Einer Bekannten von mir hat ihr Provider erneut das Internet gesperrt, mit der Begründung, von ihrem Rechner aus werden Massen von Spam versendet. Es ist jetzt das zweite Mal.

Beim ersten Mal habe ich den Rechner zuerst mit einer Antivirensoftware überprüft. Sie hat McAffe, ich weiß nicht wie gut das ist, aber es ist aktuell und es wurde der ganze Rechner geprüft.

Nachdem ich mich mit dem Provider in Verbindung gesetzt habe und ihm die Sachlage erklärt habe, bekam ich ein neues Kennwort für die Einwahl ins Internet. Das habe ich im Router eingetragen. Dann habe ich die nächsten zwei bis drei Stunden den Traffic der vom Laptop ausging gemessen, bzw. betrachtet. Da ich in der Zeit nur paar Internetseiten aufgerufen habe, hielt sich der im Kilo- oder einstelligen Megabyte Bereich. Man kann also sagen, in den zwei bis drei Stunden tat sich nichts.

Also nach meinem Verständnis müsste eine Spamschleuder permanent Emails versenden. In der Zeit wo ich da war, tat sich nichts. Meine Bekannte ist zu unerfahren um sowas selbst zu prüfen. Somit stellt sich die Frage wann der Laptop die Spams versendet?

Laut dem Provider haben die eine Software die den Datenverkehr scannt und erkennt ob ein Kunde Massen von Spam versendet. Aber entweder die Spamsoftware, vorausgesetzt eine ist auf dem Rechner, wartet erst drei Stunden bis ich nach hause gehe, um das loszulegen, oder die versendet die Spams nur zu einer bestimmten Uhrzeit.

Alternativ, vorausgesetzt es ist nicht das Laptop, könnte sich einer in den Wlan-Router eingehackt haben. Ich kenne mich zwar mit der neuen FritzBox Software nicht aus, aber ich hab an einer Stelle mir die Liste alle Rechner angeguckt die Kontakt mit dem Router hatten. So wie ich das verstanden habe merkt sich die FritzBox die PC-Namen und die MAC-Adressen der Rechner. Gefunden habe ich vier Einträge: ihr PC, ihr Laptop und dann hat sie, obwohl ich sie gewarnt habe, zwei Studenten aus dem Ausland ihre Zugangsdaten zum Router verraten, damit sie darüber ins Internet gehen können. Die sind aber inzwischen wieder zurück. Trotzdem, auch wenn das unvorsichtig war, es bleibt bei vier PCs. Entweder der Hacker löscht permanent seine Spuren aus dem Router, oder es bleibt bei den vier PCs.


Zusammenfassung: Provider behauptet es wird Spam versendet. Antivirensoftware findet nichts. In der Zeit wo ich da war hat der Laptop (der PC wird nicht genutzt) sich ruhig verhalten. Alternativ ist die Spam-Software in der Lage den Traffic, bzw. die Netzwerkauslastung des Rechners zu manipulieren, so dass es aussieht als ob nichts wäre. Das Provider-Zugangspasswort ist neu. Das vom Router wurde zwar nicht geändert, aber in der Liste finden sich nur vier PCs die in die letzten Monaten kontakt mit dem Router hatten.

Habe ich an etwas nicht gedacht?


Ich weiß es nicht, aber merkt sich der Provider auch die MAC-Adresse, bzw wird sie mit übertragen? Obwohl, wenn, dann wäre es wohl nur die vom Router. Werden bei Emails MAC-Adressen übertragen?

Virentest am Besten aussrhalb des laufeneden Betriebssystem ausführen ( Boot-CD o.ä)
Der Router trackt ja selber den Traffic, was sagt der? Eventuell dort detailierte Protokollierung aktivieren. Zugang für Gäste nur über Gastzugang, diesen kann man dann besser überwachen/beschränken und die Rechner haben dann kein Zugriff auf das lokale Netz/Routereinstellungen. Ich würde das Passwort am Router und die Verschlüsselung ändern und alle erlaubten Geräte zurücksetzen und nach der Einwahl aller Rechner nur noch diese erlauben.

Nebenbei mach ich auch ein bischen Webhosting. Ich hatte ein ähnliches Problem mit einigen meiner Kunden. Ursache waren ausschließlich unsichere Passwörter bei den E-Mail-Accounts. Die Hacker gehen nämlich mittlerweile direkt an die Mailserver beim Provider ran. Lokale Rechner zu "routen" ist out.

Abhilfe: Absolut sichere Passwörter für die Mailaccounts verwenden.

@mkinzler

Ich bin aktuell nicht bei der Bekannten, kann also nichts sofort prüfen. Das mit dem Gastzugang ist klar, aber erklär das eine IT unbedarften Person. Aber ich stell mir die Frage ob das das Problem ist? Wenn ich das nächste Mal da bin werde ich mir die Protokolle des Routers genauer ansehen.

@mm1256

"Ursache waren ausschließlich unsichere Passwörter bei den E-Mail-Accounts."

Die Frage ist aber ob die versendeten Emails nicht in Versendet-Ordner auftauchen würden?

Außerdem ist bei dem Provider das Einwahl-Passwort gleich Email-Passwort. Und das Einwahl-Passwort wurde verändert. In diesem Fall müssten die Hacker innerhalb eines Monats gleich zwei mal das Passwort gehackt haben.

Ich hab keine Ahnung, wie gut Botnetz Clients sich tarnen können, aber wenn einer drauf ist, spielen alle Deine Beobachtungen erstmal keine Rolle oder?
Die Versendungen erfolgen dann u.U. sogar nur auf Befehl.

Sooderso, wenn das losgeht, muss es auf jeden Fall messbar / logbar sein.
Ggf. kann man auch beim Provider einstellen, dass gesendet Emails gespeichert werden.

Das würde ja bedeuten, daß auch dann Spam-Mails erstellt und versendet wurden, wenn die Bekannte von Popov ihr Laptop gar nicht in Betrieb, also quasi ein Alibi hat.

@Popov: Vielleicht wäre es möglich, daß deine Bekannte eine Zeit lang protokolliert, von wann bis wann sie ihr Laptop benutzt bzw. mit dem Internet verbindet, um diese Zeiten dann mit den Versendezeiten der Spammails abgleichen zu können. Passwort ändern ist natürlich erste Bürgerpflicht

E-Mails werden oft auch unter falschen Absenderadresse versendet. Dazu werden Offene Mailserver verwendet. D.h. jemand nimmt deine Mailadresse und versendet Sie über irgendeinen offenen Server. Prüft jetzt der Empfangsmailserver nicht ob die Mail überhaupt von dem Server kommen darf kommt sie an.
Alternativ wäre ein übernommener Router. Es gab in der letzten Zeit einige Nachrichten von Routern die Sicherheitslücken so groß wie Scheunentore hatten. Wenn nun der Router übernommen wurde kann hier auch relativ leicht Mail-PW automatisiert ausgespäht werden (Man-In-The-Middle-Attacken)

Ich wünschte, mehr Provider würden so handeln. Als Admin sind Botnetze eine echte Plage. Ich rege mich jedes mal auf, wenn wieder ein Bekannter stolz erzählt, dass er nie Sicherheitsupdates installiert und alle automatischen Updatefunktionen deaktiviert hat, weil ihn das nervt.

E-Mail-Spam ist übrigens bei weitem nicht das einzige, was Botnetze tun. Sie werden vor allem auch benutzt für DDoS-Attacken gegen Server, registrieren automatisch Spam-Accounts in Foren, spammen Gästebücher zu, oder hosten sogar mittels DynDNS temporäre Webseiten, über die Viren verbreitet werden etc.

Mit „Spam“ muss also nicht unbedingt E-Mail gemeint sein. Es könnte auch einfach allgemeiner Paket-Spam sein.

Auf Ergebnisse von Virenscans kann man sich nie 100%ig verlassen. Wenn der Provider den Anschluss ein zweites mal geblockt hat, wird es wohl seinen Grund haben. Ich glaube auch nicht, dass ein Provider gleich den ganzen Internetanschluss sperrt, wenn nur das E-Mail-Konto kompromittiert wurde. Die können an ihren Logs sehr genau sehen, von welcher IP-Adresse aus eine Mail versandt wurde.

Ich bin inzwischen leider auch nicht mehr so Up-To-Date wie früher, aber als ich mich noch damit beschäftigt habe, haben sich gute Schädlinge zwar getarnt (das ist nicht schwer), aber die Netzwerkauslastung haben sie nicht manipuliert. Man konnte sie also nicht selbst sehen, man konnte aber zumindest sehen, dass etwas im Netz passiert.

Du kennst diese Frau nicht, sonst würdest du nicht mit einer so komischen Idee ankommen. Sie soll etwas protokollieren?

Aber die Idee ist trotzdem gut, so eine ähnliche hatte ich auch. Zufällig kann ich klein wenig programmieren. Ich werde einfach ein Programm schreiben das die Zeiten protokolliert.

Die Idee hatte ich schon beim ersten Mal, hab aber nichts gemacht, weil ich nicht genug Zeit hatte. Ich denke mir ich mach beim nächsten Besuch ein Update, das sollte doch, falls tatsächlich die FritzBox übernommen wurde, alles überschreiben, oder?

Doch, der Provider schon. Grund: Einwahl-Passwort und Email-Passwort sind gleich. Somit können sie nicht, laut eigener Aussage, nicht das eine sperren ohne das andere.

Habe ich auch nicht. Aber ich weiß nicht ob man die Netzwerkaktivität manipulieren kann. Wenn da nur eine Email versendet wird, fällt sowas ja nicht auf, aber bei Massen-Spam müsste da richtig was los sein.

Ich meinte damit auch / eher die Aussagekraft eines Virentests.
Bezüglich Protokollierung usw. würde ich an sowas wie Windows Performance Monitor denken, weiß aber nicht, ob der auf/für alle Editionen verfügbar / installiert ist.

Was die Lernbereitschaft der Opfer angeht, habe ich bis auf eine Ausnahme lediglich erst einen einzigen Erfolg erlebt (und das ist schon 20 Jahre her). Ich habe mir mittlerweile angewöhnt im Bekanntenkreis nur noch 1x eine Empfehllung plus Hilfe abzugeben (auf Nachfrage) und danach "keine Lösung mehr zu sehen". Es muss offenbar gehörig Schmerzen bereiten, damit die Leute ihre Gewohnheiten überdenken (um nicht zu sagen, ihre Bequemlichkeit aufgeben).