Angeblich tonnenweise unzustellbare Mails! Wo steckt der Bot?

    Vielleicht kann man 1&1 fragen, ob deren smtp-Server da was hilfreiches mitbekommen und eventuell auch geloggt hat.
    Warst du in letzter Zeit fremden WLANs unterwegs und hast du schon so gut es geht überprüft, ob die von dir genutzten Rechner/Tablets/Smartphones alle sauber sind?

    yaVDR-Dokumentation (Ceterum censeo enchiridia esse lectitanda.)

    Hi,


    hab harr genau das gleiche Problem.100% Identisch seit gestern 18.19Uhr ca. 400 Mail von meinen Adressen (Firma und Privat 2 verschiedenen Accounts beide 1und1 und 1 web.de account)aus Versand worden.


    2 mal bei 1und1 angerufen haben keine Logs oder ähnliches. Da defi mein Comp aus war zu der Zeit ging es net von meinen Rechner aus. Hab Firewall durch Fritz box und commodo Firewall auf dem Rechner incl Antivir.


    Mailwarebits rootkitfinder,superantispy ,hijackthis komplett durchlaufen lassen nix gefunden.


    Momentan sniff ich meinen Datenverkehr mit Wireshark und auch keine Auffälligkeiten(bin jz aber auch net sooo der Pro darin).


    Meine frage ist wo ist das Loch auf meinen Rechner(Outlook?) oder wurde per bruteforce die Accounts online geknackt?


    Nach Password Umstellung keine Mail delivery mehr. Also defi die Passwörter geknackt und nicht einfach nur nen Illegalen Mailserver aufgesetzt mit iwelchen Mail Adressen.


    Bin dan jz auf der suche nach Lösung bei euch gelandet ^^



    gruß

    Zitat von halbfertiger

    Was ist das für ein Hosting-Paket? Reine Webseite, virtueller Server oder echter Server?


    Womit wird die Domain verwaltet? ...


    Das war einfach bei meinem 1&1-Paket dabei. Eine frei wählbare Domain, 10GB Mailspeicher bei beliebig vielen Adressen...Ich verwalte da gar nix. Ging alles über die 1&1-Seiten einzurichten. Webspace etc. nutze ich gar nicht. Nur den Mailserver.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    Zitat von seahawk1986

    Vielleicht kann man 1&1 fragen, ob deren smtp-Server da was hilfreiches mitbekommen und eventuell auch geloggt hat.
    Warst du in letzter Zeit fremden WLANs unterwegs und hast du schon so gut es geht überprüft, ob die von dir genutzten Rechner/Tablets/Smartphones alle sauber sind?


    1&1 kannst du supportmässig vergessen. Tel. ging da heute wie üblich gar nichts. Per Mail, mal sehen. Rechnerprüfen fang ich grade erst an...

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    Zitat von peter5566

    Nach Password Umstellung keine Mail delivery mehr. Also defi die Passwörter geknackt und nicht einfach nur nen Illegalen Mailserver aufgesetzt mit iwelchen Mail Adressen.


    Bei mir hat 1&1 etwa zur gleichen Zeit den Mailversand blockiert. Daher weiss ich nicht, was das nun tatsächlich beendet hat. Entsperrt ist noch nix (trotz Mail an 1&1; tel. war nicht durchzukommen).
    Meine Passworte können die m.E. nicht geknackt haben (für zwei accounts mit je 20ig crytischen Stellen?). Entweder stammen die aus der Vista-Registry (Kennwort speichern), oder wurden bei Anmelden gefischt. Habe grade mal geschaut: 'Mit Klartextauthentifizierung anmelden' ist bei mir eingestellt. 'Anmeldung durch gesicherte Klartextauthentifizierung (SPA)' funzt bei mir nicht, das weist 1&1 zurück (Windows Live Mail 2011)...

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    hi,
    die passwörter lassen sich im klartext sniffen test mal wireshark egal wie cryptisch.
    da du auch ein email client benutz (ex outloock express) werden die kontodaten und passwörter in der .pst datei gespeichert.
    fals trojaner an board sind o.ä die darauf spezi sind brauchen sie nur die datei.(geht aber auch noch einfacher)
    hab gerad noch einige cleaner,scanner,rescue cd´s mit linux meine platte gescannt kann aber aber
    auch rein gar nix finden.
    ich könnt damit leben das irgendein illegaler mailserver meine adresse kurtze zeit als spammer benutz(kann man sich eh nicht gegen schützen)
    aber pass verlust ist indiskutabel.
    und da geh ich bei mir von aus, den seit pass wechsel keine mail delivery.
    werd mich bei weiteren infos melden


    viel glück mit deinen prob hoffe wir könn uns helfen


    gruß

    hi,


    also "tonneweisse" unzustellbare mails sieht anders aus
    vor ca. 3 jahren hatten wir in der firma einen fall das die adresse eines anwenders als absenderadresse für spam benutzt wurde. da kamen über das wochenende so 200.000-300.000 mails auf uns zu - DAS ist tonneweise (und geht noch schlimmer), nach dem wochenende wurde die adresse rausgenommen bzw. alles an die adresse nach /dev/null verfrachtet aber da kam die folgenden tage sicher noch mehr
    vermutlich wird das heute auf deutlich mehr absender verteilt so das dann am ende nur ein paar hundert je absender überig bleiben
    lustig wird es dann wenn der diestleister anfängt dafür rechnungen zu stellen (datenvolumen, sondermaßnahmen), anzeige gegen unbekannt bringt da nicht viel

    Zitat von peter5566

    hi,
    die passwörter lassen sich im klartext sniffen test mal wireshark egal wie cryptisch...


    Falls diese Mails tatsächlich über meine beiden Zugänge versand wurden (Reaktion von 1&1 steht noch aus), dann kommt als Quelle für die Passwörter nur ein Rechner in Frage, mit Windows Vista und Windows Live Mail 2011. Als Scanner habe ich nur noch die Security Essentials drauf (vorher TrendMicro OfficeScan), vielleicht ein Fehler:


    Ich kann mich erst wieder heute Abend darum kümmern...

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    Ich hoffe du machst keine Rettungs- oder Säuberungsversuche, sondern setzt das System und die Software von Original-Datenträgern und Downloads ausschließlich von Original-Seiten wieder auf.


    Die Microsoft Security Essentials haben die letzten Monate bei Tests herstellerunabhängiger Sicherheitslabors immer versagt, die braucht man also nicht installieren (dann verlässt man sich auch nicht darauf).

    Am besten auf Windows verzichten. Ich kann dir Arch Linux empfehlen.
    Und wenn du schon dabei bist sollte man auch auf United Internet verzichten.


    Nur als Beispiel die Telekom: Bei der Hotline erreicht man immer jemanden. Wenn man jemanden mit Ahnung will, muss man beim Automaten nur irgendwas mit "technischer Support" sagen.


    Gesendet von meinem Galaxy Nexus mit Tapatalk 2

    Wenn du Java nicht brauchst, solltest du es gar nicht erst wieder installieren.
    Und wenn doch, dann zumindest auf die Browser-Plugins verzichten.


    100% Sicherheit wird dir aber kein System bieten.


    Lars

    Zitat von peter5566

    viel glück mit deinen prob hoffe wir könn uns helfen


    Hast du irgend welche näheren Infos dazu, was da konkret über unsere Postfächer versendet wurde? Ich habe nur die Header der Rückweisungen. Und wie viel mehr wurde an existierende Adressen versandt? 1&1 gibt mir keine Infos dazu.
    Und hast du noch was gefunden, wie die Passworte gefischt wurden?

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    Zitat von halbfertiger

    Ich hoffe du machst keine Rettungs- oder Säuberungsversuche, sondern setzt das System und die Software von Original-Datenträgern und Downloads ausschließlich von Original-Seiten wieder auf.


    Naja, wenn ich bei jeder 'kleinen' Attacke (die der Scanner erst verzögert einfängt) mein Win-System komplett neu installieren wolle wäre ich nur noch damit beschäftigt. Vergeht doch fast kein Tag ohne. Ok, in diesem Fall gehe ich auf mein letztes Image (von vor ca. sechs Wochen) zurück.

    Zitat von halbfertiger

    Die Microsoft Security Essentials haben die letzten Monate bei Tests herstellerunabhängiger Sicherheitslabors immer versagt, die braucht man also nicht installieren (dann verlässt man sich auch nicht darauf).


    Als ich vor ca. einem 3/4 Jahr auf Security Essentials gegangen bin habe ich da noch anderes recherchiert, sonst wäre ich bei TrendMicro geblieben. OfficeScan ist halt sehr ressourcenhungrig.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    Zitat von Copperhead

    Am besten auf Windows verzichten. Ich kann dir Arch Linux empfehlen.
    Und wenn du schon dabei bist sollte man auch auf United Internet verzichten.


    Ne, Win ist ein Muss, spätestens bei meiner Angetrauten.

    Zitat von Copperhead

    Gesendet von meinem Galaxy Nexus mit Tapatalk 2


    Aha, und du meinst, so 'ne androide Minitablette ist was sicher?

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    Zitat von habichthugo

    Naja, wenn ich bei jeder 'kleinen' Attacke (die der Scanner erst verzögert einfängt) mein Win-System komplett neu installieren wolle wäre ich nur noch damit beschäftigt. Vergeht doch fast kein Tag ohne.


    Was machst du denn mit deinem System? Das ist ja nicht ein einzelner Schädling, der da durchgerutscht ist, sondern ein kleiner Zoo. Und für einige der gefundenen Trojaner wird eine komplette Neuinstallation empfohlen - zumindest solltest du dein Backup überprüfen lassen, ob das wirklich sauber ist, sonst hast du das gleiche Problem bald wieder...

    yaVDR-Dokumentation (Ceterum censeo enchiridia esse lectitanda.)

    Zitat von mini73

    Wenn du Java nicht brauchst, solltest du es gar nicht erst wieder installieren.
    Und wenn doch, dann zumindest auf die Browser-Plugins verzichten.


    Hm, die Plugs sind/waren deaktiviert? Ja, brauch ich Java? Keine Ahnung...

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    Zitat von seahawk1986

    Zitat von »habichthugo« Naja, wenn ich bei jeder 'kleinen' Attacke (die der Scanner erst verzögert einfängt) mein Win-System komplett neu installieren wolle wäre ich nur noch damit beschäftigt. Vergeht doch fast kein Tag ohne.
    Was machst du denn mit deinem System? Das ist ja nicht ein einzelner Schädling, der da durchgerutscht ist, sondern ein kleiner Zoo. Und für einige der gefundenen Trojaner wird eine komplette Neuinstallation empfohlen - zumindest solltest du dein Backup überprüfen lassen, ob das wirklich sauber ist, sonst hast du das gleiche Problem bald wieder...


    Na surfen, VDR fernbedienen u.ä. Wenn ich geahnt hätte, wie sch... die Security Essentials sind... :§$%
    Ich zieh' mal das Backup auf und dann einen kompletten OfficeScan...
    So'n Mist, dass der Rechner meiner Holden auch grade abgerauchtist.


    Steht einer der gefundenen Trojaner im Zusammenhang mit der Attacke meines Mailaccounts? Soweit ich das jetzt durch habe nicht...

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

    Wenn 1&1 ihm seinen Mailzugang gesperrt hat, dann ganz sicher nicht weil haufenweise Bounces eingegangen sind. Sie prüfen nach Beschwerde durch andere Provider ob tatsächlich unter dem Account über ihre Leitungen ungewöhnlich viel Mails in dem beanstandeten Zeitraum rausgeht, erst dann wird gesperrt. Ganz so dumm und unfähig wie Viele annehmen sind die Leute dort wirklich nicht.


    Man kann davon ausgehen dass die Mails tatsächlich mittels seiner Zugangsdaten über die Systeme von 1&1 verschickt worden sind. Bei dem Zoo der sich auf seinem Rechner angesammelt hatte ist es auch nicht unmöglich dass die Mails von seinem Rechner verschickt wurden.

    Zitat von tomglx

    siehe bitte hier. Zur Erklärung.


    Wäre ja schön, widerspricht aber der Aussage von peter5566 weiter oben, dass das mit der Änderung seines Mail-Zugangspassworts aufhörte.

    yaVDR 0.6.2; H61M/U3S3 / G530 / 4GB / GT 520 (passiv) / Cine S2 (Rev. V5.5) + DuoFlex S2 / 120GB SSD (System; SATA>USB) + 3TB SATA 6Gb/s; LCD-TV Toshiba 42VL863G; AVR Yamaha RX-S600...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden