transmitter
Goto Top

Spam von meiner IP auch ohne Botnet usw.?

Hi,

ein Bekannter bekommt regelmäßig E-Mails von irgendwelchen Mailservern, dass die Mailzustellung fehlgeschlagen wäre.
Diese E-Mails sind dann Spam für irgendwas die aber nicht von ihm (er schreibt sie nicht).
Anscheinend sind es auch nicht wenige, da er von T-Online auch schon die Abuse E-Mail bekommen hat.

Ich habe allerdings schon alles gemacht, was ich wüsste:

Anti Vir deinstalliert
Avast installiert, komplett Check -> nichts.
Avast deinstalliert, Anti Vir wieder drauf, komplett Check -> nichts
a² installiert -> nichts (außer ein paar Cookies)
Spybot - Search & Destroy installiert -> nichts
hijackthis -> nichts
Security Task Manager -> nichts was gefährlich wäre
sogar der Norten Sicherheitscheck den T-Online empfiehlt war von dem PC begeistert.

Darüber hinaus haben wir jetzt in den letzten 2 Wochen schon 3 mal das E-Mail Passwort geändert, daran dürfte es auch nicht mehr liegen (falls es noch in irgendwelchen Internetcafes o.ä. gespeichert war).

Eine letzte Idee war der Router:
http://www.cameo.com.tw/product.action?cat1=127000000001115847831968500 ...
in den Logs stehen auch jede Menge Zugriffe auf Port 25, die kommen von innen und gehen auf diverse IPs im Internet. Aber heute z.B. um 4:40 wurden E-Mails geschickt, zu diesen Zeitpunkt war der PC aber gar nicht an!

Leider sind die Logs im Router auch sehr sparsam - ist es denn überhaupt denkbar, dass der Router befallen wäre?
Und falls nicht, gibt es noch eine andere Möglichkeit die ich prüfen könnte?

Danke schon mal!
Bye, Transmitter

Content-ID: 63509

Url: https://administrator.de/contentid/63509

Ausgedruckt am: 26.11.2024 um 09:11 Uhr

nils-0401
nils-0401 11.07.2007 um 00:35:14 Uhr
Goto Top
was sagt denn der Router Log woher die Zugriffe kommen? da steht doch bestimmt eine IP bei, denn irgendwie musst du ja auf den Rückschluss intern gekommen sein. Das wär nämlich ein Ansatzpunkt um zu finden, welches Gerät der Verursacher ist.

Nils
BigWumpus
BigWumpus 11.07.2007 um 00:40:55 Uhr
Goto Top
ungesichertes WLAN ????
Da funkt der Nachbar !
gnarff
gnarff 11.07.2007 um 01:47:17 Uhr
Goto Top
Hallo,

was ist das fuer ein Netzwerk, was da betrieben wird?
saludos
gnarff
cykes
cykes 11.07.2007 um 07:04:24 Uhr
Goto Top
Hi,

check zunächst mal die Routerkonfiguration durch, ob z.B. Remote Administration (Zugriff von
aussen auf die Admin Oberfläche/Webseiten) erlaubt ist, das ausschalten, Router Passwort ändern
in etwas komplexes.

Ansonsten hätte ich auch, falls eins existiert, einen Fremzugriff auf ein WLan im Verdacht, dort
auch mal die Keys ändern und eventuell die SSID, sowie die Vershlüsselung möglichst auf WPA
oder WPA2 stellen.

Firmwareupdate, wenn vorhanden, am Router durchführen, der Router selbst hat ja kein WLan.

Eventuell mal anderen Router leihweise einrichten, um zu sehen, ob sich das problem damit auflöst.

Virenscan mit möglichst vielen Scannern auch mal im abgesicherten Modus durchführen.

Gruß

cykes

[EDIT] Kannst Du vielleicht mal einen Screenshot der Router Konfiguration und der Logeinträge
machen und hier posten (notfalls per PM).
Transmitter
Transmitter 11.07.2007 um 09:25:01 Uhr
Goto Top
Erst mal danke für die ganzen Beiträge face-smile

- Im Log steht unter anderem, dass viele Zugriffe von der 192.168.1.10 nach außen gingen, aber wie gesagt, es war kein PC an und durch DHCP lässt sich jetzt auch nicht mehr feststellen, wer das gewesen sein sollte, oder?

- Ein WLAN läuft auch, ist aber WPA2 mit recht sicherem Key, der wurde aber auch schon geändert.

- Das Netzwerk ist direkt hinter einem DSL Router und besteht aus einem PC und einem Laptop, wobei der Laptop schon seit über einer Woche nicht mehr eingeschaltet war.

- Remote Admin beim Router ist deaktiviert.

- Firmware für den Router gibt´s leider nicht

Ich fahre heute noch mal hin und besorge mal Screenshots und Log Einträge.
Danke schon mal.
nils-0401
nils-0401 11.07.2007 um 13:06:00 Uhr
Goto Top
dann würde ich mich auf die Suche nach der IP machen, denn irgendwo muss die ja herkommen.
Ein Accesspoint logt normal wer sich wann connected hat. Mit Mac Adressen. Wenn du dann schaust welche du hast kannst du schonmal rausfinden, wann bzw wie oft sich der jenige verbunden hat. Wenn das nur alle paar Tage mal ein paar Minuten waren, könnte es ein wardriver oder ähnliches sein. Wenn die Verbindung jedoch regelmäßig und lange zu Stande kommt lässt das auf Nachbarn schließen.
Sonst wie schon gesagt: Passwort ändern, SSID ändern, Verschlüsselung verstärken, am besten wenn möglich gleich die IP Adressen im Netz ändern und den DHCP abschalten, dann den Router auf irgendwas krummes legen wie .134 das macht das erraten schwierig. Am besten noch eine Adressrange wie 192.168.7.x denn das ist nicht üblich und eine weitere (zugegeben kleine) Hürde.

Das sollte den Zugreifenden dann erstmal beschäftigen. Und als letzter Tip: geb einfach mal in der Netzwerkumgebung 192.168.1.10 ein und schau ob du irgendwie Zugriff auf den Rechner bekommst face-wink

Nils
cykes
cykes 11.07.2007 um 13:56:52 Uhr
Goto Top
Funktioniert denn ein "ping 192.168.1.10" auf der Kommandozeile?

Sind vielleicht noch andere Geräte im Netz angeschlossen, wie z.B. ein Digitalreceiver, XBox o.ä.?

Wie ist das WLan realisiert? Ist ein zusätzlicher WLan Router/Accesspoint im Netz, kann man auf diesem
vielleicht sehen, wer per WLan verbunden ist?
Transmitter
Transmitter 11.07.2007 um 14:00:07 Uhr
Goto Top
Leider wurden die Logs von gestern überschrieben und heute ist noch nichts passiert.

Im Zweifelsfalls werde ich die komplette Renovierung die Nils vorgeschlagen hat durchführen.

Edit:
Die .10 gibt´s natürlich heute nicht mehr, es hängt noch ein Farblaser im Netz, aber den würde ich mal nicht als böswillig einstufen? Ansonsten keine XBox, Receiver o.ä.

Am WLAN hing vorhin nur der Laptop und verhielt sich unauffällig.
cykes
cykes 12.07.2007 um 14:34:33 Uhr
Goto Top
Beobachte das ganze halt mal, und sammel ein paar Logeinträge.
Insbesondere die Ziel IPs/Hostnamen wärenn dann noch interessant und wenn Du
die MAC Adresse noch herausbekommen kannst (bitte dann noitfalls per PM schicken).

Anhand der MAC könnte man nämlcih zumindest den Hersteller der Netzwerk-/WLankarte
feststellen, vielleicht kommt man der Sache so auf die Spur.

Dass der Cleint mit der .10 nur ab und zu da ist, spricht am ehersten für eine WLan Verbidung
(muss aber auch nicht unbedingt sein).