Jump to content

Trojaner auf Exchange oder Relay?

Zaraduum

Von Zaraduum
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Zaraduum Community Regular

Zaraduum   10

Geschrieben
Geschrieben

Hi,

 

seit vorgestern bekomme ich vom Mailserver Warnungen: The delivery queue size has exceeded the threshold.

Also die Warteschlange ist voll. Und tatsächlich befinden sich im entsprechenden Ordner über 1900 Objekte. In der Wiederholungswarteschleife sind dann zig Emails mit dem Empfänger "@hanmail.net". Wenn ich das Log von IMSS anschaue, sehe ich immer das Gleiche:

 

Received from ekb.ibl.xgfls.info ([211.171.81.66]) by unseremMailserver [c24:d88]

2006/04/24 00:01:08 GMT+02:00 56EC0B17-0902-48BC-84C0-16576DFA31B7 Message from: <ji3104@hanmail.net> [c24:d88]

2006/04/24 00:01:08 GMT+02:00 56EC0B17-0902-48BC-84C0-16576DFA31B7 Message to: <i63py3gfr1skay0aoe2r@domain.de>

 

"domain.de" stellt eine unserer Domänen dar, an die das Relay senden darf

 

 

zwei Sekunden später:

 

Received from unseremExchangeServer([hier wird die öffentliche IP angegeben, obwohl er im LAN steht]) by unseremMailserver [c24:d88]

2006/04/24 00:01:10 GMT+02:00 2C7CFCD5-05BC-40C3-AD1D-45A936531269 Message from: <> [c24:d88]

2006/04/24 00:01:10 GMT+02:00 2C7CFCD5-05BC-40C3-AD1D-45A936531269 Message to: <ji3104@hanmail.net>

 

Ich habe bei Trend Micro in Bezug auf "hanmail" recherchiert und Hinweise auf folgende Trojaner erhalten:

 

TROJ_SYSTENTRY.A, TROJ_SAFEMALL.A, B und C

 

nach einem Scan in der ganzen Domäne und durchsuchen der Rechner nach Registry-Einträgen oder Dateien im Systemordner habe ich nichts gefunden.

 

Zudem sehe ich im IMSS-Monitor folgende Einträge:

 

delivering mail to <zzim0245@hanmail.net> through mx4.hanmail.net

delivering mail to <zzim0245@hanmail.net> through mx6.hanmail.net

delivering mail to <zzim0245@hanmail.net> through mx3.hanmail.net

delivering mail to <zzim0245@hanmail.net> through mx9.hanmail.net

 

hier müsste ich eigentlich auch Einträge im Log finden, sind aber keine da.

 

Bin ich verseucht, hab ich was falsch gemacht, ist da jemand????

 

Was kann ich tun, ausser eine Policy zu schreiben und "hanmail.net" kategorisch auszuschliessen und auf den nächsten zu warten.

 

Bitte helft. Manchmal fror der Rechner ein, weil er scheinbar Emails generieren musste.

 

Thx in front

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...