Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SMTP versendet automatisch Mails - Virus wird nicht gefunden

Mitglied: inflexible

inflexible (Level 1) - Jetzt verbinden

04.04.2006, aktualisiert 07.04.2006, 10982 Aufrufe, 4 Kommentare

Unser Exchange Server 2003 SP2 verschickt automatisch generierte Mails. Einen Virus haben wir mit diversen Virenscannern nicht gefunden. Auch auf Rootkits wurde geprüft.

Hallo zusammen!

Unser Exchange Server 2003 SP2 verschickt automatisch generierte Mails. Folgende Angaben sehen wir im GFI MailEssentials Monitor:
Sender: "???" <irgendwas@pmail.com>
Recipient To: irgendwas@yahoo.com.tw
Processing new item.
Subject: ?????????

Und das etwa im halbsekunden Takt.

Wir haben schon mit diversen AntiViren Programmen geprüft, von Norton über AntiVir bis zu Trendmicro und Ad-Aware haben wir schon einiges laufen gelassen. Auch im abgesicherten Modus, dort jedoch nur mit Trendmicro.
Auf Rootkits wurde mit F-Secure Blacklight Rootkit Eliminator getestet.

Der Virus wird auch nicht von einem Client-PC aus verschickt (Server haben wir testweise separat laufen lassen). Nun mussten wir den SMTP-Dienst abschalten, da wir nicht auf eine Blackliste mit unserem Server wollen.

Weiss jemand, wie man noch prüfen könnte? Wie man diesen Schädling ausfindig machen und eliminieren könnte? Wir haben ja noch nicht mal eine Ahnung, welcher Virus es ist... wir tippten mal auf eine Abwandlung von Sober.X, jedoch halfen diese Entfernungstools nicht.
Wir wären echt froh um schnelle Hilfe, da unser Server nun schon mehr als 2 Tage nicht mehr voll einsatzbereit ist!

MfG inflexible
Mitglied: devilshaver
04.04.2006 um 16:56 Uhr
wenn du mit netstat -a in der cmd schaust, solltest du eine Verbindung zu deinem
SMTP oder POP3 Server (vom Provider) finden ?

Stimmt das ?
Bitte warten ..
Mitglied: AndreasHoster
04.04.2006 um 18:30 Uhr
Bist Du Dir sicher, daß Euer Server die Mails generiert und nicht einfach nur als offenes Mail-Relay misbraucht wird (was aber auch ein Konfigurationsfehler ist), d.h. einfach die Mails bekommt und dann zustellt, weil Sie nicht für ihn sind?
Bitte warten ..
Mitglied: inflexible
06.04.2006 um 10:19 Uhr
Wir haben den SMTP Port nur gegen aussen geöffnet. Hinein kommt man da nicht. Auch die anti-Relay-Einstellungen im Exchange wurden gemacht. Wir haben jetzt trotzdem mal ein Tool (relaytest) laufen gelassen, der meldet jedoch, dass alles zu ist.

Was wir nun noch gefunden haben sind die Mails im SMTP Queue. Nun verschickt er nämlich garnichts mehr.

Dateiname: NTFS_1287068401c65949000042f3.EML
Inhalt:
Von: postmaster@kaelin.ch <postmaster@kaelin.ch>
Datum: Donnerstag, 6. April 2006 09:09
An: mv@zwbz.ldyzwbzgmv.com <mv@zwbz.ldyzwbzgmv.com>
Betreff: Benachrichtigung zum Übermittlungsstatus (Verzögerung)
Anlagen: Á¤Ç° ºñ¾Æ±×¶ó_½Ã¾Ë¸®½ºÀÔ´Ï´Ù.eml (2.63 KB) ATT00006.dat (662 Byte)
Text:
Dies ist eine automatisch erstellte Benachrichtigung über den Zustellstatus.

DIES IST NUR EINE WARNUNG.

SIE MÜSSEN DIE NACHRICHT NICHT ERNEUT SENDEN.

Übermittlung an folgende Empfänger wurde verzögert.

yoonjm56@daum.net
loveletter366@daum.net
s2993@daum.net
britney010@daum.net
agentlee@daum.net
nurom@daum.net

Inhalt von der Datei: Á¤Ç° ºñ¾Æ±×¶ó_½Ã¾Ë¸®½ºÀÔ´Ï´Ù.eml
Empfänger sind oben genannte @daum.net Adressen.
Als Text sind einige geblockte Bilder und folgender Link:
<EmBed src="http://jsheun.cafe24.com/via/via.swf;civdekunplxrntkbvzhqqffyacet" el ihhokdagsdw vsumfrqiaw ubzcy

Unserer Meinung nach ist es immernoch ein Virus und zwar einer der ziemlich tief sitzt. Aber gefunden haben wir noch nichts...
Bitte warten ..
Mitglied: inflexible
07.04.2006 um 09:05 Uhr
So, wir haben das Problem gefunden!

Der Server wurde als Relayserver benutzt. Trotzdem, dass das Relaytesttool keine offene Lücke anzeigte, konnten diese Spampiraten unseren Server entern...

Jetzt haben wir im Exchange die Einstellung gemacht, dass nur die IP-Adressen aus unserem LAN für den Versand von Mails zugelassen sind. Und nun hat die Spamerei aufgehört

Danke allen, die sich bei der Problemlösung beteiligt haben!

MfG inflexible
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL

Telekom versendet automatische Kündigungen

Erfahrungsbericht von VoiperDSL, VDSL11 Kommentare

Hallo Zusammen, wer aktuell noch mit einem älteren Anlagenanschluss (Business Basic Complete Premium ö.Ä.) unterwegs ist, könnte dieser Tage ...

Exchange Server

Versendete Mail wurde gelesen ?

Frage von Fitzel69Exchange Server6 Kommentare

Hallo zusammen, folgende Frage: Ich habe einen Exchnage Server 2007 Auf dem Client setzen wir Outlook 2010 ein. Als ...

Outlook & Mail

Mail von Drittprogramm wird versendet bleibt aber im Postausgang

Frage von sbs-newbieOutlook & Mail

Hallo zusammen, ich habe folgendes seltsames Phänomen: In einem kleinen Büronetzwerk mit SBS 2011 Server und Outlook 2010 sowie ...

Exchange Server

Mails über SMTP abrufen

Frage von Philbo69Exchange Server14 Kommentare

Hallo, einer unserer neuen Kunden hat einen Microsoft Exchange 2003 ( Ja ich weiß Exchange 2003 ist alt und ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 1 TagAusbildung9 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 3 TagenSpeicherkarten3 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 3 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 3 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware19 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
gelöst Frage von Green14Windows Server12 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...

Windows Server
DNS - Bedingte Weiterleitung
gelöst Frage von m8ichaelWindows Server11 Kommentare

Guten Tag zusammen, ich stehe gerade bzgl. einer bedingten DNS-Weiterleitung etwas auf dem Schlauch: Ich möchte, dass für bestimmte ...

Suche Projektpartner
Debian 9.5 32 Bit und PHP 7 Fehlerbeseitigungen
Frage von zeroblue2005Suche Projektpartner11 Kommentare

Hallo Zusammen, ich habe eine VM auf Basis von ESXI am laufen. Dieser wurde unter Debian 7 installiert mt ...