rickstinson
Goto Top

Versendete Spams an Outlook Kontakte - Ursachenforschung

Hallo,

wir haben nun bei zwei Kunden das Problem dass Spam Mails an Firmenkontakte versandt wurden (die sich im Outlook Adressbuch befanden).
Einmal wurde wohl da ganze Adressbuch missbraucht, einmal nur Mails die mit "R" begannen (zumindest haben sich nur Empfänger mit R Rückmeldung beim KUnden gegeben).
Die Spams wurden *nicht* über den eigenen Server versandt.

Die Spams waren recht rafiniert,
Absender: "email@kunde.com" <irgendwas@freemailer.xx>
Betreff: Rechnungs-Info, etc
Im Body war ein typischer Link zur irgendeiner Mailware, gezeichnet von einer im unternehmen ansässigen Person, meist sogar mit richtigen Firmenname.
Die Mails sind wie hier beschrieben: https://vorsicht-email.de/beitrag/2017/06/26/rechnungs-details-fnpe-110- ...

Die Frage ist jetzt nur: Wie kamen die an die Adressen ran?

Die entsprechenden Windows Clients mit Outlook schauen nach einem ersten Check (manueller Virenscan, Hijackthis, manuelle Kontrolle des System) eigentlich sauber aus.

Beide Kunden verwenden aber veraltete Linux Server (Ubuntu 10.04 LTS!!) und veraltete Zarafa Versionen (7.1!!) und aufgrund des alten PHP veraltete Z-Push Pakete.
Upgrades wurden aus Kostengründen (...) immer ausgeschlagen - und jetzt haben wir den Salat.

- Security Issue mit 7.1 und für z-push habe allerdings keine gefunden.
- Logs sind recht sauber, fail2ban läuft auch drauf.
- Ich sehe auch keine Zugriffe via z-push oder apache von IPs außerhalb der üblichen Mobilfunknetze
- Passwörter sind recht stark gesetzt, usernamen sind auch eher untypisch (keine maier, test, oder heinz).

Abgesehen von der Tatsache das die Server eher löchrigen Emmenthaler ähneln, war jetzt mein Vorschlag mal alles Dienste die nach außen offen sind sofort zu schließen und sämtliche Logins zu ändern.

Hat wer schon einen ähnlichen Fall gehabt, und konnte herausfinden wie die Spamer an das Adressbuch kamen(active sync, webmail, oder doch über den windows client)?

LG Patrick

Content-Key: 347077

Url: https://administrator.de/contentid/347077

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 23.08.2017 um 10:12:35 Uhr
Goto Top
Zitat von @rickstinson:
Abgesehen von der Tatsache das die Server eher löchrigen Emmenthaler ähneln, war jetzt mein Vorschlag mal alles Dienste die nach außen offen sind sofort zu schließen und sämtliche Logins zu ändern.

Hier würde ich zuerst ansetzen.
Den Rest später.
Mitglied: keine-ahnung
keine-ahnung 23.08.2017 um 10:18:30 Uhr
Goto Top
Moin,
Im Body war ein typischer Link zur irgendeiner Mailware
ich dachte immer, Outlook ist die Mailware face-smile?

LG, Thomas
Mitglied: ashnod
ashnod 23.08.2017 um 10:40:24 Uhr
Goto Top
Ahoi
Zitat von @keine-ahnung:
Im Body war ein typischer Link zur irgendeiner Mailware
ich dachte immer, Outlook ist die Mailware face-smile?
aber Malle ist nur einmal im Jahr!! *gröhl*

Sanfte Grüße
Mitglied: freeker
freeker 23.08.2017 um 11:49:06 Uhr
Goto Top
Hallo,

Hast du dir von den Kunden mal die orginalen Spams zuschicken lassen, also als Anhang und nicht eingebunden.
Aus den Headerdaten kannst du dann eventuell Rückschlüsse ziehen ob die Mails von deinem Server kommen oder von Extern verschickt wurden.

MFG
Mitglied: rickstinson
rickstinson 23.08.2017 um 12:15:55 Uhr
Goto Top
ja natürlich face-smile
Ging definitiv extern raus, eben auch mit irgendwelchen freemailer adressen als absender (nur als anzeigename wurde die kundenmailadresse verwendet)
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.08.2017 um 12:32:36 Uhr
Goto Top
Zitat von @rickstinson:

ja natürlich face-smile
Ging definitiv extern raus, eben auch mit irgendwelchen freemailer adressen als absender (nur als anzeigename wurde die kundenmailadresse verwendet)

Dann habe die Spammer irgendwann die Daten abgegriffen. Passiert meist bei den Freemailern, bei yahoo besonders oft, aber auch web.de, gmx u.v.a. waren schon dabei.

lks