Spam von meiner IP auch ohne Botnet usw.?
Hi,
ein Bekannter bekommt regelmäßig E-Mails von irgendwelchen Mailservern, dass die Mailzustellung fehlgeschlagen wäre.
Diese E-Mails sind dann Spam für irgendwas die aber nicht von ihm (er schreibt sie nicht).
Anscheinend sind es auch nicht wenige, da er von T-Online auch schon die Abuse E-Mail bekommen hat.
Ich habe allerdings schon alles gemacht, was ich wüsste:
Anti Vir deinstalliert
Avast installiert, komplett Check -> nichts.
Avast deinstalliert, Anti Vir wieder drauf, komplett Check -> nichts
a² installiert -> nichts (außer ein paar Cookies)
Spybot - Search & Destroy installiert -> nichts
hijackthis -> nichts
Security Task Manager -> nichts was gefährlich wäre
sogar der Norten Sicherheitscheck den T-Online empfiehlt war von dem PC begeistert.
Darüber hinaus haben wir jetzt in den letzten 2 Wochen schon 3 mal das E-Mail Passwort geändert, daran dürfte es auch nicht mehr liegen (falls es noch in irgendwelchen Internetcafes o.ä. gespeichert war).
Eine letzte Idee war der Router:
http://www.cameo.com.tw/product.action?cat1=127000000001115847831968500 ...
in den Logs stehen auch jede Menge Zugriffe auf Port 25, die kommen von innen und gehen auf diverse IPs im Internet. Aber heute z.B. um 4:40 wurden E-Mails geschickt, zu diesen Zeitpunkt war der PC aber gar nicht an!
Leider sind die Logs im Router auch sehr sparsam - ist es denn überhaupt denkbar, dass der Router befallen wäre?
Und falls nicht, gibt es noch eine andere Möglichkeit die ich prüfen könnte?
Danke schon mal!
Bye, Transmitter
ein Bekannter bekommt regelmäßig E-Mails von irgendwelchen Mailservern, dass die Mailzustellung fehlgeschlagen wäre.
Diese E-Mails sind dann Spam für irgendwas die aber nicht von ihm (er schreibt sie nicht).
Anscheinend sind es auch nicht wenige, da er von T-Online auch schon die Abuse E-Mail bekommen hat.
Ich habe allerdings schon alles gemacht, was ich wüsste:
Anti Vir deinstalliert
Avast installiert, komplett Check -> nichts.
Avast deinstalliert, Anti Vir wieder drauf, komplett Check -> nichts
a² installiert -> nichts (außer ein paar Cookies)
Spybot - Search & Destroy installiert -> nichts
hijackthis -> nichts
Security Task Manager -> nichts was gefährlich wäre
sogar der Norten Sicherheitscheck den T-Online empfiehlt war von dem PC begeistert.
Darüber hinaus haben wir jetzt in den letzten 2 Wochen schon 3 mal das E-Mail Passwort geändert, daran dürfte es auch nicht mehr liegen (falls es noch in irgendwelchen Internetcafes o.ä. gespeichert war).
Eine letzte Idee war der Router:
http://www.cameo.com.tw/product.action?cat1=127000000001115847831968500 ...
in den Logs stehen auch jede Menge Zugriffe auf Port 25, die kommen von innen und gehen auf diverse IPs im Internet. Aber heute z.B. um 4:40 wurden E-Mails geschickt, zu diesen Zeitpunkt war der PC aber gar nicht an!
Leider sind die Logs im Router auch sehr sparsam - ist es denn überhaupt denkbar, dass der Router befallen wäre?
Und falls nicht, gibt es noch eine andere Möglichkeit die ich prüfen könnte?
Danke schon mal!
Bye, Transmitter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63509
Url: https://administrator.de/contentid/63509
Ausgedruckt am: 05.11.2024 um 17:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
check zunächst mal die Routerkonfiguration durch, ob z.B. Remote Administration (Zugriff von
aussen auf die Admin Oberfläche/Webseiten) erlaubt ist, das ausschalten, Router Passwort ändern
in etwas komplexes.
Ansonsten hätte ich auch, falls eins existiert, einen Fremzugriff auf ein WLan im Verdacht, dort
auch mal die Keys ändern und eventuell die SSID, sowie die Vershlüsselung möglichst auf WPA
oder WPA2 stellen.
Firmwareupdate, wenn vorhanden, am Router durchführen, der Router selbst hat ja kein WLan.
Eventuell mal anderen Router leihweise einrichten, um zu sehen, ob sich das problem damit auflöst.
Virenscan mit möglichst vielen Scannern auch mal im abgesicherten Modus durchführen.
Gruß
cykes
[EDIT] Kannst Du vielleicht mal einen Screenshot der Router Konfiguration und der Logeinträge
machen und hier posten (notfalls per PM).
check zunächst mal die Routerkonfiguration durch, ob z.B. Remote Administration (Zugriff von
aussen auf die Admin Oberfläche/Webseiten) erlaubt ist, das ausschalten, Router Passwort ändern
in etwas komplexes.
Ansonsten hätte ich auch, falls eins existiert, einen Fremzugriff auf ein WLan im Verdacht, dort
auch mal die Keys ändern und eventuell die SSID, sowie die Vershlüsselung möglichst auf WPA
oder WPA2 stellen.
Firmwareupdate, wenn vorhanden, am Router durchführen, der Router selbst hat ja kein WLan.
Eventuell mal anderen Router leihweise einrichten, um zu sehen, ob sich das problem damit auflöst.
Virenscan mit möglichst vielen Scannern auch mal im abgesicherten Modus durchführen.
Gruß
cykes
[EDIT] Kannst Du vielleicht mal einen Screenshot der Router Konfiguration und der Logeinträge
machen und hier posten (notfalls per PM).
dann würde ich mich auf die Suche nach der IP machen, denn irgendwo muss die ja herkommen.
Ein Accesspoint logt normal wer sich wann connected hat. Mit Mac Adressen. Wenn du dann schaust welche du hast kannst du schonmal rausfinden, wann bzw wie oft sich der jenige verbunden hat. Wenn das nur alle paar Tage mal ein paar Minuten waren, könnte es ein wardriver oder ähnliches sein. Wenn die Verbindung jedoch regelmäßig und lange zu Stande kommt lässt das auf Nachbarn schließen.
Sonst wie schon gesagt: Passwort ändern, SSID ändern, Verschlüsselung verstärken, am besten wenn möglich gleich die IP Adressen im Netz ändern und den DHCP abschalten, dann den Router auf irgendwas krummes legen wie .134 das macht das erraten schwierig. Am besten noch eine Adressrange wie 192.168.7.x denn das ist nicht üblich und eine weitere (zugegeben kleine) Hürde.
Das sollte den Zugreifenden dann erstmal beschäftigen. Und als letzter Tip: geb einfach mal in der Netzwerkumgebung 192.168.1.10 ein und schau ob du irgendwie Zugriff auf den Rechner bekommst
Nils
Ein Accesspoint logt normal wer sich wann connected hat. Mit Mac Adressen. Wenn du dann schaust welche du hast kannst du schonmal rausfinden, wann bzw wie oft sich der jenige verbunden hat. Wenn das nur alle paar Tage mal ein paar Minuten waren, könnte es ein wardriver oder ähnliches sein. Wenn die Verbindung jedoch regelmäßig und lange zu Stande kommt lässt das auf Nachbarn schließen.
Sonst wie schon gesagt: Passwort ändern, SSID ändern, Verschlüsselung verstärken, am besten wenn möglich gleich die IP Adressen im Netz ändern und den DHCP abschalten, dann den Router auf irgendwas krummes legen wie .134 das macht das erraten schwierig. Am besten noch eine Adressrange wie 192.168.7.x denn das ist nicht üblich und eine weitere (zugegeben kleine) Hürde.
Das sollte den Zugreifenden dann erstmal beschäftigen. Und als letzter Tip: geb einfach mal in der Netzwerkumgebung 192.168.1.10 ein und schau ob du irgendwie Zugriff auf den Rechner bekommst
Nils
Funktioniert denn ein "ping 192.168.1.10" auf der Kommandozeile?
Sind vielleicht noch andere Geräte im Netz angeschlossen, wie z.B. ein Digitalreceiver, XBox o.ä.?
Wie ist das WLan realisiert? Ist ein zusätzlicher WLan Router/Accesspoint im Netz, kann man auf diesem
vielleicht sehen, wer per WLan verbunden ist?
Sind vielleicht noch andere Geräte im Netz angeschlossen, wie z.B. ein Digitalreceiver, XBox o.ä.?
Wie ist das WLan realisiert? Ist ein zusätzlicher WLan Router/Accesspoint im Netz, kann man auf diesem
vielleicht sehen, wer per WLan verbunden ist?
Beobachte das ganze halt mal, und sammel ein paar Logeinträge.
Insbesondere die Ziel IPs/Hostnamen wärenn dann noch interessant und wenn Du
die MAC Adresse noch herausbekommen kannst (bitte dann noitfalls per PM schicken).
Anhand der MAC könnte man nämlcih zumindest den Hersteller der Netzwerk-/WLankarte
feststellen, vielleicht kommt man der Sache so auf die Spur.
Dass der Cleint mit der .10 nur ab und zu da ist, spricht am ehersten für eine WLan Verbidung
(muss aber auch nicht unbedingt sein).
Insbesondere die Ziel IPs/Hostnamen wärenn dann noch interessant und wenn Du
die MAC Adresse noch herausbekommen kannst (bitte dann noitfalls per PM schicken).
Anhand der MAC könnte man nämlcih zumindest den Hersteller der Netzwerk-/WLankarte
feststellen, vielleicht kommt man der Sache so auf die Spur.
Dass der Cleint mit der .10 nur ab und zu da ist, spricht am ehersten für eine WLan Verbidung
(muss aber auch nicht unbedingt sein).