Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Spam von meiner IP auch ohne Botnet usw.?

Frage Internet E-Mail

Mitglied: Transmitter

Transmitter (Level 1) - Jetzt verbinden

11.07.2007, aktualisiert 12.07.2007, 4141 Aufrufe, 9 Kommentare

Hi,

ein Bekannter bekommt regelmäßig E-Mails von irgendwelchen Mailservern, dass die Mailzustellung fehlgeschlagen wäre.
Diese E-Mails sind dann Spam für irgendwas die aber nicht von ihm (er schreibt sie nicht).
Anscheinend sind es auch nicht wenige, da er von T-Online auch schon die Abuse E-Mail bekommen hat.

Ich habe allerdings schon alles gemacht, was ich wüsste:

Anti Vir deinstalliert
Avast installiert, komplett Check -> nichts.
Avast deinstalliert, Anti Vir wieder drauf, komplett Check -> nichts
a² installiert -> nichts (außer ein paar Cookies)
Spybot - Search & Destroy installiert -> nichts
hijackthis -> nichts
Security Task Manager -> nichts was gefährlich wäre
sogar der Norten Sicherheitscheck den T-Online empfiehlt war von dem PC begeistert.

Darüber hinaus haben wir jetzt in den letzten 2 Wochen schon 3 mal das E-Mail Passwort geändert, daran dürfte es auch nicht mehr liegen (falls es noch in irgendwelchen Internetcafes o.ä. gespeichert war).

Eine letzte Idee war der Router:
http://www.cameo.com.tw/product.action?cat1=127000000001115847831968500 ...
in den Logs stehen auch jede Menge Zugriffe auf Port 25, die kommen von innen und gehen auf diverse IPs im Internet. Aber heute z.B. um 4:40 wurden E-Mails geschickt, zu diesen Zeitpunkt war der PC aber gar nicht an!

Leider sind die Logs im Router auch sehr sparsam - ist es denn überhaupt denkbar, dass der Router befallen wäre?
Und falls nicht, gibt es noch eine andere Möglichkeit die ich prüfen könnte?

Danke schon mal!
Bye, Transmitter
Mitglied: nils-0401
11.07.2007 um 00:35 Uhr
was sagt denn der Router Log woher die Zugriffe kommen? da steht doch bestimmt eine IP bei, denn irgendwie musst du ja auf den Rückschluss intern gekommen sein. Das wär nämlich ein Ansatzpunkt um zu finden, welches Gerät der Verursacher ist.

Nils
Bitte warten ..
Mitglied: BigWumpus
11.07.2007 um 00:40 Uhr
ungesichertes WLAN ????
Da funkt der Nachbar !
Bitte warten ..
Mitglied: gnarff
11.07.2007 um 01:47 Uhr
Hallo,

was ist das fuer ein Netzwerk, was da betrieben wird?
saludos
gnarff
Bitte warten ..
Mitglied: cykes
11.07.2007 um 07:04 Uhr
Hi,

check zunächst mal die Routerkonfiguration durch, ob z.B. Remote Administration (Zugriff von
aussen auf die Admin Oberfläche/Webseiten) erlaubt ist, das ausschalten, Router Passwort ändern
in etwas komplexes.

Ansonsten hätte ich auch, falls eins existiert, einen Fremzugriff auf ein WLan im Verdacht, dort
auch mal die Keys ändern und eventuell die SSID, sowie die Vershlüsselung möglichst auf WPA
oder WPA2 stellen.

Firmwareupdate, wenn vorhanden, am Router durchführen, der Router selbst hat ja kein WLan.

Eventuell mal anderen Router leihweise einrichten, um zu sehen, ob sich das problem damit auflöst.

Virenscan mit möglichst vielen Scannern auch mal im abgesicherten Modus durchführen.

Gruß

cykes

[EDIT] Kannst Du vielleicht mal einen Screenshot der Router Konfiguration und der Logeinträge
machen und hier posten (notfalls per PM).
Bitte warten ..
Mitglied: Transmitter
11.07.2007 um 09:25 Uhr
Erst mal danke für die ganzen Beiträge

- Im Log steht unter anderem, dass viele Zugriffe von der 192.168.1.10 nach außen gingen, aber wie gesagt, es war kein PC an und durch DHCP lässt sich jetzt auch nicht mehr feststellen, wer das gewesen sein sollte, oder?

- Ein WLAN läuft auch, ist aber WPA2 mit recht sicherem Key, der wurde aber auch schon geändert.

- Das Netzwerk ist direkt hinter einem DSL Router und besteht aus einem PC und einem Laptop, wobei der Laptop schon seit über einer Woche nicht mehr eingeschaltet war.

- Remote Admin beim Router ist deaktiviert.

- Firmware für den Router gibt´s leider nicht

Ich fahre heute noch mal hin und besorge mal Screenshots und Log Einträge.
Danke schon mal.
Bitte warten ..
Mitglied: nils-0401
11.07.2007 um 13:06 Uhr
dann würde ich mich auf die Suche nach der IP machen, denn irgendwo muss die ja herkommen.
Ein Accesspoint logt normal wer sich wann connected hat. Mit Mac Adressen. Wenn du dann schaust welche du hast kannst du schonmal rausfinden, wann bzw wie oft sich der jenige verbunden hat. Wenn das nur alle paar Tage mal ein paar Minuten waren, könnte es ein wardriver oder ähnliches sein. Wenn die Verbindung jedoch regelmäßig und lange zu Stande kommt lässt das auf Nachbarn schließen.
Sonst wie schon gesagt: Passwort ändern, SSID ändern, Verschlüsselung verstärken, am besten wenn möglich gleich die IP Adressen im Netz ändern und den DHCP abschalten, dann den Router auf irgendwas krummes legen wie .134 das macht das erraten schwierig. Am besten noch eine Adressrange wie 192.168.7.x denn das ist nicht üblich und eine weitere (zugegeben kleine) Hürde.

Das sollte den Zugreifenden dann erstmal beschäftigen. Und als letzter Tip: geb einfach mal in der Netzwerkumgebung 192.168.1.10 ein und schau ob du irgendwie Zugriff auf den Rechner bekommst

Nils
Bitte warten ..
Mitglied: cykes
11.07.2007 um 13:56 Uhr
Funktioniert denn ein "ping 192.168.1.10" auf der Kommandozeile?

Sind vielleicht noch andere Geräte im Netz angeschlossen, wie z.B. ein Digitalreceiver, XBox o.ä.?

Wie ist das WLan realisiert? Ist ein zusätzlicher WLan Router/Accesspoint im Netz, kann man auf diesem
vielleicht sehen, wer per WLan verbunden ist?
Bitte warten ..
Mitglied: Transmitter
11.07.2007 um 14:00 Uhr
Leider wurden die Logs von gestern überschrieben und heute ist noch nichts passiert.

Im Zweifelsfalls werde ich die komplette Renovierung die Nils vorgeschlagen hat durchführen.

Edit:
Die .10 gibt´s natürlich heute nicht mehr, es hängt noch ein Farblaser im Netz, aber den würde ich mal nicht als böswillig einstufen? Ansonsten keine XBox, Receiver o.ä.

Am WLAN hing vorhin nur der Laptop und verhielt sich unauffällig.
Bitte warten ..
Mitglied: cykes
12.07.2007 um 14:34 Uhr
Beobachte das ganze halt mal, und sammel ein paar Logeinträge.
Insbesondere die Ziel IPs/Hostnamen wärenn dann noch interessant und wenn Du
die MAC Adresse noch herausbekommen kannst (bitte dann noitfalls per PM schicken).

Anhand der MAC könnte man nämlcih zumindest den Hersteller der Netzwerk-/WLankarte
feststellen, vielleicht kommt man der Sache so auf die Spur.

Dass der Cleint mit der .10 nur ab und zu da ist, spricht am ehersten für eine WLan Verbidung
(muss aber auch nicht unbedingt sein).
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
E-Mail
gelöst Mail Spam fremde IP (10)

Frage von BerndP zum Thema E-Mail ...

E-Mail
Spam verhindern über 1.Received IP Adresse (10)

Frage von greatmgm zum Thema E-Mail ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...

Erkennung und -Abwehr
Ermittlern gelingt Schlag gegen Botnet-Schwergewicht Avalanche

Link von magicteddy zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...