rickstinson
Goto Top

Versendete Spams an Outlook Kontakte - Ursachenforschung

Hallo,

wir haben nun bei zwei Kunden das Problem dass Spam Mails an Firmenkontakte versandt wurden (die sich im Outlook Adressbuch befanden).
Einmal wurde wohl da ganze Adressbuch missbraucht, einmal nur Mails die mit "R" begannen (zumindest haben sich nur Empfänger mit R Rückmeldung beim KUnden gegeben).
Die Spams wurden *nicht* über den eigenen Server versandt.

Die Spams waren recht rafiniert,
Absender: "email@kunde.com" <irgendwas@freemailer.xx>
Betreff: Rechnungs-Info, etc
Im Body war ein typischer Link zur irgendeiner Mailware, gezeichnet von einer im unternehmen ansässigen Person, meist sogar mit richtigen Firmenname.
Die Mails sind wie hier beschrieben: https://vorsicht-email.de/beitrag/2017/06/26/rechnungs-details-fnpe-110- ...

Die Frage ist jetzt nur: Wie kamen die an die Adressen ran?

Die entsprechenden Windows Clients mit Outlook schauen nach einem ersten Check (manueller Virenscan, Hijackthis, manuelle Kontrolle des System) eigentlich sauber aus.

Beide Kunden verwenden aber veraltete Linux Server (Ubuntu 10.04 LTS!!) und veraltete Zarafa Versionen (7.1!!) und aufgrund des alten PHP veraltete Z-Push Pakete.
Upgrades wurden aus Kostengründen (...) immer ausgeschlagen - und jetzt haben wir den Salat.

- Security Issue mit 7.1 und für z-push habe allerdings keine gefunden.
- Logs sind recht sauber, fail2ban läuft auch drauf.
- Ich sehe auch keine Zugriffe via z-push oder apache von IPs außerhalb der üblichen Mobilfunknetze
- Passwörter sind recht stark gesetzt, usernamen sind auch eher untypisch (keine maier, test, oder heinz).

Abgesehen von der Tatsache das die Server eher löchrigen Emmenthaler ähneln, war jetzt mein Vorschlag mal alles Dienste die nach außen offen sind sofort zu schließen und sämtliche Logins zu ändern.

Hat wer schon einen ähnlichen Fall gehabt, und konnte herausfinden wie die Spamer an das Adressbuch kamen(active sync, webmail, oder doch über den windows client)?

LG Patrick

Content-Key: 347077

Url: https://administrator.de/contentid/347077

Printed on: April 13, 2024 at 14:04 o'clock

Member: beidermachtvongreyscull
beidermachtvongreyscull Aug 23, 2017 at 08:12:35 (UTC)
Goto Top
Zitat von @rickstinson:
Abgesehen von der Tatsache das die Server eher löchrigen Emmenthaler ähneln, war jetzt mein Vorschlag mal alles Dienste die nach außen offen sind sofort zu schließen und sämtliche Logins zu ändern.

Hier würde ich zuerst ansetzen.
Den Rest später.
Member: keine-ahnung
keine-ahnung Aug 23, 2017 at 08:18:30 (UTC)
Goto Top
Moin,
Im Body war ein typischer Link zur irgendeiner Mailware
ich dachte immer, Outlook ist die Mailware face-smile?

LG, Thomas
Member: ashnod
ashnod Aug 23, 2017 at 08:40:24 (UTC)
Goto Top
Ahoi
Zitat von @keine-ahnung:
Im Body war ein typischer Link zur irgendeiner Mailware
ich dachte immer, Outlook ist die Mailware face-smile?
aber Malle ist nur einmal im Jahr!! *gröhl*

Sanfte Grüße
Member: freeker
freeker Aug 23, 2017 at 09:49:06 (UTC)
Goto Top
Hallo,

Hast du dir von den Kunden mal die orginalen Spams zuschicken lassen, also als Anhang und nicht eingebunden.
Aus den Headerdaten kannst du dann eventuell Rückschlüsse ziehen ob die Mails von deinem Server kommen oder von Extern verschickt wurden.

MFG
Member: rickstinson
rickstinson Aug 23, 2017 at 10:15:55 (UTC)
Goto Top
ja natürlich face-smile
Ging definitiv extern raus, eben auch mit irgendwelchen freemailer adressen als absender (nur als anzeigename wurde die kundenmailadresse verwendet)
Member: Lochkartenstanzer
Lochkartenstanzer Aug 23, 2017 at 10:32:36 (UTC)
Goto Top
Zitat von @rickstinson:

ja natürlich face-smile
Ging definitiv extern raus, eben auch mit irgendwelchen freemailer adressen als absender (nur als anzeigename wurde die kundenmailadresse verwendet)

Dann habe die Spammer irgendwann die Daten abgegriffen. Passiert meist bei den Freemailern, bei yahoo besonders oft, aber auch web.de, gmx u.v.a. waren schon dabei.

lks