[O-Saft]

hallo liebe wf community,

gestern ist bzw sind 2 emails in meinem spam ordner gelandet, die über eine fehlgeschlagene E-Mail hinweist. problem der ganzen geschichte ist dass laut der email ich "persönlich" eine email nach japan geschickt habe, mit viagra werbung. diese email kam 2x rein.

Inhalt war dies:

The original message was received at Tue, 9 Jun 2009 14:03:33 +0900 from 20129220224.user.veloxzone.com.br [201.29.220.224] (may be forged) ----- The following addresses had permanent fatal errors ----- <[email protected]> (reason: 554 Denied (Mode: normal)) ----- Transcript of session follows ----- ... while talking to mas-khk.tsb.2iij.net.: >>> DATA <<< 554 Denied (Mode: normal) 554 5.0.0 Service unavailable


-----------------------------------

mir vorerst nichts weiter gedacht, da ich auch evtl verwechselt wurde. schaut man sich die email genau an, so kann man erkennen das die ersten vier buchstaben von "osafumi" in meiner email adresse vorkommen (meine fängt mit osaft2.... an..)

virenscann durchgelaufen (Antivir) nix gefunden, pw geändert. (generell ist mir mit meinem vista rechner nie n virus oder sonst was drauf geflogen, antivir und firewall waren immer auf dem neusten stand sowie die windows updates)

gerade bin ich nach hause gekommen, logge mich erneut bei web.de ein und werde auf nen fehlgeschlagenen login hingewiesen, den ich 100% nicht verursacht habe, da ich von gestern abend um 1 bis jetzt nicht an einem computer saß. 2te verdächtige sache war dass ich eine email von der esl im unbekannt ordner hatte, die wie nach ner "passwort vergessen" email aussah. geöffnet, reingeschaut, bestätigt. Der angebene Link kam 100% von der esl selbst und war somit keine phising(?) email. einzige sache war dass die seite auf glaube rumänisch bzw russisch gestellt war, der request selbst aber in deutsch ist.

desweiteren habe ich via who is mal die angebene ip "gegoogelt". dabei kam irgend ein spanischer hoster bzw spanische webseite raus.

Was mach ich nun, welche eventuelle programme zum scannen würdet ihr mir empfehlen oder bräuchte ich um 100 % auszugehen, dass mein rechner clean ist?

Vorab: Der Rechner ist noh ziemlich frisch formatiert und neu aufgesetzt, irgendwelche dämlichen programme die unsicher oder sonst was sind habe ich nicht drauf, sowie gecrackte spiele, pornos oder weiß was ich nicht


mfg

O-Saft


EDIT: Verdammt, ich war vor gut 1,5 wochen auf ner beschissenen lan, denke das ich mir da irgendwas eingefangen habe, denn n kollege mit seinem rechner auch große probleme hatte!

Dieser Beitrag wurde von O-Saft bearbeitet: 10. Juni 2009 - 13:22

[XiLeeN2004]

Ich würde erstmal den Netzwerk-Verkehr beobachten, da sollte man recht schnell rausfinden, wer oder was da jetzt eMails versendet. Geeignet ist dafür z.B. Process Monitor von Sysinternals. Wenn der Übeltäter bekannt ist, kann man sich über das weitere Vorgehen Gedanken machen.

[O-Saft]

die frage jedoch ist bzw was ich stark vermute, dass der bot sich online in mein web.de account eingeloggt hat und dadurch emails versenden konnte, ohne meine internetverbindung auch nur ansatzweise zu beeinträchtigen

[sкavєи]

Ach quatsch. Da modifiziert irgendein Spambot den header seiner abgesendeten Mails und gibt dich als Absender an. Auf der Arbeit haben wir täglich ca. 10.000 solcher sogenannten Backscatter-Mails durch Unzustellbarkeitsnachrichten. Da musst du dir gar keine weiteren Gedanken drum machen. Das ist völlig normal. Sei lieber froh, dass du bisher von dem Kram verschont geblieben bist.

P.S.: veloxzone.com.br ist ein bekannter Spamhost

Dieser Beitrag wurde von sкavєи bearbeitet: 10. Juni 2009 - 14:11

[XiLeeN2004]

@SKAVEN: Darum der Vorschlag den Traffic zu beobachten, damit eben klar wird, ob gesendet wird... So ganz kategorisch kann man das wohl nicht ausschließen.

[O-Saft]

Zitat (sкavєи: 10.06.2009, 14:59)

Ach quatsch. Da modifiziert irgendein Spambot den header seiner abgesendeten Mails und gibt dich als Absender an. Auf der Arbeit haben wir täglich ca. 10.000 solcher sogenannten Backscatter-Mails durch Unzustellbarkeitsnachrichten. Da musst du dir gar keine weiteren Gedanken drum machen. Das ist völlig normal. Sei lieber froh, dass du bisher von dem Kram verschont geblieben bist.

P.S.: veloxzone.com.br ist ein bekannter Spamhost

durchaus möglich, das lässt mir aber trotzdem keine ruh' sprich: gibt es möglichkeiten via programmen zu scannen bzw merkmale die nen spam zombie durchschauT?

[bartii]

Änder das Passwort deines Web.de Accounts und beobachte den Netzwerkverkehr, wie oben schon gesagt.

Das sollte reichen.

[HS-TGO]

Wie skaven schon sagte.

Kein Grund zur Beunruhigung. Bekomme so einen Schrott auch schon seit Monaten und deutlich mehr. Einfach ungesehen in die Tonne damit.

Was mich mal begeistern würde wäre die Möglichkeit diesen SPAM-Schleuderen mal zu kontern, so das bei denen nichts mehr geht.
Oder mal einen SPAM-Such-Bot programmieren der auf die Reise geschickt wird und alles was SPAM ist vernichtet.

Huch habe schon wieder Diskussionsstoff produziert

[sкavєи]

Zitat (HS-TGO: 10.06.2009, 19:22)

Was mich mal begeistern würde wäre die Möglichkeit diesen SPAM-Schleuderen mal zu kontern, so das bei denen nichts mehr geht.
Oder mal einen SPAM-Such-Bot programmieren der auf die Reise geschickt wird und alles was SPAM ist vernichtet.

Huch habe schon wieder Diskussionsstoff produziert

Die meisten Admins solcher Spam-Systeme sind schon genug damit gestraft, dass ihre Systeme von irgendwelchen Botnetzen infiziert sind.
An sich konnte man Botnetz-Mails früher ganz gut Filtern aber bei den derzeitigen Zahlen von über 1 Milliarde infizierten Rechnern und täglich steigenden Infektionszahlen, können die Spamfilter da kaum noch mithalten.

Interessant, für diejenigen die sich damit weiter auseinandersetzen wollen, sind dazu übrigens die Statistiken von marshal8e6.com und die Analyse der Verbreitung von F-Secure zum Conficker-Wurm (auch wenn es um den wieder relativ ruhig geworden ist).
Mit ein paar Google-Suchen finden sich auch diverse Dokumente, insbesondere zum Conficker, die genauer beschreiben, wie sich solch ein wurm so schnell und effektiv verbreiten kann.

Edit: Noch kurz nachgereicht:
http://mtc.sri.com/Conficker/
https://www.honeynet...apers/conficker
Vorsicht beide Dokumente sind auf Englisch und sehr Fachspezifisch.

Dieser Beitrag wurde von sкavєи bearbeitet: 10. Juni 2009 - 22:30

[HS-TGO]

Zitat (sкavєи: 10.06.2009, 23:18)

Die meisten Admins solcher Spam-Systeme sind schon genug damit gestraft, dass ihre Systeme von irgendwelchen Botnetzen infiziert sind.
An sich konnte man Botnetz-Mails früher ganz gut Filtern aber bei den derzeitigen Zahlen von über 1 Milliarde infizierten Rechnern und täglich steigenden Infektionszahlen, können die Spamfilter da kaum noch mithalten.

Sollte natürlich nicht gegen die Admins gehen sondern gegen die Bösen Bots.
Ich stelle mir einen Bot vor der den ganzen Müll einfach auffrist (sowie im Spiel Pacman ).
Eben Aufgrund der ständig steigenden Zahl vom Spam, Bots, Trojaner und wie das ganze Ungeziefer sich nennt.
Die Provider und die Anbieter von "Sicherheitssoftware" sind eigentlich nur damit beschäftigt SPAM auszufiltern und dann entweder vom Posteingang direkt zu löschen oder in einen SPAM Ordner zu verschieben (je nach Einstellung). Eigentlich nur definsive Massnahmen. Die Verbreitung hindert es aber doch nicht.
Wenn jemand mal einen Bot programmiert der mind. 50% der SPAM an dessen Verbreitung hindert (und selbst eine Selbstzerstörungssequenz eingebaut hat) könnte sich dann den Gesundbot an seine Mails anhängen und auf die Reise schicken.
Müsste halt erstmal ein Softbot sein der beim Ausmisten sehr vorsichtig vorgeht damit nicht das Falsche eleminiert würde.

Ich gebe zu mir fehlt da das technische Verständnis wie das in der Praxis genau umgesetzt werden könnte. Wenn man jeodch mal so eine Lösung in diese Richtung finden würde wäre das sicher der Renner und der Erfinder würde sich eine Goldene Nase verdienen.

Nur mal so vor mich hingeträumt

P.S. Über zuviel SPAMS regt man sich schon seit 2005 auf wie hier bei ZDNET
Hier ist ein Vorschlag zum Vorgehen gegen Deutsche SPAMer
Hier gibts auch noch Erklärungen zum Thema
und natürlich noch die Internet Beschwerdestelle

Und noch ein Nachtrag der veranschaulicht wie absurd das Thema schon geworden ist:

Zitat

Bitte ab sofort anstatt "@trash-mail.de" für Ihre Emails den Namen "@trash-mail.com" benutzen!Wir mussten aufgrund der hohen Anzahl an Spam-Emails den Domain-Namen wechseln

Da musste schon die Domain eines Wegwerf-Email Anbieters geändert werden weil sonst der SPAMs nicht mehr nachgekommen werden kann.
Da langt man sich nur noch an den Kopf wie oberflächlich mit SPAM weltweit umgegangen wird.
Ich bin für drakonische Strafen anders schreckt sowas nicht ab.

Dieser Beitrag wurde von HS-TGO bearbeitet: 11. Juni 2009 - 13:25

[sкavєи]

Das Problem ist ja, dass der Großteil der Spam-Mails mittlerweile nicht mehr direkt abgesetzt wird sonden indirekt durch irgendwelche Botnetze läuft oder über schlecht abgesicherte Server relayed wird. Das heißt um das ganze zu unterbinden müsste man den Schadcode auf den kompromittierten Systemen direkt angreifen. Dazu müsste man aber selbst erstmal Zugriff auf das System bekommen. Das ließe sich zwar häufig durch dieselben Sicherheitslücken bewerkstelligen, wie die Systeme kompromittiert wurden. Legal wäre das also nicht machbar.
Das Problem ist einfach, dass sich zwar jeder drüber aufregt, aber kaum einer weiß, dass seine eigenen Systeme genauso schuld sein könnten. Bei normalen Home-Usern ist das durchaus noch verständlich, aber bei Admins großer Netzwerke, die völlig blind für sowas sind, kann man nur noch den Kopf schütteln.
Mein Vorschlag wären erzwungene Updates für alle Windows-Systeme und unter Strafe stellen schlecht administrierter Firmen-Server, welche kompromitiert und zum Spam-Versand genutzt wurden. Sprich: nicht dem Spammer selbst verfolgen, das führt eh in's Leere, sondern vielmehr die Admins bestrafen, die ihre Systeme nicht unter Kontrolle haben.

[Lofote]

Zitat

Und das kann wohl nur vorkommen, wenn der TE diesen selbst verschuldet (was er hier ausschließt) hat oder sich jemand fremdes mit seinen Account Daten in sein Postfach eingelogt hat.

Kapiere ich nicht. Wenn da steht "fehlgeschlagener Login", heisst dass doch, dass sich NIEMAND in sein Konto eingeloggt hat, sondern jemand es VERSUCHT. Also: da hat jemand seinen Usernamen aber das falsche Passwort eingegeben. Wenn derjenige sich dagegen hätte erfolgreich einloggen können, wäre es auch gar nicht zur Meldung des Fehllogins gekommen.

Von daher muss ich feststellen, dass du auch ein bisschen vorbeiredest ...

[SPUTUM]

Es werden eh nur Logins angezeigt (ob erfolgreich oder nicht), welche über die Web.de Seite getätigt wurden. Wenn jemand sich z.B. über POP3 einloggt (ob erfolgreich oder nicht), erscheint das dort gar nicht.

[X2-3800]

Zitat (Lofote: 19.06.2009, 19:17)

Kapiere ich nicht. Wenn da steht "fehlgeschlagener Login", heisst dass doch, dass sich NIEMAND in sein Konto eingeloggt hat, sondern jemand es VERSUCHT. Also: da hat jemand seinen Usernamen aber das falsche Passwort eingegeben. Wenn derjenige sich dagegen hätte erfolgreich einloggen können, wäre es auch gar nicht zur Meldung des Fehllogins gekommen.

Von daher muss ich feststellen, dass du auch ein bisschen vorbeiredest ...

Du hast einen Denkfehler!

Er hat testweise sein Passwort geändert um heraus zu bekommen ob Jemand illegal zugriff auf sein E-Mail account hat. Erst danach kam eine Meldung über einen fehlgeschlagenen Login, somit ist bewiesen das Jemand vor der Passwortänderung Zugriff auf sein account hatte, indem er irgendwie das (alte) Passwort mitgeschnitten hat. Das wiederum legt den Verdacht nahe, das Jemand auf der Lanparty ihm einen Virus oder sonstwas eingeschleust hat.

Wenn der Virus noch aktiv ist, kann er auch das neue Passwort mitschneiden und der Spuk geht von vorn los.

Dieser Beitrag wurde von X2-3800 bearbeitet: 19. Juni 2009 - 18:53