6
Versendete Spams an Outlook Kontakte - Ursachenforschung
Hallo,
wir haben nun bei zwei Kunden das Problem dass Spam Mails an Firmenkontakte versandt wurden (die sich im Outlook Adressbuch befanden).
Einmal wurde wohl da ganze Adressbuch missbraucht, einmal nur Mails die mit "R" begannen (zumindest haben sich nur Empfänger mit R Rückmeldung beim KUnden gegeben).
Die Spams wurden *nicht* über den eigenen Server versandt.
Die Spams waren recht rafiniert,
Absender: "email@kunde.com" <irgendwas@freemailer.xx>
Betreff: Rechnungs-Info, etc
Im Body war ein typischer Link zur irgendeiner Mailware, gezeichnet von einer im unternehmen ansässigen Person, meist sogar mit richtigen Firmenname.
Die Mails sind wie hier beschrieben: https://vorsicht-email.de/beitrag/2017/06/26/rechnungs-details-fnpe-110- ...
Die Frage ist jetzt nur: Wie kamen die an die Adressen ran?
Die entsprechenden Windows Clients mit Outlook schauen nach einem ersten Check (manueller Virenscan, Hijackthis, manuelle Kontrolle des System) eigentlich sauber aus.
Beide Kunden verwenden aber veraltete Linux Server (Ubuntu 10.04 LTS!!) und veraltete Zarafa Versionen (7.1!!) und aufgrund des alten PHP veraltete Z-Push Pakete.
Upgrades wurden aus Kostengründen (...) immer ausgeschlagen - und jetzt haben wir den Salat.
- Security Issue mit 7.1 und für z-push habe allerdings keine gefunden.
- Logs sind recht sauber, fail2ban läuft auch drauf.
- Ich sehe auch keine Zugriffe via z-push oder apache von IPs außerhalb der üblichen Mobilfunknetze
- Passwörter sind recht stark gesetzt, usernamen sind auch eher untypisch (keine maier, test, oder heinz).
Abgesehen von der Tatsache das die Server eher löchrigen Emmenthaler ähneln, war jetzt mein Vorschlag mal alles Dienste die nach außen offen sind sofort zu schließen und sämtliche Logins zu ändern.
Hat wer schon einen ähnlichen Fall gehabt, und konnte herausfinden wie die Spamer an das Adressbuch kamen(active sync, webmail, oder doch über den windows client)?
LG Patrick
wir haben nun bei zwei Kunden das Problem dass Spam Mails an Firmenkontakte versandt wurden (die sich im Outlook Adressbuch befanden).
Einmal wurde wohl da ganze Adressbuch missbraucht, einmal nur Mails die mit "R" begannen (zumindest haben sich nur Empfänger mit R Rückmeldung beim KUnden gegeben).
Die Spams wurden *nicht* über den eigenen Server versandt.
Die Spams waren recht rafiniert,
Absender: "email@kunde.com" <irgendwas@freemailer.xx>
Betreff: Rechnungs-Info, etc
Im Body war ein typischer Link zur irgendeiner Mailware, gezeichnet von einer im unternehmen ansässigen Person, meist sogar mit richtigen Firmenname.
Die Mails sind wie hier beschrieben: https://vorsicht-email.de/beitrag/2017/06/26/rechnungs-details-fnpe-110- ...
Die Frage ist jetzt nur: Wie kamen die an die Adressen ran?
Die entsprechenden Windows Clients mit Outlook schauen nach einem ersten Check (manueller Virenscan, Hijackthis, manuelle Kontrolle des System) eigentlich sauber aus.
Beide Kunden verwenden aber veraltete Linux Server (Ubuntu 10.04 LTS!!) und veraltete Zarafa Versionen (7.1!!) und aufgrund des alten PHP veraltete Z-Push Pakete.
Upgrades wurden aus Kostengründen (...) immer ausgeschlagen - und jetzt haben wir den Salat.
- Security Issue mit 7.1 und für z-push habe allerdings keine gefunden.
- Logs sind recht sauber, fail2ban läuft auch drauf.
- Ich sehe auch keine Zugriffe via z-push oder apache von IPs außerhalb der üblichen Mobilfunknetze
- Passwörter sind recht stark gesetzt, usernamen sind auch eher untypisch (keine maier, test, oder heinz).
Abgesehen von der Tatsache das die Server eher löchrigen Emmenthaler ähneln, war jetzt mein Vorschlag mal alles Dienste die nach außen offen sind sofort zu schließen und sämtliche Logins zu ändern.
Hat wer schon einen ähnlichen Fall gehabt, und konnte herausfinden wie die Spamer an das Adressbuch kamen(active sync, webmail, oder doch über den windows client)?
LG Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 347077
Url: https://administrator.de/contentid/347077
Printed on: April 18, 2024 at 11:04 o'clock
6 Comments
Latest comment
Zitat von @rickstinson:
Abgesehen von der Tatsache das die Server eher löchrigen Emmenthaler ähneln, war jetzt mein Vorschlag mal alles Dienste die nach außen offen sind sofort zu schließen und sämtliche Logins zu ändern.
Abgesehen von der Tatsache das die Server eher löchrigen Emmenthaler ähneln, war jetzt mein Vorschlag mal alles Dienste die nach außen offen sind sofort zu schließen und sämtliche Logins zu ändern.
Hier würde ich zuerst ansetzen.
Den Rest später.
Moin,
?
LG, Thomas
Im Body war ein typischer Link zur irgendeiner Mailware
ich dachte immer, Outlook ist die Mailware ?LG, Thomas
1
Ahoi
Sanfte Grüße
Zitat von @keine-ahnung:
?
aber Malle ist nur einmal im Jahr!! *gröhl*Im Body war ein typischer Link zur irgendeiner Mailware
ich dachte immer, Outlook ist die Mailware ?Sanfte Grüße
Hallo,
Hast du dir von den Kunden mal die orginalen Spams zuschicken lassen, also als Anhang und nicht eingebunden.
Aus den Headerdaten kannst du dann eventuell Rückschlüsse ziehen ob die Mails von deinem Server kommen oder von Extern verschickt wurden.
MFG
Hast du dir von den Kunden mal die orginalen Spams zuschicken lassen, also als Anhang und nicht eingebunden.
Aus den Headerdaten kannst du dann eventuell Rückschlüsse ziehen ob die Mails von deinem Server kommen oder von Extern verschickt wurden.
MFG
ja natürlich
Ging definitiv extern raus, eben auch mit irgendwelchen freemailer adressen als absender (nur als anzeigename wurde die kundenmailadresse verwendet)
Ging definitiv extern raus, eben auch mit irgendwelchen freemailer adressen als absender (nur als anzeigename wurde die kundenmailadresse verwendet)
Zitat von @rickstinson:
ja natürlich
Ging definitiv extern raus, eben auch mit irgendwelchen freemailer adressen als absender (nur als anzeigename wurde die kundenmailadresse verwendet)
ja natürlich
Ging definitiv extern raus, eben auch mit irgendwelchen freemailer adressen als absender (nur als anzeigename wurde die kundenmailadresse verwendet)
Dann habe die Spammer irgendwann die Daten abgegriffen. Passiert meist bei den Freemailern, bei yahoo besonders oft, aber auch web.de, gmx u.v.a. waren schon dabei.
lks
