|
  |
 Spamflut: "Maria Schwentke hat an deine Pinnwand gepostet." + Abwesenheitsnotizen |
|
|
| Spamflut: "Maria Schwentke hat an deine Pinnwand gepostet." + Abwesenheitsnotizen |
     |
Seit ungefähr einer Stunde werde ich pausenlos mit "Maria Schwentke hat an deine Pinnwand gepostet"-Nachrichten bombadiert.
Zu allem Übel scheint diese nervige Mail an tausende User gegangen zu sein, so dass noch weitere tausende von Abwesenheits-Autoresponder-Nachrichten reinflattern, die sich auch noch gegenseitig informieren, dass Person XY derzeit abwesend ist. Manche Autoresponder schnallen einfach nicht, dass sie Nachrichten von Autorespondern bekommen und so geht das Spielchen ewig weiter. 
Wenn ich die Absender auf die Spamliste setzen will, erhalte ich von unserem Exchangeserver die Meldung, dass das Sperren von "firmeninterenen Nachrichten" nicht möglich ist.
Gibt es einen einfachen Weg, diesen Massenmüll zu unterbinden? Dummerweise glaubt unser Server, das jede eMail von einem anderen Absender kommt. Stellenweise steht auch kein Betreff drin, so dass man nur schlecht filtern kann.
Ideen?
Edit: OMG, jetzt weiß ich, warum die Nachrichten nicht geblockt werden können. Da ich sämtlichen Müll empfange, der an unsere Domains geschickt wird, sind es tatsächlich systeminterne Nachrichten.
Demzufolge werde ich die interne Weiterleitung deaktivieren und dann habe ich fürs Erste Ruhe, auch wenn die Flut der Nachrichten weiterhin einer DDoS-Attacke gleich kommt.
Edit2: Mist, ich kriege das Problem nicht in der Griff. Der Exchangeserver ist völlig überlastet. Im Moment kommen pro Viertelstunde ca. 2000 Nichtzustellbarkeitsnachrichten.
Edit3: Neue Theorie: Mein PC hat sich irgendeine Spamschleudersoftware eingefangen, verschickt pausenlos Spamnachrichten und ich bekomme die Nichtzustellbarkeitsnachricht. Leider habe ich außer Outlook keinen verdächtigen Dienst finden können. Zudem hörte der Spuk wie auf Kommando gegen 16:30 Uhr auf (Das Ganze fing exakt um 13:00 Uhr an).
Falls jemand eine Idee hat, nach was für einem Übeltäter man Ausschau halten muss, falls wirklich etwas auf meinem System (XP SP3) eingenistet ist, bitte bescheid geben. AVG hat leider nichts zu meckern gefunden. Ich habe heute auch keine Programme installiert und bei den eMails habe ich auch keine verdächtigen Kandidaten gefunden.
Edit4: Das klingt auch interessant: http://www.msexchangefaq.de/spam/ndrspamming.htm
Edit5: Über Nacht sind noch 8000 NDR eingetrudelt, aber es scheint nun Ruhe zu sein. Vielleicht hat Strato inzwischen selbst gemerkt, dass einer der Mailserver mißbraucht wurde oder ich bin nun überall auf der Blackliste.
Edit6: Wundersam. Heute kam wirklich keine Spamflut mehr.
__________________
++++ To Yoda: Jedi-Meister bekommt Auris zugeschickt. Unmöglich nichts ist ++++ 
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von MikeTNT: 20.06.2012 14:15.
|
|
|
|
|
|
|
Boah, wir haben den Übeltäter gefunden! Unser Webspace bei Strato wurde mißbraucht, indem jemand ein Script (sendme.php) eingebaut hat, das dazu in der Lage ist, tausende eMails zu verschicken. Laut Logfile wurde die Datei vor 3 Tagen installiert und vorgestern mehrfach ausgeführt. Da muss man erst einmal drauf kommen.
Leider ist nicht ersichtlich, wie der Hacker eindringen konnte. Da wir kaum Zugriffsberechtigungen beim Strato-Webspace haben, haben wir auch keine Möglichkeiten, einen künftigen Eingriff zu verhindern.
__________________
++++ To Yoda: Jedi-Meister bekommt Auris zugeschickt. Unmöglich nichts ist ++++
|
|
|
|
|
|
|
Leider scheint der Hacker eine andere Hintertür gefunden zu haben. Die Scripte wurden im Root-Verzeichnis abgelegt.
Vielleicht hat das von Strato angebotene Joomla! irgendeine Sicherheitslücke. Letztendlich kann aber nur Strato etwas unternehmen, da uns die Berechtigungen fehlen.
__________________
++++ To Yoda: Jedi-Meister bekommt Auris zugeschickt. Unmöglich nichts ist ++++
|
|
|
|
|
|
|
Der Hacker hat es heute wieder mit der gleichen Methode geschafft.
Alle Passwörter wurden zwischenzeitlich geändert, aber das scheint den Hacker nicht zu jucken.
Den Strato-Support kann man sich im Grunde schenken.
Die erste Antwort war "Unsere Server sind sicher, es kann nur an Ihnen liegen".
Er vemutete, dass der Zugriff per ftp erfolgt. Wir haben nun ftp deaktiviert und sind mal gespannt, ob das etwas bringt.
__________________
++++ To Yoda: Jedi-Meister bekommt Auris zugeschickt. Unmöglich nichts ist ++++
|
|
|
|
|
|
|
Wir sind schon wieder gehackt worden. Dieses Mal scheint es ein anderer Hacker gewesen zu sein, da Spuren hinterlassen wurden.
Dieses Mal können wir davon ausgehen, dass unserer veraltetes Joomla! Sicherheitslücken aufweist. Allem Anschein nach wurden über den intergrierten Bilderuploader Scripte hochgeladen. Mal schauen, wie wir den Mist aktualisiert bekommen.
__________________
++++ To Yoda: Jedi-Meister bekommt Auris zugeschickt. Unmöglich nichts ist ++++
|
|
|
|
|
|
|
|
|
Impressum ||Datenschutzerklärung
|
