44
Ungebetener Gast im System schickt "Word-Dokument" raus
Guten Morgen,
Bei mir auf der Arbeit werden hin und wieder wohl vereinzelt E-Mails an Kunden und Lieferanten geschickt die ein Word-Dokumente als angebliche Rechnungen erhalten.
Ich kam noch nicht dazu alle Rechnern zu scannen (bin mir aber auch nicht sicher ob McAfee und Avira hier ausreichen) und habe auf den gescannten nur genau 2 Maleware Probleme gehabt.
Wie finde und vorallem löse ich die Angelegenheit?
Zum Untersuchen des Elements selbst bin ich bisher nicht gekommen.
Allerdings weiß ich, dass versucht wurde das Dokument zu öffnen, was "offensichtlich nicht geht".
Da ich es noch nicht untersucht habe kann ich noch keinen Aufschluss über die Natur des "Besuchers" geben.
Hoffe ihr könnt mir helfen und ein besseres Antivirus Programm empfehlen
Lg
Bei mir auf der Arbeit werden hin und wieder wohl vereinzelt E-Mails an Kunden und Lieferanten geschickt die ein Word-Dokumente als angebliche Rechnungen erhalten.
Ich kam noch nicht dazu alle Rechnern zu scannen (bin mir aber auch nicht sicher ob McAfee und Avira hier ausreichen) und habe auf den gescannten nur genau 2 Maleware Probleme gehabt.
Wie finde und vorallem löse ich die Angelegenheit?
Zum Untersuchen des Elements selbst bin ich bisher nicht gekommen.
Allerdings weiß ich, dass versucht wurde das Dokument zu öffnen, was "offensichtlich nicht geht".
Da ich es noch nicht untersucht habe kann ich noch keinen Aufschluss über die Natur des "Besuchers" geben.
Hoffe ihr könnt mir helfen und ein besseres Antivirus Programm empfehlen
Lg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 394146
Url: https://administrator.de/contentid/394146
Printed on: April 25, 2024 at 12:04 o'clock
44 Comments
Latest comment
Guten morgen,
ein paar mehr Infos zu deiner Infrastruktur wären hilfreich.
Prinzipiell solltest du alle Rechner vom Netz nehmen, offline scannen und erst wieder ans Netz lassen, wenn die wirklich sauber sind.
Im Optimalfall installierst du die Systeme sauber neu, dann kannst du wenigstens auf Nummer sicher gehen, alles erwischt zu haben.
Wie werden denn bei euch Mails verschickt und kommen die auch sicher aus eurem Netz oder nutzt ggf. nur jemand euren Alias?
Gruß
ein paar mehr Infos zu deiner Infrastruktur wären hilfreich.
Prinzipiell solltest du alle Rechner vom Netz nehmen, offline scannen und erst wieder ans Netz lassen, wenn die wirklich sauber sind.
Im Optimalfall installierst du die Systeme sauber neu, dann kannst du wenigstens auf Nummer sicher gehen, alles erwischt zu haben.
Wie werden denn bei euch Mails verschickt und kommen die auch sicher aus eurem Netz oder nutzt ggf. nur jemand euren Alias?
Gruß
Moin,
also du hast eigentlich noch nix getan um es selbst zu lösen.. hast auch keine Infos - aber möchtest hier wissen was du tun sollst?
Mit den wenigen Infos kann man nur sagen: Alle rechner neu aufsetzen - und ggf. am Ende feststellen das nur jemand eure Mail-Adresse missbraucht... Aber ich gehe mal davon aus das du erst mal etwas eigeninitative ergreifen möchtest bevor du hier genauere Tips erwartest...
also du hast eigentlich noch nix getan um es selbst zu lösen.. hast auch keine Infos - aber möchtest hier wissen was du tun sollst?
Mit den wenigen Infos kann man nur sagen: Alle rechner neu aufsetzen - und ggf. am Ende feststellen das nur jemand eure Mail-Adresse missbraucht... Aber ich gehe mal davon aus das du erst mal etwas eigeninitative ergreifen möchtest bevor du hier genauere Tips erwartest...
Hallo,
die erste Frage, die sich mir stellen würde. Sind die wirklich aus meinem Haus, oder ist nur der Absender "gefälscht".
die erste Frage, die sich mir stellen würde. Sind die wirklich aus meinem Haus, oder ist nur der Absender "gefälscht".
1
das isses. Ich hatte jetzt auch schon diverse .doc Mails mit gefälschtem Absender (also "quasie" firmenintern) und schlechtem deutsch sowie einer falschen Signatur im Umlauf.
und woher weisst du das es das hier auch ist? Und nicht irgendein Virus, Trojaner oder böser Mitarbeiter? Ich hatte es auch schon mal das mein Auto stehen geblieben ist weil sich die Steuerkette zerlegt hat (...BMW 1er...). Ist jetzt also jedes Auto was am Rand steht automatisch auch nen Fehler mit der Steuerkette?!?
Guten Morgen....
Wie geschrieben, erstmal den Empfänger bitten dir die Mail oder gleich den Header zu schicken.
Du musst halt wissen, ob die Mail wirklich aus euren Haus stammt, oder ob einfach der Absender gefälscht wurde.
Falls Absender gefälscht, würde ich zu einem SPF Eintrag raten, das verhindert einiges.
2 Malware Probleme sind 2 zu Viel, aber wir kennen deine Umgebung ja nicht.
Grüße
Wie geschrieben, erstmal den Empfänger bitten dir die Mail oder gleich den Header zu schicken.
Du musst halt wissen, ob die Mail wirklich aus euren Haus stammt, oder ob einfach der Absender gefälscht wurde.
Falls Absender gefälscht, würde ich zu einem SPF Eintrag raten, das verhindert einiges.
2 Malware Probleme sind 2 zu Viel, aber wir kennen deine Umgebung ja nicht.
Grüße
Genau,
erst mal Untersuchen, dann handeln.
Alles andere ist Sinnlos und Zeitverschwendung.
erst mal Untersuchen, dann handeln.
Alles andere ist Sinnlos und Zeitverschwendung.
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Das solltest du aber definitiv prüfen und nicht einfach nur davon ausgehen.
Die anderen an dich gestellten Fragen darfst du übrigens auch gern beantworten
Die anderen an dich gestellten Fragen darfst du übrigens auch gern beantworten
Zitat von @Nightmum83:
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Du kannst dir nicht sicher sein. Du z.b. bekommst nur von denen Rückmeldung.
Keine Vermutungen wenn man das absichern kann. Dauert nur ein paar Minuten und bist die 100% sicher.
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Lass dir von den betroffenen Kontakten die Mailheader schicken und schau da rein. Alles andere ist "im Trüben fischen".
Während du auf die Infos wartest kannst du schon mal ins Logs deines Mailserver schauen, ob es da Auffälligkeiten im Zusammenhang mit den fraglichen Empfängern gibt.
Manuel
Das ist schön das du davon ausgehst... und woher WEISST du das? Euer Kunde/Lieferant wird vermutlich bei sowas anrufen weil der ja Kontakt zu euch hat. Meinst du ernsthaft das ich auch nur ne Sekunde hier damit verschwenden würde Firmen von denen ich den Müll erhalte zu informieren? Die Mail geht in die Tonne zu den 50 anderen in der Woche und gut... Mir würde sowohl die Zeit als auch die Lust fehlen mich mit den Firmen in Kontakt zu setzen - ich müsste ja:
- Die Mail dafür erst mal öffnen
- Ggf. das Attachment öffnen um zu gucken ob es überhaupt ne valide Formatierung (z.B. Briefkopf,...) enthält
- Bei Google nach der Firma suchen
- Dort den korrekten Ansprechpartner ermitteln
- Dem das ganze Weiterleiten und ggf. sogar noch Rückfragen beantworten
--> oder ich lösch die Mail einfach und es geht mir gepflegt am Ar... vorbei (wie die anderen 1000 Spammails auch).
Woher weisst du also wer jetzt wirklich solche Mails bekommen?
- Die Mail dafür erst mal öffnen
- Ggf. das Attachment öffnen um zu gucken ob es überhaupt ne valide Formatierung (z.B. Briefkopf,...) enthält
- Bei Google nach der Firma suchen
- Dort den korrekten Ansprechpartner ermitteln
- Dem das ganze Weiterleiten und ggf. sogar noch Rückfragen beantworten
--> oder ich lösch die Mail einfach und es geht mir gepflegt am Ar... vorbei (wie die anderen 1000 Spammails auch).
Woher weisst du also wer jetzt wirklich solche Mails bekommen?
Moin, hier ein ganz klarer und ernstgemeinter Rat: Such Dir ein Systemhaus das Dich hier unterstützt.
Dir fehlt offensichtlich das notwendige Wissen.
Dir fehlt offensichtlich das notwendige Wissen.
3
Naja - zumindest die ersten Sachen kann man idR. auch selbst schon prüfen - z.B. ob der Mailserver überhaupt zu den fraglichen Zeiten was an den Empfänger gegeben hat... Dafür brauchts noch kein Systemhaus. Wenns aber schon anfängt mit "ich hab eigentlich noch nix getan" dann dürfte es schwer werden...
1
Eben. Und ich wette ne Kiste Bier, da liegt mehr im Argen als nur 2 Malwarefunde.
Da würde ich mit einsteigen
Sollte sich raus stellen, dass die Mails wirklich von euch kommen, solltest du den Rat mit dem Systemhaus annehmen, ich denke du selbst wirst sonst nicht Herr (Frau) der Lage.
Sollte sich raus stellen, dass die Mails wirklich von euch kommen, solltest du den Rat mit dem Systemhaus annehmen, ich denke du selbst wirst sonst nicht Herr (Frau) der Lage.
Zitat von @Nightmum83:
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Mutmaßungen helfen hier NICHT weiter.Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Wie schon mehrfach geschrieben, lasse Dir die E-Mails mit den vollständigen Header-Informationen zukommen.
Dann besorge Dir beispielsweise c't Desinfec't und scanne Deine Rechner offline.
Ich empfehle Dir auch das dazugehörige Sonderheft.
Wenn Dur weitere Informationen hast, kannst Du diese hier posten, damit wir Dir weiter helfen können.
Gruss Penny.
Hallo,
sicher, dass die E-Mails überhaupt von euch sind?
Ich kann jede Adresse als Absender auf die Rückseite eines Briefumschlages schreiben, bevor ich ihn in den Briefkasten werfe.
Gruß,
Jörg
sicher, dass die E-Mails überhaupt von euch sind?
Ich kann jede Adresse als Absender auf die Rückseite eines Briefumschlages schreiben, bevor ich ihn in den Briefkasten werfe.
Gruß,
Jörg
Eigene Initiative als Laie ist nicht unbedingt so einfach.
Evtl möchten Sie auch einfach noch mal mit dem richtigen Fuß aufstehen bevor Sie mich "anfahren"
Oder mir mitteilen, welche Initiativen ich ausser neu aufsetzen ergreifen soll.
Die Rechner alle platt machen und neu aufsetzen darf ich nicht so einfach, sonst hätte ich das getan zumindest so gebildet bin ich in der Materie...
Evtl möchten Sie auch einfach noch mal mit dem richtigen Fuß aufstehen bevor Sie mich "anfahren"
Oder mir mitteilen, welche Initiativen ich ausser neu aufsetzen ergreifen soll.
Die Rechner alle platt machen und neu aufsetzen darf ich nicht so einfach, sonst hätte ich das getan zumindest so gebildet bin ich in der Materie...
Ohne das passende Wissen wird das aber sehr schwer hier was zu erreichen, du solltest ein Systemhaus dazu ziehen.
Welche Punkte geprüfte werden können bzw. müssen wurde ja bereits mehrfach erwähnt, prüfen ob die Mails wirklich von euch sind und wenn ja, definitiv Hilfe dazu holen.
Welche Punkte geprüfte werden können bzw. müssen wurde ja bereits mehrfach erwähnt, prüfen ob die Mails wirklich von euch sind und wenn ja, definitiv Hilfe dazu holen.
Automatisch Abwesenheit antworten, antworten von Empfängern ob die Mails für sie sind und weil ich auf meine private E-Mail jene Mails bekommen habe.
Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.
Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.
Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Zitat von @Nightmum83:
Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Das sind Mutmaßungen. Hast Du die Header-Informationen der E-Mails? Denn nur so erhält Du die Informationen.Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Alles andere ist Göaskugelraten.
Gruss Penny.
Es geht in der IT aber leider nicht immer nach Logik, sondern es müssen die Dinge geprüft und verifiziert werden.
Deine Mutmaßungen sind falsch. Wir haben das gleiche und wenn man sich die Header-Infos anschaut, sieht man, dass es einfach Fälschungen sind.
Bei uns wurde bei Geschäftspartnern auf Computer bzw. Postfächer zugegriffen und damit sind eben Kommunikationsbeziehnungen bekannt. Teilweise schicken sich unsere Mitarbeiter gegenseitig diese gefälschten Rechnungen zu.
Bei uns wurde bei Geschäftspartnern auf Computer bzw. Postfächer zugegriffen und damit sind eben Kommunikationsbeziehnungen bekannt. Teilweise schicken sich unsere Mitarbeiter gegenseitig diese gefälschten Rechnungen zu.
Zitat von @Nightmum83:
Automatisch Abwesenheit antworten, antworten von Empfängern ob die Mails für sie sind und weil ich auf meine private E-Mail jene Mails bekommen habe.
Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.
Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Nur mal so als Hinweis, wie falsch du liegen kannst:Automatisch Abwesenheit antworten, antworten von Empfängern ob die Mails für sie sind und weil ich auf meine private E-Mail jene Mails bekommen habe.
Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.
Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Den letzen Fall dieser Art, bei dem ich unterstützend tätig war, war nämlich ganz anders: Von einem Android-Gerät wurden Mailadressen, Signaturen und wer weiß noch was alles gestohlen. Mit diesen Informationen wurden dann über einen offenen SMTP-Server genau solche Mails verschickt.
Also besorg dir die verdammten Header! Ohne wirst du nicht wirklich weiter kommen.
Moin,
Als allererstes läßt Du Dir die Header der mails aushändigen, die angeblich von euch kommen. Dann kann man feststellen, ob die wirklich von euch sind, oder ob jemand einfach nur den falschen Absender draufgeschrieben hat.
Wenn diese Mails sich auf euch zurückführen lassen, sollte im Header stehen, welche Kiste diese Mails bei eurem Mailserver eingekippt hat, Notfalls schaut man un den Logs eures Mailservers nach der passenden message-ID.
Dann kann man gezielt die Kiste "rausziehen", die Blödsinn macht.
lks
PS: Such Dir einen Dienstleister, der Dich an die Hand nimmt.
Als allererstes läßt Du Dir die Header der mails aushändigen, die angeblich von euch kommen. Dann kann man feststellen, ob die wirklich von euch sind, oder ob jemand einfach nur den falschen Absender draufgeschrieben hat.
Wenn diese Mails sich auf euch zurückführen lassen, sollte im Header stehen, welche Kiste diese Mails bei eurem Mailserver eingekippt hat, Notfalls schaut man un den Logs eures Mailservers nach der passenden message-ID.
Dann kann man gezielt die Kiste "rausziehen", die Blödsinn macht.
lks
PS: Such Dir einen Dienstleister, der Dich an die Hand nimmt.
1
Zitat von @Nightmum83:
Die Rechner alle platt machen und neu aufsetzen darf ich nicht so einfach, sonst hätte ich das getan zumindest so gebildet bin ich in der Materie...
Die Rechner alle platt machen und neu aufsetzen darf ich nicht so einfach, sonst hätte ich das getan zumindest so gebildet bin ich in der Materie...
Wäre auch der Overkill
Hi erst mal,
also folgendes Vorgehen nochmal zusammengefasst:
1.) Definitiv erst einemal feststellen ob die E-Mail aus dem eigenen Haus kommen (Mail Header auf eigenen Mailserver untersuchen, zur Not fesstellen wem der Mailserver gehört, wenn möglich, und den melden) --> zu 90 % wahrscheinlich nur eine gefäkschte Absendeadresse.
Der Versand "nur" an Kunden ist kein Indikator das die Mails aus eurem Haus kommen. Siehe Post von Kraemer.
Wenn Punkt 1 Tatsächlich ergibt das es aus dem eigenen Haus kommt --> Herausfinden welcher Benutzer bzw. welcher PC die schleuder ist. PC aus einem sauberen Backup wiederherstellen, oder neu aufsetzen.
Danach alle anderen Systeme Scannen, da führt dann kein weg drumherum.
Kleiner Wink am Rande, wenn ihr Tatsächlich die schleudern seid, dann dauert es auch nicht lange bis ihr auf Blacklists landet und euer Mailversand generell gestört ist. Hier gilt je früher desto besser, also lieber aktuell ein bisschen Geld in die Hand nehmen für einen ordentlichen Support, als später wesentlich teureres Lehrgeld zu bezahlen.
Man erwartet nicht das jeder alles kann, aber erwarten dass man komuniziert wenn man einer Aufgabe noch nicht gewachsen ist gehört zu einem Seriösen auftreten dazu.
vG
PJM
2
Würden alle Unternehmen ordentlich für den Mail Empfang HELO-Filter verwenden (sowie alle Firmen ihren RDNS für MX richtig konfigurieren) könnte man sofort sagen, dass das Problem liegt tatsächlich bei euch auf einem der Rechner.
Dann gäbe es bei euren Geschäftspartnern nämlich gar nicht die Möglichkeit, das jemand fremdes mit gefälschtem Absender in eurem Namen Mails von einem Rechner sendet, der sich außerhalb des Unternehmens befindet. Die würden sofort durch den Filter fallen.
Unter solche Voraussetzungen könnte man auch definitiv sagen, euer System wäre befallen.
Aber da das ja Wunschdenken ist bleibt das ohne den Header, wie auch andere schon gesagt haben, ein Blick in die Glaskugel.
Dann gäbe es bei euren Geschäftspartnern nämlich gar nicht die Möglichkeit, das jemand fremdes mit gefälschtem Absender in eurem Namen Mails von einem Rechner sendet, der sich außerhalb des Unternehmens befindet. Die würden sofort durch den Filter fallen.
Unter solche Voraussetzungen könnte man auch definitiv sagen, euer System wäre befallen.
Aber da das ja Wunschdenken ist bleibt das ohne den Header, wie auch andere schon gesagt haben, ein Blick in die Glaskugel.
Sorry, ernsthaft jetzt? Gut, dann können wir auch gleich anfangen: Wenn alle Menschen nett wären bräuchten wir gar keine Filter - weils ja dann keine Spam-/Virenversender gibt... oh, und eigentlich bräuchten wir ja auch keine Mail - weil man das eben am Telefon bespricht und sich einfach jeder an Absprachen hält...
Soll ich weitermachen?
Soll ich weitermachen?
Dein Vergleich hinkt, da du hier Äpfel und Birnen vergleichst.
Beim einen geht es um grobe Fahrlässigkeit bei der Security.
Beim anderen um vorsätzliche Umgehung dieser.
Das wäre wie als würde ich sagen, wenn jeder einen Airbag im Auto hätte, gäbe es weniger Schwer-verletzte bei Unfällen.
Und du würdest sagen wenn es weniger illegale Autorennen geben würde gäbe es weniger Schwer-verletzte.
Beides mag richtig sein, aber ersteres sollte einfach als Standard gelten den man einhalten sollte.
Wer es nicht macht handelt halt fahrlässig.
Zweites ist schlichtweg illegal, es werden aber sowieso irgendwelche Idioten machen und andere damit reinziehen.
Das ist dann auch nicht fahrlässig sondern Vorsatz.
Beim einen geht es um grobe Fahrlässigkeit bei der Security.
Beim anderen um vorsätzliche Umgehung dieser.
Das wäre wie als würde ich sagen, wenn jeder einen Airbag im Auto hätte, gäbe es weniger Schwer-verletzte bei Unfällen.
Und du würdest sagen wenn es weniger illegale Autorennen geben würde gäbe es weniger Schwer-verletzte.
Beides mag richtig sein, aber ersteres sollte einfach als Standard gelten den man einhalten sollte.
Wer es nicht macht handelt halt fahrlässig.
Zweites ist schlichtweg illegal, es werden aber sowieso irgendwelche Idioten machen und andere damit reinziehen.
Das ist dann auch nicht fahrlässig sondern Vorsatz.
Zitat von @Nightmum83:
Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
1. Dann stehen sie auch im Log deines SMTP-Servers, wenn sie von Euch gesendet worden sinf.
2. sehr lustige Annahme, das Adressen NUR bei Euch im Adressbuch stehn
3.: schrieb mir eine PM mit sdeinen Wünschen und ich schicke dir eine Antwort von dem von dir gewünschten Ansenderdaten (zumindest stehts auf dem Umschlag so)
Fred
Zitat von @Penny.Cilin:
Das sind Mutmaßungen. Hast Du die Header-Informationen der E-Mails? Denn nur so erhält Du die Informationen.
Alles andere ist Göaskugelraten.
Gruss Penny.
Alles andere ist Göaskugelraten.
Gruss Penny.
Guten Morgen,
Ich habe gestern diverse Header untersucht.
Absender und IP's sind alle unterschiedlich.
Ausserdem habe ich den Chef zumindest schon Mal soweit, dass er eine professionelle Security Software besorgt hat. Ich warte derzeit auf die Lizenzen um die Rechner dann damit erneut zu prüfen.
Die Frage die sich mir jetzt im Moment noch stellt, bedeutet unterschiedliche Header auch immer unterschiedliche Sender?
Ausserdem habe ich jetzt beim Check des Spam-Ordners festgestellt, dass einige der Kontakte nun "ebenfalls solche Mails verschicken" ich vermute sie waren so doof und haben versucht das angebliche Word Dokument zu öffnen .... Dieses konnte ich leider noch nicht Untersuchen, da ich das nicht in einem ungesicherten Desktop Bereich machen wollte.
Weiter erscheint es so, dass die bezogenen Infos/Mail Signatur vom Rechner meines Vorgesetzten kommt.
Wenn ich da am Montag endlich mal ran darf, kann ich prüfen ob er aktuell infiziert ist mit etwas oder ob sich nur jemand einmalig Zugriff verschafft hatte.
Zur Struktur.. 6 Rechner im Netzwerk zum Arbeiten mit den "unwichtigen" Programmen darauf (leider NOCH alle mit Admin geführt) und einen weiteren Rechner, der als eine Art Server funktioniert auf dem die wichtigen Programme drauf laufen. Also firmenklient zb den hat damals (gott sei Dank) ein IT Spezialist eingerichtet, der sollte also Recht sicher sein. Bevor jetzt kommt "dann Ruf den an" versuche ich schon seit Tagen, da ich ihn nicht erreiche bin ich hier.
Hallo,
Natürlich.
Und was soll die bewirken? Die E-Mails stammen nicht von euren Systemen, siehe oben. Genau so gut könntest Du die Blumen auf den Fensterbänken gießen und dann hoffen, dass es aufhört.
Aha - trotz der "unterschiedlichen" IP-Adressen (siehe oben)?
Ernsthaft - Du solltest dich um professionelle Hilfe (Systemhaus o.Ä.) bemühen. Mit deiner Frickelei und Glaskugelraterei vermittelst Du deinen Vorgesetzten gegenüber den Eindruck, als könntest Du konstruktiv zur Lösung der Problematik beitragen.
Dazu fehlt Dir jedoch eindeutig das Grundlagenwissen.
Falls Du dir einmal durchlesen möchtest, was für eine Verantwortung Du blauäugig übernimmst, kannst Du das u.A. hier nachlesen: https://www.kanzlei.de/archiv/virenhaftg-htm
Bist Du dir wirklich sicher, dass Du da eine entsprechende Berufsausbildung und Erfahrung hast?
Gruß,
Jörg
Zitat von @Nightmum83:
Ich habe gestern diverse Header untersucht.
Absender und IP's sind alle unterschiedlich.
Ich habe gestern diverse Header untersucht.
Absender und IP's sind alle unterschiedlich.
Natürlich.
Ausserdem habe ich den Chef zumindest schon Mal soweit, dass er eine professionelle Security Software besorgt hat.
Und was soll die bewirken? Die E-Mails stammen nicht von euren Systemen, siehe oben. Genau so gut könntest Du die Blumen auf den Fensterbänken gießen und dann hoffen, dass es aufhört.
Die Frage die sich mir jetzt im Moment noch stellt, bedeutet unterschiedliche Header auch immer unterschiedliche Sender?
Weiter erscheint es so, dass die bezogenen Infos/Mail Signatur vom Rechner meines Vorgesetzten kommt.
Aha - trotz der "unterschiedlichen" IP-Adressen (siehe oben)?
Ernsthaft - Du solltest dich um professionelle Hilfe (Systemhaus o.Ä.) bemühen. Mit deiner Frickelei und Glaskugelraterei vermittelst Du deinen Vorgesetzten gegenüber den Eindruck, als könntest Du konstruktiv zur Lösung der Problematik beitragen.
Dazu fehlt Dir jedoch eindeutig das Grundlagenwissen.
Falls Du dir einmal durchlesen möchtest, was für eine Verantwortung Du blauäugig übernimmst, kannst Du das u.A. hier nachlesen: https://www.kanzlei.de/archiv/virenhaftg-htm
Bist Du dir wirklich sicher, dass Du da eine entsprechende Berufsausbildung und Erfahrung hast?
Gruß,
Jörg
Hallo,
Blödsinn. Das war vielleicht mal vor 10 Jahren der Fall. Inzwischen haben diese E-Mails exakt einen Absender und einen dazu passenden(!) Empfänger, so dass Backscatter relativ selten geworden sind.
Gruß,
Jörg
Zitat von @Nightmum83:
Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.
Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.
Blödsinn. Das war vielleicht mal vor 10 Jahren der Fall. Inzwischen haben diese E-Mails exakt einen Absender und einen dazu passenden(!) Empfänger, so dass Backscatter relativ selten geworden sind.
Gruß,
Jörg
Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Damit meine ich, dass die Mails die Signatur und Namen von meinem Vorgesetzten verwenden. Und somit auch die Kontaktdaten sich von dort geholt haben könnten.
Was die Software bewirken soll. Ungeachtet des aktuellen Vorfalls sicherstellen, dass das System nicht doch irgendwann mit wer weiß was infiziert ist und die Daten noch besser sichern.
Ich bemühe mich um das Systemhaus, den für uns zuständigen IT erreiche ich nur nicht, also versuche ich durch Kommunikation hier herauszufinden ob ich wenigstens überhaupt etwas tun kann um den Zustand nur auf "ist" zu halten und nicht noch einen worst case herauf zu beschwören.
Mein Chef ist leider noch unerfahrener als ich, was nicht heißen soll, dass ich mich als qualifiziert empfinde. Und bevor mein Chef weiter auf die Idee kommt "die Datei geht nicht zu öffnen guck.... *Klick*", greife ich lieber mit meinem "unwissen" ein und sage ihm, dass er eine Profi Business Security besorgen soll. Denn der Grundsatz "erst denken, dann klicken" scheint an ihm vorbei gegangen zu sein.
Ich habe zumindest irgendwann einmal das berufliche Gymnasium für Datenverarbeitung besucht und einen Clan-Server gehostet... Liegt weit zurück und ist noch immer weit von dem Wissen entfernt, dass ich benötigen würde an der Stelle aber zumindest eine bessere Ausgangssituation um dafür zu sorgen, dass nichts noch schlimmeres passiert.
Damit meine ich, dass die Mails die Signatur und Namen von meinem Vorgesetzten verwenden. Und somit auch die Kontaktdaten sich von dort geholt haben könnten.
Was die Software bewirken soll. Ungeachtet des aktuellen Vorfalls sicherstellen, dass das System nicht doch irgendwann mit wer weiß was infiziert ist und die Daten noch besser sichern.
Ich bemühe mich um das Systemhaus, den für uns zuständigen IT erreiche ich nur nicht, also versuche ich durch Kommunikation hier herauszufinden ob ich wenigstens überhaupt etwas tun kann um den Zustand nur auf "ist" zu halten und nicht noch einen worst case herauf zu beschwören.
Mein Chef ist leider noch unerfahrener als ich, was nicht heißen soll, dass ich mich als qualifiziert empfinde. Und bevor mein Chef weiter auf die Idee kommt "die Datei geht nicht zu öffnen guck.... *Klick*", greife ich lieber mit meinem "unwissen" ein und sage ihm, dass er eine Profi Business Security besorgen soll. Denn der Grundsatz "erst denken, dann klicken" scheint an ihm vorbei gegangen zu sein.
Ich habe zumindest irgendwann einmal das berufliche Gymnasium für Datenverarbeitung besucht und einen Clan-Server gehostet... Liegt weit zurück und ist noch immer weit von dem Wissen entfernt, dass ich benötigen würde an der Stelle aber zumindest eine bessere Ausgangssituation um dafür zu sorgen, dass nichts noch schlimmeres passiert.
Hallo,
Wie gesagt - letztendlich ist es deine Verantwortung. Dein Vorgesetzter hat die mal „fein weggeschoben“.
Viel Erfolg!
Gruß,
Jörg
Zitat von @Nightmum83:
Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Wie gesagt - letztendlich ist es deine Verantwortung. Dein Vorgesetzter hat die mal „fein weggeschoben“.
Viel Erfolg!
Gruß,
Jörg
Ich möchte dich nicht enttäuschen aber ob das besser ist steht auf einem anderem Blatt.... Denn leider ist Halbwissen oft sogar gefährlicher als Unwissen weil man GLAUBT etwas zu können und somit denkt das es korrekt ist was man macht.
Allerdings würde ich eben auch sehen das du nen gutes Systemhaus ranbekommst die sich das mal vor Ort angucken... Denn auch dein "profi-tool" ist sinnlos wenn man nicht weiss was man macht. Es dauert genau 0,5 minuten und ich kann dir nen Virus bauen der an deinem Profi-Tool lächelnd vorbeizieht weils eben die Signatur nicht kennt (klar, is ja auch dann nur für dich zusammengezimmert). Was du aber dein Systemhaus fragen kannst - nach einem Mail-Filter der zumindest schon mal die Viren-Mails vom User fernhält. Das löst nicht alles - aber zumindest 95% kommen gar nicht soweit das jemand klicken könnte. Und somit auch nich auf die Idee kommt das man ja auf "mach trotzdem" klicken kann wenn der Virenscanner hochpoppt das es was verdächtiges is und das es äusserst blöd wäre jetzt das doch zu machen.
Allerdings würde ich eben auch sehen das du nen gutes Systemhaus ranbekommst die sich das mal vor Ort angucken... Denn auch dein "profi-tool" ist sinnlos wenn man nicht weiss was man macht. Es dauert genau 0,5 minuten und ich kann dir nen Virus bauen der an deinem Profi-Tool lächelnd vorbeizieht weils eben die Signatur nicht kennt (klar, is ja auch dann nur für dich zusammengezimmert). Was du aber dein Systemhaus fragen kannst - nach einem Mail-Filter der zumindest schon mal die Viren-Mails vom User fernhält. Das löst nicht alles - aber zumindest 95% kommen gar nicht soweit das jemand klicken könnte. Und somit auch nich auf die Idee kommt das man ja auf "mach trotzdem" klicken kann wenn der Virenscanner hochpoppt das es was verdächtiges is und das es äusserst blöd wäre jetzt das doch zu machen.
Zitat von @Nightmum83:
Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Damit meine ich, dass die Mails die Signatur und Namen von meinem Vorgesetzten verwenden. Und somit auch die Kontaktdaten sich von dort geholt haben könnten.
Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Damit meine ich, dass die Mails die Signatur und Namen von meinem Vorgesetzten verwenden. Und somit auch die Kontaktdaten sich von dort geholt haben könnten.
Eigentlich hilft dir jedes qualifizierte "Systemhaus" oder eben IT-Dienstleister - Problem ist das ..qualifizierte..
Mein Chef ist leider noch unerfahrener als ich, was nicht heißen soll, dass ich mich als qualifiziert empfinde. Und bevor mein Chef weiter auf die Idee kommt "die Datei geht nicht zu öffnen guck.... *Klick*", greife ich lieber mit meinem "unwissen" ein und sage ihm, dass er eine Profi Business Security besorgen soll.
Denn der Grundsatz "erst denken, dann klicken" scheint an ihm vorbei gegangen zu sein.
Dagegen kann eh keiner was tun.. ist ja Sinn der "Angriffe mit social engeneering" Da hilft normalerweise auch kein Virenscanner oder sowas (zumindest in den ersten Tagen..Wochen)
Ist aber ein völlig anderes Thema; wichtiger sind ordentlich eingestellte Mailsysteme (SPF) auch bei Euch ankommend (und abgehend ist nicht schlecht)
Such dir einen Externen der sich bei Mail auskennt (sowohl Win als auch Linux oder BSD) und spar dir die Mühe wenn die Mails (Header hast du ja) nicht von Eurem Mailserver gesendet worden sind.
Dagegen hilft nur SPF ... sprich der empfangende Server prüft ob die Quell-IP identisch ist mit dem MX-Eintrag im DNS..ansonsten 5xx oder mindesten 4xx
Fred
Moin moin,
vielleicht habe ich es ja überlesen, aber ich finde keine Info, ob ihr einen eigenen EmailServer betreibt (z. B. einen Exchange Server von MS) oder ob ihr die MailServer eures Providers (z. B. Telekom) bzw. eines anderen Anbieters (z. B. DomoinFactory) nutzt.
Mach einfach mal ein Outlook auf (oder welches Email Programm ihr auch nutzt) und schau unter den Kontoeinstellungen nach, wohin verbunden wird.
Ist der Server extern (und damit liegen dort höchstwahrscheinlich auch die Kontakte), dann kannst dir den ganzen Aufwand intern erstmal sparen (was nicht bedeuten soll, dass die interne Sicherheit unwichtig wäre..).
Ansonsten erstmal den Orginialheader der Emails checken (wie bereits mehrfach geschrieben) und kontrollieren, ob die Emails wirklich über euren Server versendet werden, oder ob es schlichtweg gefälschte Absenderadressen sind.
Sollte der Absender wirklich "echt" sein, hängt die weitere Vorgehensweise davon ab, wo euer Server steht (siehe oben).
Ciao
yaDur
vielleicht habe ich es ja überlesen, aber ich finde keine Info, ob ihr einen eigenen EmailServer betreibt (z. B. einen Exchange Server von MS) oder ob ihr die MailServer eures Providers (z. B. Telekom) bzw. eines anderen Anbieters (z. B. DomoinFactory) nutzt.
Mach einfach mal ein Outlook auf (oder welches Email Programm ihr auch nutzt) und schau unter den Kontoeinstellungen nach, wohin verbunden wird.
Ist der Server extern (und damit liegen dort höchstwahrscheinlich auch die Kontakte), dann kannst dir den ganzen Aufwand intern erstmal sparen (was nicht bedeuten soll, dass die interne Sicherheit unwichtig wäre..).
Ansonsten erstmal den Orginialheader der Emails checken (wie bereits mehrfach geschrieben) und kontrollieren, ob die Emails wirklich über euren Server versendet werden, oder ob es schlichtweg gefälschte Absenderadressen sind.
Sollte der Absender wirklich "echt" sein, hängt die weitere Vorgehensweise davon ab, wo euer Server steht (siehe oben).
Ciao
yaDur
Hey,
nach den weiteren Erkenntnissen. Hier die absolute Empfhelung - Sucht euch unbedingt jemand der sich mit der Materie auskennt!!! Scheinbar scheint es jemand zu geben der sich um eure IT kümmert, nutzt diese Situation mal um euer derzeitiges gebilde zu überdenken, kleiner Tipp am Rande.
Erst mal ein Antiviren Programm anschaffen, ist wie mal schön Breitbandantibiotika rein ballern weil man sich beim Trinken verschluckt hat. Bringt dir null und schadet eher als es hilft. Soll heisen, läuft dein Virenscanner bei sensiblen Dateien amok und du hast keine Backups bist du danach schlechter dran als vorher.
Erst zusammenhänge verstehen, dann handeln!
gruß
PJM
nach den weiteren Erkenntnissen. Hier die absolute Empfhelung - Sucht euch unbedingt jemand der sich mit der Materie auskennt!!! Scheinbar scheint es jemand zu geben der sich um eure IT kümmert, nutzt diese Situation mal um euer derzeitiges gebilde zu überdenken, kleiner Tipp am Rande.
Erst mal ein Antiviren Programm anschaffen, ist wie mal schön Breitbandantibiotika rein ballern weil man sich beim Trinken verschluckt hat. Bringt dir null und schadet eher als es hilft. Soll heisen, läuft dein Virenscanner bei sensiblen Dateien amok und du hast keine Backups bist du danach schlechter dran als vorher.
Erst zusammenhänge verstehen, dann handeln!
gruß
PJM
naja...so schlimm ist ein (Marken-) AV auf nem 0815 Office Client nun auch wieder nicht. Aber stimmt schon, Backups muss man haben.
Hallo,
Hast Du 'ne Ahnung.
Es soll sogar schon vorgekommen sein, dass die mit eigenen Stammzertifikaten SSL-Verbindungen analysieren.
Gruß,
Jörg
Zitat von @Ex0r2k16:
naja...so schlimm ist ein (Marken-) AV auf nem 0815 Office Client nun auch wieder nicht
naja...so schlimm ist ein (Marken-) AV auf nem 0815 Office Client nun auch wieder nicht
Hast Du 'ne Ahnung.
Es soll sogar schon vorgekommen sein, dass die mit eigenen Stammzertifikaten SSL-Verbindungen analysieren.
Gruß,
Jörg
Bei uns hat er jetzt beim Abspeichern unserer CNC Programme, eben diese geschreddert.
Wenigsten's ist's am selben Tag aufgefallen. Da bei einer neuen Datei ja noch kein Backup da sein kann.
Wenigsten's ist's am selben Tag aufgefallen. Da bei einer neuen Datei ja noch kein Backup da sein kann.
deswegen schrieb ich ja auch von 0815 Office Clients =)
