Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ungebetener Gast im System schickt "Word-Dokument" raus

Mitglied: Nightmum83

Nightmum83 (Level 1) - Jetzt verbinden

29.11.2018 um 06:58 Uhr, 1440 Aufrufe, 44 Kommentare, 5 Danke

Guten Morgen,

Bei mir auf der Arbeit werden hin und wieder wohl vereinzelt E-Mails an Kunden und Lieferanten geschickt die ein Word-Dokumente als angebliche Rechnungen erhalten.
Ich kam noch nicht dazu alle Rechnern zu scannen (bin mir aber auch nicht sicher ob McAfee und Avira hier ausreichen) und habe auf den gescannten nur genau 2 Maleware Probleme gehabt.
Wie finde und vorallem löse ich die Angelegenheit?
Zum Untersuchen des Elements selbst bin ich bisher nicht gekommen.
Allerdings weiß ich, dass versucht wurde das Dokument zu öffnen, was "offensichtlich nicht geht".
Da ich es noch nicht untersucht habe kann ich noch keinen Aufschluss über die Natur des "Besuchers" geben.

Hoffe ihr könnt mir helfen und ein besseres Antivirus Programm empfehlen

Lg
44 Antworten
Mitglied: Archeon
29.11.2018 um 07:01 Uhr
Guten morgen,

ein paar mehr Infos zu deiner Infrastruktur wären hilfreich.
Prinzipiell solltest du alle Rechner vom Netz nehmen, offline scannen und erst wieder ans Netz lassen, wenn die wirklich sauber sind.
Im Optimalfall installierst du die Systeme sauber neu, dann kannst du wenigstens auf Nummer sicher gehen, alles erwischt zu haben.
Wie werden denn bei euch Mails verschickt und kommen die auch sicher aus eurem Netz oder nutzt ggf. nur jemand euren Alias?

Gruß
Bitte warten ..
Mitglied: maretz
29.11.2018 um 07:09 Uhr
Moin,

also du hast eigentlich noch nix getan um es selbst zu lösen.. hast auch keine Infos - aber möchtest hier wissen was du tun sollst?
Mit den wenigen Infos kann man nur sagen: Alle rechner neu aufsetzen - und ggf. am Ende feststellen das nur jemand eure Mail-Adresse missbraucht... Aber ich gehe mal davon aus das du erst mal etwas eigeninitative ergreifen möchtest bevor du hier genauere Tips erwartest...
Bitte warten ..
Mitglied: wiesi200
29.11.2018 um 07:10 Uhr
Hallo,

die erste Frage, die sich mir stellen würde. Sind die wirklich aus meinem Haus, oder ist nur der Absender "gefälscht".
Bitte warten ..
Mitglied: Ex0r2k16
29.11.2018 um 07:17 Uhr
das isses. Ich hatte jetzt auch schon diverse .doc Mails mit gefälschtem Absender (also "quasie" firmenintern) und schlechtem deutsch sowie einer falschen Signatur im Umlauf.
Bitte warten ..
Mitglied: maretz
29.11.2018 um 07:21 Uhr
und woher weisst du das es das hier auch ist? Und nicht irgendein Virus, Trojaner oder böser Mitarbeiter? Ich hatte es auch schon mal das mein Auto stehen geblieben ist weil sich die Steuerkette zerlegt hat (...BMW 1er...). Ist jetzt also jedes Auto was am Rand steht automatisch auch nen Fehler mit der Steuerkette?!?
Bitte warten ..
Mitglied: timene0
29.11.2018 um 07:22 Uhr
Guten Morgen....

Wie geschrieben, erstmal den Empfänger bitten dir die Mail oder gleich den Header zu schicken.
Du musst halt wissen, ob die Mail wirklich aus euren Haus stammt, oder ob einfach der Absender gefälscht wurde.

Falls Absender gefälscht, würde ich zu einem SPF Eintrag raten, das verhindert einiges.


2 Malware Probleme sind 2 zu Viel, aber wir kennen deine Umgebung ja nicht.


Grüße
Bitte warten ..
Mitglied: wiesi200
29.11.2018 um 07:36 Uhr
Genau,

erst mal Untersuchen, dann handeln.
Alles andere ist Sinnlos und Zeitverschwendung.
Bitte warten ..
Mitglied: Nightmum83
29.11.2018 um 07:57 Uhr
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Bitte warten ..
Mitglied: Archeon
29.11.2018 um 07:59 Uhr
Das solltest du aber definitiv prüfen und nicht einfach nur davon ausgehen.
Die anderen an dich gestellten Fragen darfst du übrigens auch gern beantworten
Bitte warten ..
Mitglied: wiesi200
29.11.2018 um 08:03 Uhr
Zitat von Nightmum83:

Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.

Du kannst dir nicht sicher sein. Du z.b. bekommst nur von denen Rückmeldung.
Keine Vermutungen wenn man das absichern kann. Dauert nur ein paar Minuten und bist die 100% sicher.
Bitte warten ..
Mitglied: manuel-r
29.11.2018, aktualisiert um 08:12 Uhr
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.

Lass dir von den betroffenen Kontakten die Mailheader schicken und schau da rein. Alles andere ist "im Trüben fischen".
Während du auf die Infos wartest kannst du schon mal ins Logs deines Mailserver schauen, ob es da Auffälligkeiten im Zusammenhang mit den fraglichen Empfängern gibt.

Manuel
Bitte warten ..
Mitglied: maretz
29.11.2018 um 08:12 Uhr
Das ist schön das du davon ausgehst... und woher WEISST du das? Euer Kunde/Lieferant wird vermutlich bei sowas anrufen weil der ja Kontakt zu euch hat. Meinst du ernsthaft das ich auch nur ne Sekunde hier damit verschwenden würde Firmen von denen ich den Müll erhalte zu informieren? Die Mail geht in die Tonne zu den 50 anderen in der Woche und gut... Mir würde sowohl die Zeit als auch die Lust fehlen mich mit den Firmen in Kontakt zu setzen - ich müsste ja:
- Die Mail dafür erst mal öffnen
- Ggf. das Attachment öffnen um zu gucken ob es überhaupt ne valide Formatierung (z.B. Briefkopf,...) enthält
- Bei Google nach der Firma suchen
- Dort den korrekten Ansprechpartner ermitteln
- Dem das ganze Weiterleiten und ggf. sogar noch Rückfragen beantworten
--> oder ich lösch die Mail einfach und es geht mir gepflegt am Ar... vorbei (wie die anderen 1000 Spammails auch).

Woher weisst du also wer jetzt wirklich solche Mails bekommen?
Bitte warten ..
Mitglied: St-Andreas
29.11.2018 um 08:17 Uhr
Moin, hier ein ganz klarer und ernstgemeinter Rat: Such Dir ein Systemhaus das Dich hier unterstützt.
Dir fehlt offensichtlich das notwendige Wissen.
Bitte warten ..
Mitglied: maretz
29.11.2018 um 08:19 Uhr
Naja - zumindest die ersten Sachen kann man idR. auch selbst schon prüfen - z.B. ob der Mailserver überhaupt zu den fraglichen Zeiten was an den Empfänger gegeben hat... Dafür brauchts noch kein Systemhaus. Wenns aber schon anfängt mit "ich hab eigentlich noch nix getan" dann dürfte es schwer werden...
Bitte warten ..
Mitglied: St-Andreas
29.11.2018 um 08:21 Uhr
Eben. Und ich wette ne Kiste Bier, da liegt mehr im Argen als nur 2 Malwarefunde.
Bitte warten ..
Mitglied: Archeon
29.11.2018 um 08:27 Uhr
Da würde ich mit einsteigen

Sollte sich raus stellen, dass die Mails wirklich von euch kommen, solltest du den Rat mit dem Systemhaus annehmen, ich denke du selbst wirst sonst nicht Herr (Frau) der Lage.
Bitte warten ..
Mitglied: Penny.Cilin
29.11.2018 um 08:40 Uhr
Zitat von Nightmum83:

Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Mutmaßungen helfen hier NICHT weiter.
Wie schon mehrfach geschrieben, lasse Dir die E-Mails mit den vollständigen Header-Informationen zukommen.
Dann besorge Dir beispielsweise c't Desinfec't und scanne Deine Rechner offline.
Ich empfehle Dir auch das dazugehörige Sonderheft.

Wenn Dur weitere Informationen hast, kannst Du diese hier posten, damit wir Dir weiter helfen können.

Gruss Penny.
Bitte warten ..
Mitglied: FA-jka
29.11.2018 um 09:10 Uhr
Hallo,

sicher, dass die E-Mails überhaupt von euch sind?

Ich kann jede Adresse als Absender auf die Rückseite eines Briefumschlages schreiben, bevor ich ihn in den Briefkasten werfe.

Gruß,
Jörg
Bitte warten ..
Mitglied: Nightmum83
29.11.2018 um 09:26 Uhr
Eigene Initiative als Laie ist nicht unbedingt so einfach.
Evtl möchten Sie auch einfach noch mal mit dem richtigen Fuß aufstehen bevor Sie mich "anfahren"
Oder mir mitteilen, welche Initiativen ich ausser neu aufsetzen ergreifen soll.
Die Rechner alle platt machen und neu aufsetzen darf ich nicht so einfach, sonst hätte ich das getan zumindest so gebildet bin ich in der Materie...
Bitte warten ..
Mitglied: Archeon
29.11.2018 um 09:30 Uhr
Ohne das passende Wissen wird das aber sehr schwer hier was zu erreichen, du solltest ein Systemhaus dazu ziehen.
Welche Punkte geprüfte werden können bzw. müssen wurde ja bereits mehrfach erwähnt, prüfen ob die Mails wirklich von euch sind und wenn ja, definitiv Hilfe dazu holen.
Bitte warten ..
Mitglied: Nightmum83
29.11.2018 um 09:35 Uhr
Automatisch Abwesenheit antworten, antworten von Empfängern ob die Mails für sie sind und weil ich auf meine private E-Mail jene Mails bekommen habe.

Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.

Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Bitte warten ..
Mitglied: Penny.Cilin
29.11.2018 um 09:39 Uhr
Zitat von Nightmum83:

Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Das sind Mutmaßungen. Hast Du die Header-Informationen der E-Mails? Denn nur so erhält Du die Informationen.

Alles andere ist Göaskugelraten.

Gruss Penny.
Bitte warten ..
Mitglied: Archeon
29.11.2018 um 09:43 Uhr
Es geht in der IT aber leider nicht immer nach Logik, sondern es müssen die Dinge geprüft und verifiziert werden.
Bitte warten ..
Mitglied: tikayevent
29.11.2018 um 09:45 Uhr
Deine Mutmaßungen sind falsch. Wir haben das gleiche und wenn man sich die Header-Infos anschaut, sieht man, dass es einfach Fälschungen sind.

Bei uns wurde bei Geschäftspartnern auf Computer bzw. Postfächer zugegriffen und damit sind eben Kommunikationsbeziehnungen bekannt. Teilweise schicken sich unsere Mitarbeiter gegenseitig diese gefälschten Rechnungen zu.
Bitte warten ..
Mitglied: Kraemer
29.11.2018 um 09:47 Uhr
Zitat von Nightmum83:

Automatisch Abwesenheit antworten, antworten von Empfängern ob die Mails für sie sind und weil ich auf meine private E-Mail jene Mails bekommen habe.

Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.

Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Nur mal so als Hinweis, wie falsch du liegen kannst:
Den letzen Fall dieser Art, bei dem ich unterstützend tätig war, war nämlich ganz anders: Von einem Android-Gerät wurden Mailadressen, Signaturen und wer weiß noch was alles gestohlen. Mit diesen Informationen wurden dann über einen offenen SMTP-Server genau solche Mails verschickt.
Also besorg dir die verdammten Header! Ohne wirst du nicht wirklich weiter kommen.
Bitte warten ..
Mitglied: Lochkartenstanzer
29.11.2018 um 10:31 Uhr
Moin,

Als allererstes läßt Du Dir die Header der mails aushändigen, die angeblich von euch kommen. Dann kann man feststellen, ob die wirklich von euch sind, oder ob jemand einfach nur den falschen Absender draufgeschrieben hat.

Wenn diese Mails sich auf euch zurückführen lassen, sollte im Header stehen, welche Kiste diese Mails bei eurem Mailserver eingekippt hat, Notfalls schaut man un den Logs eures Mailservers nach der passenden message-ID.

Dann kann man gezielt die Kiste "rausziehen", die Blödsinn macht.

lks

PS: Such Dir einen Dienstleister, der Dich an die Hand nimmt.
Bitte warten ..
Mitglied: fisi-pjm
29.11.2018, aktualisiert um 10:39 Uhr
Zitat von Nightmum83:

Die Rechner alle platt machen und neu aufsetzen darf ich nicht so einfach, sonst hätte ich das getan zumindest so gebildet bin ich in der Materie...

Wäre auch der Overkill

Hi erst mal,

also folgendes Vorgehen nochmal zusammengefasst:

1.) Definitiv erst einemal feststellen ob die E-Mail aus dem eigenen Haus kommen (Mail Header auf eigenen Mailserver untersuchen, zur Not fesstellen wem der Mailserver gehört, wenn möglich, und den melden) --> zu 90 % wahrscheinlich nur eine gefäkschte Absendeadresse.
Der Versand "nur" an Kunden ist kein Indikator das die Mails aus eurem Haus kommen. Siehe Post von Kraemer.

Wenn Punkt 1 Tatsächlich ergibt das es aus dem eigenen Haus kommt --> Herausfinden welcher Benutzer bzw. welcher PC die schleuder ist. PC aus einem sauberen Backup wiederherstellen, oder neu aufsetzen.
Danach alle anderen Systeme Scannen, da führt dann kein weg drumherum.

Kleiner Wink am Rande, wenn ihr Tatsächlich die schleudern seid, dann dauert es auch nicht lange bis ihr auf Blacklists landet und euer Mailversand generell gestört ist. Hier gilt je früher desto besser, also lieber aktuell ein bisschen Geld in die Hand nehmen für einen ordentlichen Support, als später wesentlich teureres Lehrgeld zu bezahlen.

Man erwartet nicht das jeder alles kann, aber erwarten dass man komuniziert wenn man einer Aufgabe noch nicht gewachsen ist gehört zu einem Seriösen auftreten dazu.

vG
PJM
Bitte warten ..
Mitglied: Bem0815
29.11.2018 um 15:16 Uhr
Würden alle Unternehmen ordentlich für den Mail Empfang HELO-Filter verwenden (sowie alle Firmen ihren RDNS für MX richtig konfigurieren) könnte man sofort sagen, dass das Problem liegt tatsächlich bei euch auf einem der Rechner.

Dann gäbe es bei euren Geschäftspartnern nämlich gar nicht die Möglichkeit, das jemand fremdes mit gefälschtem Absender in eurem Namen Mails von einem Rechner sendet, der sich außerhalb des Unternehmens befindet. Die würden sofort durch den Filter fallen.

Unter solche Voraussetzungen könnte man auch definitiv sagen, euer System wäre befallen.

Aber da das ja Wunschdenken ist bleibt das ohne den Header, wie auch andere schon gesagt haben, ein Blick in die Glaskugel.
Bitte warten ..
Mitglied: maretz
29.11.2018 um 16:42 Uhr
Sorry, ernsthaft jetzt? Gut, dann können wir auch gleich anfangen: Wenn alle Menschen nett wären bräuchten wir gar keine Filter - weils ja dann keine Spam-/Virenversender gibt... oh, und eigentlich bräuchten wir ja auch keine Mail - weil man das eben am Telefon bespricht und sich einfach jeder an Absprachen hält...

Soll ich weitermachen?
Bitte warten ..
Mitglied: Bem0815
29.11.2018 um 17:21 Uhr
Dein Vergleich hinkt, da du hier Äpfel und Birnen vergleichst.
Beim einen geht es um grobe Fahrlässigkeit bei der Security.
Beim anderen um vorsätzliche Umgehung dieser.

Das wäre wie als würde ich sagen, wenn jeder einen Airbag im Auto hätte, gäbe es weniger Schwer-verletzte bei Unfällen.
Und du würdest sagen wenn es weniger illegale Autorennen geben würde gäbe es weniger Schwer-verletzte.

Beides mag richtig sein, aber ersteres sollte einfach als Standard gelten den man einhalten sollte.
Wer es nicht macht handelt halt fahrlässig.

Zweites ist schlichtweg illegal, es werden aber sowieso irgendwelche Idioten machen und andere damit reinziehen.
Das ist dann auch nicht fahrlässig sondern Vorsatz.
Bitte warten ..
Mitglied: fredmy
30.11.2018 um 09:57 Uhr
Zitat von Nightmum83:

Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist

1. Dann stehen sie auch im Log deines SMTP-Servers, wenn sie von Euch gesendet worden sinf.
2. sehr lustige Annahme, das Adressen NUR bei Euch im Adressbuch stehn
3.: schrieb mir eine PM mit sdeinen Wünschen und ich schicke dir eine Antwort von dem von dir gewünschten Ansenderdaten (zumindest stehts auf dem Umschlag so)

Fred
Bitte warten ..
Mitglied: Nightmum83
01.12.2018 um 11:26 Uhr
Zitat von Penny.Cilin:



Das sind Mutmaßungen. Hast Du die Header-Informationen der E-Mails? Denn nur so erhält Du die Informationen.

Alles andere ist Göaskugelraten.

Gruss Penny.


Guten Morgen,

Ich habe gestern diverse Header untersucht.

Absender und IP's sind alle unterschiedlich.
Ausserdem habe ich den Chef zumindest schon Mal soweit, dass er eine professionelle Security Software besorgt hat. Ich warte derzeit auf die Lizenzen um die Rechner dann damit erneut zu prüfen.


Die Frage die sich mir jetzt im Moment noch stellt, bedeutet unterschiedliche Header auch immer unterschiedliche Sender?

Ausserdem habe ich jetzt beim Check des Spam-Ordners festgestellt, dass einige der Kontakte nun "ebenfalls solche Mails verschicken" ich vermute sie waren so doof und haben versucht das angebliche Word Dokument zu öffnen .... Dieses konnte ich leider noch nicht Untersuchen, da ich das nicht in einem ungesicherten Desktop Bereich machen wollte.

Weiter erscheint es so, dass die bezogenen Infos/Mail Signatur vom Rechner meines Vorgesetzten kommt.

Wenn ich da am Montag endlich mal ran darf, kann ich prüfen ob er aktuell infiziert ist mit etwas oder ob sich nur jemand einmalig Zugriff verschafft hatte.

Zur Struktur.. 6 Rechner im Netzwerk zum Arbeiten mit den "unwichtigen" Programmen darauf (leider NOCH alle mit Admin geführt) und einen weiteren Rechner, der als eine Art Server funktioniert auf dem die wichtigen Programme drauf laufen. Also firmenklient zb den hat damals (gott sei Dank) ein IT Spezialist eingerichtet, der sollte also Recht sicher sein. Bevor jetzt kommt "dann Ruf den an" versuche ich schon seit Tagen, da ich ihn nicht erreiche bin ich hier.
Bitte warten ..
Mitglied: FA-jka
01.12.2018 um 12:33 Uhr
Hallo,

Zitat von Nightmum83:

Ich habe gestern diverse Header untersucht.

Absender und IP's sind alle unterschiedlich.

Natürlich.

Ausserdem habe ich den Chef zumindest schon Mal soweit, dass er eine professionelle Security Software besorgt hat.

Und was soll die bewirken? Die E-Mails stammen nicht von euren Systemen, siehe oben. Genau so gut könntest Du die Blumen auf den Fensterbänken gießen und dann hoffen, dass es aufhört.

Die Frage die sich mir jetzt im Moment noch stellt, bedeutet unterschiedliche Header auch immer unterschiedliche Sender?

Weiter erscheint es so, dass die bezogenen Infos/Mail Signatur vom Rechner meines Vorgesetzten kommt.

Aha - trotz der "unterschiedlichen" IP-Adressen (siehe oben)?

Ernsthaft - Du solltest dich um professionelle Hilfe (Systemhaus o.Ä.) bemühen. Mit deiner Frickelei und Glaskugelraterei vermittelst Du deinen Vorgesetzten gegenüber den Eindruck, als könntest Du konstruktiv zur Lösung der Problematik beitragen.

Dazu fehlt Dir jedoch eindeutig das Grundlagenwissen.

Falls Du dir einmal durchlesen möchtest, was für eine Verantwortung Du blauäugig übernimmst, kannst Du das u.A. hier nachlesen: https://www.kanzlei.de/archiv/virenhaftg-htm

Bist Du dir wirklich sicher, dass Du da eine entsprechende Berufsausbildung und Erfahrung hast?

Gruß,
Jörg
Bitte warten ..
Mitglied: FA-jka
01.12.2018 um 12:35 Uhr
Hallo,

Zitat von Nightmum83:

Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.

Blödsinn. Das war vielleicht mal vor 10 Jahren der Fall. Inzwischen haben diese E-Mails exakt einen Absender und einen dazu passenden(!) Empfänger, so dass Backscatter relativ selten geworden sind.

Gruß,
Jörg
Bitte warten ..
Mitglied: Nightmum83
01.12.2018 um 13:09 Uhr
Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Damit meine ich, dass die Mails die Signatur und Namen von meinem Vorgesetzten verwenden. Und somit auch die Kontaktdaten sich von dort geholt haben könnten.

Was die Software bewirken soll. Ungeachtet des aktuellen Vorfalls sicherstellen, dass das System nicht doch irgendwann mit wer weiß was infiziert ist und die Daten noch besser sichern.

Ich bemühe mich um das Systemhaus, den für uns zuständigen IT erreiche ich nur nicht, also versuche ich durch Kommunikation hier herauszufinden ob ich wenigstens überhaupt etwas tun kann um den Zustand nur auf "ist" zu halten und nicht noch einen worst case herauf zu beschwören.
Mein Chef ist leider noch unerfahrener als ich, was nicht heißen soll, dass ich mich als qualifiziert empfinde. Und bevor mein Chef weiter auf die Idee kommt "die Datei geht nicht zu öffnen guck.... *Klick*", greife ich lieber mit meinem "unwissen" ein und sage ihm, dass er eine Profi Business Security besorgen soll. Denn der Grundsatz "erst denken, dann klicken" scheint an ihm vorbei gegangen zu sein.

Ich habe zumindest irgendwann einmal das berufliche Gymnasium für Datenverarbeitung besucht und einen Clan-Server gehostet... Liegt weit zurück und ist noch immer weit von dem Wissen entfernt, dass ich benötigen würde an der Stelle aber zumindest eine bessere Ausgangssituation um dafür zu sorgen, dass nichts noch schlimmeres passiert.
Bitte warten ..
Mitglied: FA-jka
01.12.2018 um 15:23 Uhr
Hallo,

Zitat von Nightmum83:

Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...

Wie gesagt - letztendlich ist es deine Verantwortung. Dein Vorgesetzter hat die mal „fein weggeschoben“.

Viel Erfolg!

Gruß,
Jörg
Bitte warten ..
Mitglied: maretz
01.12.2018 um 15:29 Uhr
Ich möchte dich nicht enttäuschen aber ob das besser ist steht auf einem anderem Blatt.... Denn leider ist Halbwissen oft sogar gefährlicher als Unwissen weil man GLAUBT etwas zu können und somit denkt das es korrekt ist was man macht.

Allerdings würde ich eben auch sehen das du nen gutes Systemhaus ranbekommst die sich das mal vor Ort angucken... Denn auch dein "profi-tool" ist sinnlos wenn man nicht weiss was man macht. Es dauert genau 0,5 minuten und ich kann dir nen Virus bauen der an deinem Profi-Tool lächelnd vorbeizieht weils eben die Signatur nicht kennt (klar, is ja auch dann nur für dich zusammengezimmert). Was du aber dein Systemhaus fragen kannst - nach einem Mail-Filter der zumindest schon mal die Viren-Mails vom User fernhält. Das löst nicht alles - aber zumindest 95% kommen gar nicht soweit das jemand klicken könnte. Und somit auch nich auf die Idee kommt das man ja auf "mach trotzdem" klicken kann wenn der Virenscanner hochpoppt das es was verdächtiges is und das es äusserst blöd wäre jetzt das doch zu machen.
Bitte warten ..
Mitglied: fredmy
02.12.2018, aktualisiert um 18:13 Uhr
Zitat von Nightmum83:

Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Damit meine ich, dass die Mails die Signatur und Namen von meinem Vorgesetzten verwenden. Und somit auch die Kontaktdaten sich von dort geholt haben könnten.

Eigentlich hilft dir jedes qualifizierte "Systemhaus" oder eben IT-Dienstleister - Problem ist das ..qualifizierte..


Mein Chef ist leider noch unerfahrener als ich, was nicht heißen soll, dass ich mich als qualifiziert empfinde. Und bevor mein Chef weiter auf die Idee kommt "die Datei geht nicht zu öffnen guck.... *Klick*", greife ich lieber mit meinem "unwissen" ein und sage ihm, dass er eine Profi Business Security besorgen soll.

Denn der Grundsatz "erst denken, dann klicken" scheint an ihm vorbei gegangen zu sein.
Dagegen kann eh keiner was tun.. ist ja Sinn der "Angriffe mit social engeneering" Da hilft normalerweise auch kein Virenscanner oder sowas (zumindest in den ersten Tagen..Wochen)

Ist aber ein völlig anderes Thema; wichtiger sind ordentlich eingestellte Mailsysteme (SPF) auch bei Euch ankommend (und abgehend ist nicht schlecht)
Such dir einen Externen der sich bei Mail auskennt (sowohl Win als auch Linux oder BSD) und spar dir die Mühe wenn die Mails (Header hast du ja) nicht von Eurem Mailserver gesendet worden sind.
Dagegen hilft nur SPF ... sprich der empfangende Server prüft ob die Quell-IP identisch ist mit dem MX-Eintrag im DNS..ansonsten 5xx oder mindesten 4xx

Fred
Bitte warten ..
Mitglied: yaDur1
03.12.2018 um 11:42 Uhr
Moin moin,

vielleicht habe ich es ja überlesen, aber ich finde keine Info, ob ihr einen eigenen EmailServer betreibt (z. B. einen Exchange Server von MS) oder ob ihr die MailServer eures Providers (z. B. Telekom) bzw. eines anderen Anbieters (z. B. DomoinFactory) nutzt.
Mach einfach mal ein Outlook auf (oder welches Email Programm ihr auch nutzt) und schau unter den Kontoeinstellungen nach, wohin verbunden wird.

Ist der Server extern (und damit liegen dort höchstwahrscheinlich auch die Kontakte), dann kannst dir den ganzen Aufwand intern erstmal sparen (was nicht bedeuten soll, dass die interne Sicherheit unwichtig wäre..).

Ansonsten erstmal den Orginialheader der Emails checken (wie bereits mehrfach geschrieben) und kontrollieren, ob die Emails wirklich über euren Server versendet werden, oder ob es schlichtweg gefälschte Absenderadressen sind.

Sollte der Absender wirklich "echt" sein, hängt die weitere Vorgehensweise davon ab, wo euer Server steht (siehe oben).

Ciao
yaDur
Bitte warten ..
Mitglied: fisi-pjm
06.12.2018 um 16:08 Uhr
Hey,

nach den weiteren Erkenntnissen. Hier die absolute Empfhelung - Sucht euch unbedingt jemand der sich mit der Materie auskennt!!! Scheinbar scheint es jemand zu geben der sich um eure IT kümmert, nutzt diese Situation mal um euer derzeitiges gebilde zu überdenken, kleiner Tipp am Rande.
Erst mal ein Antiviren Programm anschaffen, ist wie mal schön Breitbandantibiotika rein ballern weil man sich beim Trinken verschluckt hat. Bringt dir null und schadet eher als es hilft. Soll heisen, läuft dein Virenscanner bei sensiblen Dateien amok und du hast keine Backups bist du danach schlechter dran als vorher.

Erst zusammenhänge verstehen, dann handeln!

gruß
PJM
Bitte warten ..
Mitglied: Ex0r2k16
10.12.2018 um 10:04 Uhr
naja...so schlimm ist ein (Marken-) AV auf nem 0815 Office Client nun auch wieder nicht. Aber stimmt schon, Backups muss man haben.
Bitte warten ..
Mitglied: FA-jka
10.12.2018 um 10:58 Uhr
Hallo,

Zitat von Ex0r2k16:

naja...so schlimm ist ein (Marken-) AV auf nem 0815 Office Client nun auch wieder nicht

Hast Du 'ne Ahnung.

Es soll sogar schon vorgekommen sein, dass die mit eigenen Stammzertifikaten SSL-Verbindungen analysieren.

Gruß,
Jörg
Bitte warten ..
Mitglied: wiesi200
10.12.2018 um 12:20 Uhr
Bei uns hat er jetzt beim Abspeichern unserer CNC Programme, eben diese geschreddert.
Wenigsten's ist's am selben Tag aufgefallen. Da bei einer neuen Datei ja noch kein Backup da sein kann.
Bitte warten ..
Mitglied: Ex0r2k16
10.12.2018 um 12:35 Uhr
deswegen schrieb ich ja auch von 0815 Office Clients =)
Bitte warten ..
Ähnliche Inhalte
Backup
Backup von WORD dokument
gelöst Frage von justdanBackup9 Kommentare

Hallo, Ein WORD Dokument wurde überschrieben! Kann ich irgendwie dieses DOC Backupen von gestern oder vorgestern machen? Also Veritas ...

Microsoft Office
Saubere HTML aus Word-Dokument
Frage von peterpaMicrosoft Office19 Kommentare

Hallo, kennt jemand eine Möglichkeit ein Word-Dokument in eine "saubere" HTML-Seite zu wandeln? Ja es gibt die Möglichkeit diese ...

Microsoft Office

Word-Dokument ändert automatisch Formatierung

gelöst Frage von HertieMicrosoft Office3 Kommentare

Guten Morgen Gemeinde, ich stehe gerade vor einem Problem, das ich nicht verstehe und wende mich daher an euch! ...

Windows Server

Word-Dokument mit Powershell bearbeiten

gelöst Frage von Peter0816Windows Server5 Kommentare

Hallo, ich würde gerne ein Worddokument, welches ich mit Variablen versehen habe, durch Werte mit Powershell ersetzten. Hatte mir ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Trend Micro Worry Free Business Security 10.0 - erneutes Patch (1494) erschienen!

Tipp von VGem-e vor 7 StundenErkennung und -Abwehr1 Kommentar

Moin, unter ist ein neuer Patch verfügbar, der offenbar auch Windows 10.1809 unterstützt. Tja, wie letztes Mal auch, erst ...

Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 5 TagenHumor (lol)7 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 6 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 9 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

Heiß diskutierte Inhalte
Samba
Windows 10 Client in Samba-Domäne hinzufügen scheitert
Frage von diwaffmSamba32 Kommentare

Hi Leute, ich habe einen Samba Server in der Version 4.9.3 auf einer OpenSuse Maschine laufen. Damit sind momentan ...

Router & Routing
Verbindung zweier Netze via Lancom VPN-Router . Problem
Frage von ThorstenBrRouter & Routing29 Kommentare

Hallo Leute, mein erster Post hier im Forum ich versuche mich gerade in Lancom Router ein zu arbeiten. Dafür ...

Windows Server
Testweise Installation eines Domänencontrollers
Frage von gerd33Windows Server20 Kommentare

Hallo Zusammen, mein Netzwerk ( 2 Praxen + 1 Wohnhaus) ist per VPN (WAN) verbunden, mit jeweils einem LAN, ...

Windows Systemdateien
Verknüpfungen nach Pfadwechsel
Frage von Hendrik2586Windows Systemdateien17 Kommentare

Guten Morgen meine lieben Kollegen und Kolleginnen, ich hab da mal eine Frage die Ihr sicher schon kennt. Es ...