. Meine schon sehr lange im Gebrach befindliche Mailadresse ist in die Hände von Spammern geraten. Wie, weiß ich nicht genau. Wohl entweder über meine frühe Usenet-Zeit oder über win-nutzende Bekannte mit Outlook und entsprechendem Trojaner. Aber egal. Seit gestern bekomme ich stündlich mehrere Mail Delivery Failed-Mails mit entsprechend zurückgesendetem Quellcode der gesendeten Mail in meine Mailbox. Da meine Domain auf einem root-Server läuft, gingen meine Alarmglocken hoch, obwohl ich meinen postfix mit Passwort-Schutz konfiguriert habe. Auch sind die Sicherheitseinstellungen eigentlich recht gut, jedenfalls nach meinem Kenntnisstand. Jetzt habe ich einige Rückmails überprüft, da steht außer meiner Mailaddy selten etwas von mir drin, die from-IP-Adressen sind immer wieder Verweise auf Server in wunderbaren Urlaubsländern wie Brasilien, Slovenien oder den karibischen Inseln zu finden. Leider aber auch Daten, die auf meinen Server verweisen, obwohl in keinem Logfile irgendein Hinweis zu finden ist, dass irgendjemand Unerwartetes über mein System Mails versendet.

    Es gibt also zwei Szenarien:

    1. Mein Server ist von den Spammern geknackt worden, räumt aber perfekt hinter sich auf, sodass in den Logs alle Tätigkeiten außer denen der Spammer auftauchen. - Eher unwahrscheinlich...

    2. Spammer nutzen meine Adresse, die sie aus dem Netz oder von Outlook-Trojanern haben, und ich bekomme von den Mails, die nicht ankommen, den Traffic aufgehalst. Nichts neues, aber leider nun mein Problem. Zu guter letzt kommen erste Mails mit der Angabe an, dass der Absender gesperrt ist.

    Wie komme ich aus der Situation raus? Gibt es weitere Betroffene? Gibt es Lösungsansätze? Bei wem kann ich mich melden? Dass meine Email-Addy geändert werden muss, scheint mir momentan notwendig. Nur nutze ich die schon seit bald 10 Jahren. Teufel!

    Knut
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. fossy

    fossy - dead -

    Dabei seit:
    26.03.2004
    Beiträge:
    274
    Zustimmungen:
    0
    was heisst das genau? was weist auf _deinen server_ hin?

    fossy.

    p.s.: übrigends, mein beileid :/
     
  4. #3 Meister Lampe, 30.10.2004
    Meister Lampe

    Meister Lampe Doppel-As

    Dabei seit:
    17.02.2004
    Beiträge:
    124
    Zustimmungen:
    0
    Ort:
    Marburg
    Recieved from: Darauf folgt der mx-Server, über den die Mails von meinem Server laufen. Es sind also valide Daten, der angehängte Quelltext der Mailantwort des Servers zeigt direkt auf meinen Server. Leider kann die Mail aber nicht in meinen Log-Daten gefunden werden, und da alle anderen Mails in den Log-Daten auftauchen, ist es sehr unwahrscheinlich, dass da ein Tool hinten aufräumt und die Daten verwischt. Normalerweise sind dann einfach die Log-Daten gelöscht...

    Man kann diese Daten direkt aus dem Internet holen, nur frage ich mich, ob dieser Aufwand logischer wäre. Im Moment will ich nur wieder vernünftig arbeiten können.
    Von den insgesamt 90 Mails ist es übrigens nur gegen Ende zu zwei solchen Mails gekommen, die diese Daten enthalten. Sonst ist nur die Absender-Adresse meine eigene, die genannten Received from: Daten verweisen dagegen auf etliche unterschiedliche Server...

    Im Moment habe ich den postfix-Dienst erstmal runtergefahren und die Firewall dahinter geschlossen...

    Wenn jemand auch weiss, wie ich meine Domain wieder weg von den Spam-Lists bekomme, wäre ich auch dankbar...
     
  5. #4 fossy, 31.10.2004
    Zuletzt bearbeitet: 31.10.2004
    fossy

    fossy - dead -

    Dabei seit:
    26.03.2004
    Beiträge:
    274
    Zustimmungen:
    0
    >Recieved from: Darauf folgt der mx-Server,
    >über den die Mails von meinem Server laufen.

    ist das ein fremder relay server / fährst du nen smarthost?

    >Es sind also valide Daten, der angehängte Quelltext der
    >Mailantwort des Servers zeigt direkt auf meinen Server.
    >Leider kann die Mail aber nicht in meinen Log-Daten gefunden
    >werden, und da alle anderen Mails in den Log-Daten auftauchen,
    >ist es sehr unwahrscheinlich, dass da ein Tool hinten aufräumt
    >und die Daten verwischt. Normalerweise sind dann einfach
    >die Log-Daten gelöscht...

    die richten meisstens nen einen offenen smtp-relay ein. kiste gescannt?
    welche ports sind offen? chkrootkit reinstalliert und gefahren?
    lsof | grep LISTEN

    >Man kann diese Daten direkt aus dem Internet holen, nur
    >frage ich mich, ob dieser Aufwand logischer wäre.
    >Im Moment will ich nur wieder vernünftig arbeiten können.
    >Von den insgesamt 90 Mails ist es übrigens nur gegen Ende
    >zu zwei solchen Mails gekommen, die diese Daten enthalten.
    >Sonst ist nur die Absender-Adresse meine eigene, die genannten Received
    >from: Daten verweisen dagegen auf etliche unterschiedliche Server...

    vieleicht unterschiedliche aktionen

    >Im Moment habe ich den postfix-Dienst erstmal runtergefahren
    >und die Firewall dahinter geschlossen...

    gut. starte mal nen (( tcpdump >> /var/log/traffic )&)

    >Wenn jemand auch weiss, wie ich meine Domain wieder weg von den
    >Spam-Lists bekomme, wäre ich auch dankbar...

    fossy.

    p.s.: kannst den vorfall bei abuse.net melden, aber von den listen kommst du nicht runter. meinem bruder wurden in polen (am tag) die radkappen gestohlen. der polizist auf der wache hat gesagt: "wozu anzeige? es stehen so viele autos rum. nehmen sie sich welche" ...
     
  6. fossy

    fossy - dead -

    Dabei seit:
    26.03.2004
    Beiträge:
    274
    Zustimmungen:
    0
    p.s.: was sagt dein ids? liegen dateiveränderungen vor?
     
  7. #6 Meister Lampe, 31.10.2004
    Meister Lampe

    Meister Lampe Doppel-As

    Dabei seit:
    17.02.2004
    Beiträge:
    124
    Zustimmungen:
    0
    Ort:
    Marburg
    eigentlich nicht, und da habe ich gerade mit einem etwas versierteren Kumpel drübergeschaut, der auch sicherheit für firmenserver macht und so. der meinte, dass alle header gefakt sind. wenn ein server gehackt sein könnte, dann allenfalls der von dem provider, und das ist auch unwahrscheinlich.

    Da ist alles ok, alles normal.


    hat auch nichts wirklich schlimmes gebracht.

    mein rechner scheint wirklich clean zu sein, auch chkrootkit zeigt nix an und die logs scheinen vollständig...

    Danke für die Hilfe! Ich setze mal demnächst den Server mit meinen neuen Kenntnissen (seit Erstinstallation ist da einiges gepatcht und nachträglich eingefügt worden...) auf. Die Mailaddy ist dann wohl flöten...
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

Mail-Adresse von Spammern missbraucht: Welches Vorgehen?

Die Seite wird geladen...

Mail-Adresse von Spammern missbraucht: Welches Vorgehen? - Ähnliche Themen

  1. Fetchmail - Account an zwei Email-Adressen weiterleiten

    Fetchmail - Account an zwei Email-Adressen weiterleiten: Hi, momentan sieht meine Konfiguration so aus: poll "pop.gmx.de" with proto pop3 user "meine@gmx.de" password "xxx" is "meine2@gmx.net"...
  2. Evolution: Eingehende Nachrichten, auf bekannte EMail-Adressen filtern

    Evolution: Eingehende Nachrichten, auf bekannte EMail-Adressen filtern: Tja, die Überschrift sagt es eigentlich schon, ich suche nach einer Möglichkeit, die Absender aller eingehenden Mails gegen mein Adressbuch...