Plötzlich wird Spam versendet

[Fraenky 10]

Hallo zusammen,

 

ich hab da wieder mal ein Problem. Irgendein Gerät im Netz sendet plötzlich haufenweise Spam. Da es sich nicht um mein Netz handelt, sondern ich nur die Bitte erhielt, mich der Sache anzunehmen, erschwert sich die Suche nach dem Gerät natürlich etwas. Vielleicht hat ja der ein- oder andere einen hilfreichen Tipp für mich.

 

Ich dachte, ich würde erst mal sicher gehen, dass die Geräte alle Virenfrei sind. Dann mit HijackThis die Dienste der einzelnen Geräte prüfen. Evtl. könnte ein Portscanner dabei helfen, zu ermitteln, wer da so geschwätzig über Port 25 ist. Kann mir da vielleicht jemand einen Scanner empfehlen?

 

Über ein paar hilfreiche Antworten würde ich mich sehr freuen.

Gruß,

Fränky

[NorbertFe 2.113]

Erstmal Port 25 an der Firewall schliessen und dann schauen, wer raus will. ;)

 

Bye

Norbert

[LukasB 10]

Sperre Port 25 ausgehend auf der Firewall. Schalte nur die Server frei.

 

Auf der Firewall solltest du auch sehen wer probiert Verbindungen auf Port 25 aufzubauen.

 

Später sollte man das Firewall-Konzept überdenken (Default Deny).

[djmaker 95]

Gegebenebefalls kann man auch per Virenschutz auf den PCs Port 25 dicht machen (z.B. bei McAfee Virusscan Enterprise).

[XP-Fan 220]

Hi,

 

Irgendein Gerät im Netz sendet plötzlich haufenweise Spam.

 

wie wurde das festgestellt bzw woran kannst du es fest machen ?

[Fraenky 10]

Hi,

 

und vielen Dank für die vielen Antworten :) .

 

An die Firewall werde ich wohl leider nicht rankommen, da sie vom Provider installiert wurde.

 

Aufgefallen ist es, weil der Provider sich gemeldet hat.

 

Hat sonst vielleicht noch jemand eine Idee?

 

Gruß,

Fränky

[Netscape 11]

Naja,

 

ein weiterer Ansatz wäre die Einrichtung einer Netzwerküberwachung mit z.B. SNORT. Allerdings ist das mit einem größeren Aufwand verbunden und nicht ganzs so einfach und schnell zu realisieren.

 

Wahrscheinlich wäre es einfacher, wie in den anderen Posts schon gesagt, die Firewall Port 25 ausgehend zu sperren und nur von den Mail Servern zu erlauben. Oder der Provider soll einfach das Logging für ausgehende Verbindungen auf Port 25 aktivieren und euch dann die Ergebnisse mitteilen.

[cschra 10]

Hi,

 

Aufgefallen ist es, weil der Provider sich gemeldet hat.

 

was für ein netter Provider, aber die Quell-IP kann der Provider nicht mitteilen. Naja, die Idee mit HijackThis finde ich zu umständlich. Wenn das Unternehmen mit Switchen aufgestellt ist, würde ich Wireshark einsetzen. Mit dem Tool schneidest du den Netzwerkverkehr mit.

 

Wenn wirklich soviel SPAM verschickt wird solltest du damit den Übeltäter recht schnell ausfindig machen können. Tutorials wie du das Programm benutzt gibt es zuhauf.

 

Grüße

[Fraenky 10]

Hi!

 

@cschra:

 

Danke :jau: ! Ganau das habe ich gesucht. Binnen kurzer Zeit war der Übeltäter dingfest :D .

 

Danke noch mal für die Antworten :thumb1:

Gruß Fränky

[GuentherH 61]

Binnen kurzer Zeit war der Übeltäter dingfest

 

Rein aus Interesse. Teil uns doch bitte mit, warum der "Übeltäter" gespammt hat?

 

LG Günther

[cschra 10]

Hi,

 

Danke :jau: ! Ganau das habe ich gesucht. Binnen kurzer Zeit war der Übeltäter dingfest :D .

 

Kein Problem! Schön das es geklappt hat.

 

Grüße

 

P.S.: Mich würde auch interessieren was da los war ;-)

[Fraenky 10]

Hallo,

 

kurz zur Info, ich habe ein paar Trojaner gefunden. HijackThis hat diverse exe-Dateien mit wirren Namen gefunden, mit denen selbst Google nichts anfangen konnte. Eine dieser exe-Dateien war im Hintergrund ganz schön aktiv und hat das System häftig ausgelastet. Ich habe dann sicherheitshalber den PC neu installiert, und nicht mehr lange weiter gesucht.

 

Gruß und nochmals Danke,

Fränky