SBS2k3 mit EX2k3 verschickt tausende Mails Virus?

[FETT 10]

Hi Leute,

 

hab hier einen SBS2003 Server mit Exchange drauf!

Jetzt hab ich das Problem das er sobald ich auf der Firewall das SMTP freigebe er anfängt zu mailen wie ein gestörter! Er verschickt innerhalb von Minuten tausende Mails mit tausenden Empfängern! Ich finde keinen Virus und die bekannten Tools setzen da auch aus! Hat das jemand schon mal gehabt? Was geht da? Was kann ich tun?

Sobald ich den SMTP Dienst stoppe kann ich aus der Queue die 14000(!) Mails löschen! Aber sobald ich diesen wieder starte geht los! Genauso wenn ich den SMTP Port an meiner Firewall dicht mache hört er auf! Aber wenn ich den frei mache mailt der wie ein verrückter!!! Was geht da?

Hoffe extrem auf Hilfe!

[phoenixcp 10]

Klingt ganz nach einem Bot oder sowas in der Art. Hast du schonmal Spy-Bot S&D drüber gejagt?

 

Wenn die Suche mit diversen Tools nichts mehr ergibt, dann würde ich ich alleine durch das dahinterliegende Risiko empfehlen, den Server neu aufzusetzen. Irgendwas hast du dir auf jeden Fall eingefangen, was es ist, wissen wir noch nicht. Auf jeden Fall steht aber fest: Selbst wenn du den Server wieder sauber bekommst, wirst du nie wieder einen so vertrauenswürdigen Stand schaffen wie vorher. Also am besten: CD raus und neu machen oder ein Backup / Image von vor der Attacke zurückspielen und den Server abdichten, damit so etwas nicht nochmal vorkommt.

[FETT 10]

der witz ist ja einer hat vorgestern eine email von einem lieferanten bekommen! kurz darauf die gleiche nochmals 12x danach nochmal 100x! Damit hat es angefangen! der absender ist bekannt und hat auch nur an seine Email Adressen durchgegeben das sich die Snschrift geändert hat! und genau diese email verschickt mein exchange server nun zigtausend mal! unglaublich....

[phoenixcp 10]

Ist dein Lieferant von einem ähnlichen Problem betroffen, so das er vielleicht auch der Zusteller des vermeintlichen Viruses sein kann?

 

Womit hast du denn deinen Server schon alles gescannt?

[FETT 10]

wir sind die einzigsten mit diesem problem!!??!!??

 

Spybot, Ad-Aware, Stinger, eTrust

 

ich glaub das alles nicht....

[phoenixcp 10]

Folgender Ansatz

 

Schalt deinen SMTP-Dienst ab, lösche alle Mails inklusive der Mails, die du gestern von deinem Lieferanten erhalten hast. IN ALLEN POSTFÄCHERN / Queues etc. Schalt den SMTP-Dienst wieder an und schau was dann passiert.

[GuentherH 61]

Hi.

 

Du verwendest nicht etwa den POP3 Connector, und hast diesen Patch noch nicht installiert ?

 

Wenn nein, dann Vorgehensweise wie von phoenixcp beschrieben, Patch installieren und dann sollte es wieder klappen.

 

LG Günther

[FETT 10]

ja ich benutzte den POP3 Connector...

 

habe den Patch mittlerweile installiert! Bringt aber nichts! ICh lösche die Queue und starte den SMTP Dienst wieder und los gehts!

 

Nun muss aber ehrlich gestehen wo kann ich die EMails aus den einzelnen Postfächer löschen?

Ich such mal...

Bin gespannt obs was bringt!

 

Edit:

ist es vielleicht das PickUp Verzeichnis?

Da waren auch 697 Emails drin...

Aber unter dem System Manager finde ich jetzt so nichts....

 

Edit2:

nun das war es auch nicht! Nachdem ich jetzt den SMTP Dienst wieder aktiviert habe, füllt sich im System Manager die Warteschlange wieder...

[benninger 10]

Evtl. ein DNS-Problem?

Bounced der Server mit einem Smarthost?

 

Ich hatte mal ein ähnliches Problem bei meinem E2K3-Server - da gingen alle internen Mails zu unserem Provider und von dem wieder zu uns zurück und wieder zu ihm und wieder zu uns und wieder...

Hatte allerdings nicht so viele Mails so lange in der Queue, da die max. Anzahl von Hops (default 25?) recht schnell erreicht war.

[FETT 10]

Nein er macht eine direkte DNS Weiterleitung!

 

Microsoft meint es hängt eine Mail "irgenwo" und ich soll ihn neuinstallieren einen "reinstall" durchziehen! Nun mal schauen...

[simonak 10]

Also ich habe das gleiche Problem: Kunde von uns hat folgendes Problem. Seit 2 Tagen verschickt deren Exchange 2003 Server (Windows 2003 SBS Server) tausende Massen E-Mails. Wie kann ich diese aus der Warteschlange rauslöschen, da der Kunde nur ISDN hat und das ganze einschränken? Einen Virencheck mit Stinger wurde bereits durchgeführt auf dem Server. Bin für jede Antwort dankbar. Habe auch schon die Dinge durchprobiert, die hier im Threat beschrieben wurden. Gibt es da noch ein paar andere Ansätze?

[FETT 10]

Die vorgeschlagene Lösung von Microsoft ist es den Exchange Server drüber zu installieren! Quasi ein Re-Install! Nachdem ich das getan habe füllt sich zumindest meine Warteschlange im System-Manager nicht mehr und das Queue Verzeichniss ist auch leer... Man muss da aber einige Sachen beachten! Falls es jemand interssiert einfach ne PN an mich!

[simonak 10]

So, ich bins nochmal, auch wenns etwas her ist. Hatte damals Exchange 2003 SP2 installiert, den Queue Ordner getauscht, tausende Tools probiert etc. Dann war das Problem auch fast einen Monat behoben. Doch auf einmal gab es wieder das gleiche Problem. Es waren wohl auch noch die alten Mails von damals, da die älteste noch von letzem Jahr stammte. Aber jetzt weiß ich womit ich die Warteschlange leer bekomme, was bei mir auch einwandfrei funktioniert hat. Die Warteschlange hat sich seitdem nicht mehr gefüllt und es schaut alles super aus. Nur für den Fall, dass noch einmal jemand an dem Problem sitzt und so schwitzt wie ich. :D

 

Ab Schritt 3 wirds interessant wenns ums entgültige Löschen der Warteschlange geht.

 

Link zur göttlichen Lösung :-)