Spam von Router Systemen ???

theborg

theborg

KBitdefender Programierer
Hallo,

Ich hab momentan ein kleines SPAM Problem naja eigentlich mehrere aber diesmal finde ich keine Lösung meine erste vermutung war wieder nen eingeschleustes PHP schript was ich des öfteren mal hatte.

Jetzt sehe ich in den logs das permanent dieses wootwoot Tool wüten was mir dabei aufgefallen ist das die IPs alles Router sind dieses hab ich mit SECMOD im Indianer erstmal stillgelegt.

Nun streigt aber sendmail es werden 15 Verbindungen(max anzahl) geöffnet aber keine daten gesendet nen ip ban bringt nur temporär was und ist auch sinnlos da müste ich ganze deutsche Provider sperren.

Recht aufellig ist was ich mal geschaut habe das alle Router direkt übers internet die weboberfläche freigeben und recht viele unterschiedliche des fängt irgentwo bei AVM und endet irgendwo bei linksys scheint nen recht großes botnetz zu sein aus gekaperten routern.

Was ich noch recht merkwürdig finde ist das der Spam als root verschikt wird obwohl der keine Berechtigungen für sendmail hat.

einen Zugriff direkt aufs System hab ich nicht gefunden die logs zeigen nichts vor alledem da der root eh nicht über ein direktes ssh Login erreichbar ist nen gehackten Service könnte ich auch fast au schlissen da die allen auf unterschiedlichen usern laufen.

vielleicht hat einer von euch ne Idee
 
Zuletzt bearbeitet:
Zurück
Oben