Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Spam von meiner IP auch ohne Botnet usw.?

Mitglied: Transmitter

Transmitter (Level 1) - Jetzt verbinden

11.07.2007, aktualisiert 12.07.2007, 4201 Aufrufe, 9 Kommentare

Hi,

ein Bekannter bekommt regelmäßig E-Mails von irgendwelchen Mailservern, dass die Mailzustellung fehlgeschlagen wäre.
Diese E-Mails sind dann Spam für irgendwas die aber nicht von ihm (er schreibt sie nicht).
Anscheinend sind es auch nicht wenige, da er von T-Online auch schon die Abuse E-Mail bekommen hat.

Ich habe allerdings schon alles gemacht, was ich wüsste:

Anti Vir deinstalliert
Avast installiert, komplett Check -> nichts.
Avast deinstalliert, Anti Vir wieder drauf, komplett Check -> nichts
a² installiert -> nichts (außer ein paar Cookies)
Spybot - Search & Destroy installiert -> nichts
hijackthis -> nichts
Security Task Manager -> nichts was gefährlich wäre
sogar der Norten Sicherheitscheck den T-Online empfiehlt war von dem PC begeistert.

Darüber hinaus haben wir jetzt in den letzten 2 Wochen schon 3 mal das E-Mail Passwort geändert, daran dürfte es auch nicht mehr liegen (falls es noch in irgendwelchen Internetcafes o.ä. gespeichert war).

Eine letzte Idee war der Router:
http://www.cameo.com.tw/product.action?cat1=127000000001115847831968500 ...
in den Logs stehen auch jede Menge Zugriffe auf Port 25, die kommen von innen und gehen auf diverse IPs im Internet. Aber heute z.B. um 4:40 wurden E-Mails geschickt, zu diesen Zeitpunkt war der PC aber gar nicht an!

Leider sind die Logs im Router auch sehr sparsam - ist es denn überhaupt denkbar, dass der Router befallen wäre?
Und falls nicht, gibt es noch eine andere Möglichkeit die ich prüfen könnte?

Danke schon mal!
Bye, Transmitter
Mitglied: nils-0401
11.07.2007 um 00:35 Uhr
was sagt denn der Router Log woher die Zugriffe kommen? da steht doch bestimmt eine IP bei, denn irgendwie musst du ja auf den Rückschluss intern gekommen sein. Das wär nämlich ein Ansatzpunkt um zu finden, welches Gerät der Verursacher ist.

Nils
Bitte warten ..
Mitglied: BigWumpus
11.07.2007 um 00:40 Uhr
ungesichertes WLAN ????
Da funkt der Nachbar !
Bitte warten ..
Mitglied: gnarff
11.07.2007 um 01:47 Uhr
Hallo,

was ist das fuer ein Netzwerk, was da betrieben wird?
saludos
gnarff
Bitte warten ..
Mitglied: cykes
11.07.2007 um 07:04 Uhr
Hi,

check zunächst mal die Routerkonfiguration durch, ob z.B. Remote Administration (Zugriff von
aussen auf die Admin Oberfläche/Webseiten) erlaubt ist, das ausschalten, Router Passwort ändern
in etwas komplexes.

Ansonsten hätte ich auch, falls eins existiert, einen Fremzugriff auf ein WLan im Verdacht, dort
auch mal die Keys ändern und eventuell die SSID, sowie die Vershlüsselung möglichst auf WPA
oder WPA2 stellen.

Firmwareupdate, wenn vorhanden, am Router durchführen, der Router selbst hat ja kein WLan.

Eventuell mal anderen Router leihweise einrichten, um zu sehen, ob sich das problem damit auflöst.

Virenscan mit möglichst vielen Scannern auch mal im abgesicherten Modus durchführen.

Gruß

cykes

[EDIT] Kannst Du vielleicht mal einen Screenshot der Router Konfiguration und der Logeinträge
machen und hier posten (notfalls per PM).
Bitte warten ..
Mitglied: Transmitter
11.07.2007 um 09:25 Uhr
Erst mal danke für die ganzen Beiträge

- Im Log steht unter anderem, dass viele Zugriffe von der 192.168.1.10 nach außen gingen, aber wie gesagt, es war kein PC an und durch DHCP lässt sich jetzt auch nicht mehr feststellen, wer das gewesen sein sollte, oder?

- Ein WLAN läuft auch, ist aber WPA2 mit recht sicherem Key, der wurde aber auch schon geändert.

- Das Netzwerk ist direkt hinter einem DSL Router und besteht aus einem PC und einem Laptop, wobei der Laptop schon seit über einer Woche nicht mehr eingeschaltet war.

- Remote Admin beim Router ist deaktiviert.

- Firmware für den Router gibt´s leider nicht

Ich fahre heute noch mal hin und besorge mal Screenshots und Log Einträge.
Danke schon mal.
Bitte warten ..
Mitglied: nils-0401
11.07.2007 um 13:06 Uhr
dann würde ich mich auf die Suche nach der IP machen, denn irgendwo muss die ja herkommen.
Ein Accesspoint logt normal wer sich wann connected hat. Mit Mac Adressen. Wenn du dann schaust welche du hast kannst du schonmal rausfinden, wann bzw wie oft sich der jenige verbunden hat. Wenn das nur alle paar Tage mal ein paar Minuten waren, könnte es ein wardriver oder ähnliches sein. Wenn die Verbindung jedoch regelmäßig und lange zu Stande kommt lässt das auf Nachbarn schließen.
Sonst wie schon gesagt: Passwort ändern, SSID ändern, Verschlüsselung verstärken, am besten wenn möglich gleich die IP Adressen im Netz ändern und den DHCP abschalten, dann den Router auf irgendwas krummes legen wie .134 das macht das erraten schwierig. Am besten noch eine Adressrange wie 192.168.7.x denn das ist nicht üblich und eine weitere (zugegeben kleine) Hürde.

Das sollte den Zugreifenden dann erstmal beschäftigen. Und als letzter Tip: geb einfach mal in der Netzwerkumgebung 192.168.1.10 ein und schau ob du irgendwie Zugriff auf den Rechner bekommst

Nils
Bitte warten ..
Mitglied: cykes
11.07.2007 um 13:56 Uhr
Funktioniert denn ein "ping 192.168.1.10" auf der Kommandozeile?

Sind vielleicht noch andere Geräte im Netz angeschlossen, wie z.B. ein Digitalreceiver, XBox o.ä.?

Wie ist das WLan realisiert? Ist ein zusätzlicher WLan Router/Accesspoint im Netz, kann man auf diesem
vielleicht sehen, wer per WLan verbunden ist?
Bitte warten ..
Mitglied: Transmitter
11.07.2007 um 14:00 Uhr
Leider wurden die Logs von gestern überschrieben und heute ist noch nichts passiert.

Im Zweifelsfalls werde ich die komplette Renovierung die Nils vorgeschlagen hat durchführen.

Edit:
Die .10 gibt´s natürlich heute nicht mehr, es hängt noch ein Farblaser im Netz, aber den würde ich mal nicht als böswillig einstufen? Ansonsten keine XBox, Receiver o.ä.

Am WLAN hing vorhin nur der Laptop und verhielt sich unauffällig.
Bitte warten ..
Mitglied: cykes
12.07.2007 um 14:34 Uhr
Beobachte das ganze halt mal, und sammel ein paar Logeinträge.
Insbesondere die Ziel IPs/Hostnamen wärenn dann noch interessant und wenn Du
die MAC Adresse noch herausbekommen kannst (bitte dann noitfalls per PM schicken).

Anhand der MAC könnte man nämlcih zumindest den Hersteller der Netzwerk-/WLankarte
feststellen, vielleicht kommt man der Sache so auf die Spur.

Dass der Cleint mit der .10 nur ab und zu da ist, spricht am ehersten für eine WLan Verbidung
(muss aber auch nicht unbedingt sein).
Bitte warten ..
Ähnliche Inhalte
E-Mail
Mail Spam fremde IP
gelöst Frage von BerndPE-Mail10 Kommentare

Servus, Wir haben einen SBS2011. Mails werden entweder über POP3-Connector empfangen und über SMTP-Sendeconnector (kleiner Webhoster) gesendet oder über ...

Sicherheit
IoT Botnet wächst rasant
Information von transoceanSicherheit

Ein neuer IoT Botnet Sturm ist im Anmarsch Gruß Uwe

Erkennung und -Abwehr
SPAM von uns oder nicht?
Frage von dafdagErkennung und -Abwehr3 Kommentare

Hallo zusammen, ich werde noch wahnsinnig. Mittlerweile bin ich schon so verunsichert, dass ich nichts mehr verstehe. Ich hoffe ...

E-Mail

Spam verhindern über 1.Received IP Adresse

Frage von greatmgmE-Mail10 Kommentare

Guten Morgen zusammen, um der meisten Spam/Virenschleudern Herr zu werden, folgende Überlegung: Kann ein Spamfilter (beim Provider, in diesem ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 9 StundenServer-Hardware1 Kommentar

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 18 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung30 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing18 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...