Spam Atack!
 

Einer Bekannten von mir hat ihr Provider erneut das Internet gesperrt, mit der Begründung, von ihrem Rechner aus werden Massen von Spam versendet. Es ist jetzt das zweite Mal.

Beim ersten Mal habe ich den Rechner zuerst mit einer Antivirensoftware überprüft. Sie hat McAffe, ich weiß nicht wie gut das ist, aber es ist aktuell und es wurde der ganze Rechner geprüft.

Nachdem ich mich mit dem Provider in Verbindung gesetzt habe und ihm die Sachlage erklärt habe, bekam ich ein neues Kennwort für die Einwahl ins Internet. Das habe ich im Router eingetragen. Dann habe ich die nächsten zwei bis drei Stunden den Traffic der vom Laptop ausging gemessen, bzw. betrachtet. Da ich in der Zeit nur paar Internetseiten aufgerufen habe, hielt sich der im Kilo- oder einstelligen Megabyte Bereich. Man kann also sagen, in den zwei bis drei Stunden tat sich nichts.

Also nach meinem Verständnis müsste eine Spamschleuder permanent Emails versenden. In der Zeit wo ich da war, tat sich nichts. Meine Bekannte ist zu unerfahren um sowas selbst zu prüfen. Somit stellt sich die Frage wann der Laptop die Spams versendet?

Laut dem Provider haben die eine Software die den Datenverkehr scannt und erkennt ob ein Kunde Massen von Spam versendet. Aber entweder die Spamsoftware, vorausgesetzt eine ist auf dem Rechner, wartet erst drei Stunden bis ich nach hause gehe, um das loszulegen, oder die versendet die Spams nur zu einer bestimmten Uhrzeit.

Alternativ, vorausgesetzt es ist nicht das Laptop, könnte sich einer in den Wlan-Router eingehackt haben. Ich kenne mich zwar mit der neuen FritzBox Software nicht aus, aber ich hab an einer Stelle mir die Liste alle Rechner angeguckt die Kontakt mit dem Router hatten. So wie ich das verstanden habe merkt sich die FritzBox die PC-Namen und die MAC-Adressen der Rechner. Gefunden habe ich vier Einträge: ihr PC, ihr Laptop und dann hat sie, obwohl ich sie gewarnt habe, zwei Studenten aus dem Ausland ihre Zugangsdaten zum Router verraten, damit sie darüber ins Internet gehen können. Die sind aber inzwischen wieder zurück. Trotzdem, auch wenn das unvorsichtig war, es bleibt bei vier PCs. Entweder der Hacker löscht permanent seine Spuren aus dem Router, oder es bleibt bei den vier PCs.


Zusammenfassung: Provider behauptet es wird Spam versendet. Antivirensoftware findet nichts. In der Zeit wo ich da war hat der Laptop (der PC wird nicht genutzt) sich ruhig verhalten. Alternativ ist die Spam-Software in der Lage den Traffic, bzw. die Netzwerkauslastung des Rechners zu manipulieren, so dass es aussieht als ob nichts wäre. Das Provider-Zugangspasswort ist neu. Das vom Router wurde zwar nicht geändert, aber in der Liste finden sich nur vier PCs die in die letzten Monaten kontakt mit dem Router hatten.

Habe ich an etwas nicht gedacht?


Ich weiß es nicht, aber merkt sich der Provider auch die MAC-Adresse, bzw wird sie mit übertragen? Obwohl, wenn, dann wäre es wohl nur die vom Router. Werden bei Emails MAC-Adressen übertragen?

AW: Spam Atack!
 

Virentest am Besten aussrhalb des laufeneden Betriebssystem ausführen ( Boot-CD o.ä)
Der Router trackt ja selber den Traffic, was sagt der? Eventuell dort detailierte Protokollierung aktivieren. Zugang für Gäste nur über Gastzugang, diesen kann man dann besser überwachen/beschränken und die Rechner haben dann kein Zugriff auf das lokale Netz/Routereinstellungen. Ich würde das Passwort am Router und die Verschlüsselung ändern und alle erlaubten Geräte zurücksetzen und nach der Einwahl aller Rechner nur noch diese erlauben.

AW: Spam Atack!
 

Nebenbei mach ich auch ein bischen Webhosting. Ich hatte ein ähnliches Problem mit einigen meiner Kunden. Ursache waren ausschließlich unsichere Passwörter bei den E-Mail-Accounts. Die Hacker gehen nämlich mittlerweile direkt an die Mailserver beim Provider ran. Lokale Rechner zu "routen" ist out.

Abhilfe: Absolut sichere Passwörter für die Mailaccounts verwenden.

AW: Spam Atack!
 

@mkinzler

Ich bin aktuell nicht bei der Bekannten, kann also nichts sofort prüfen. Das mit dem Gastzugang ist klar, aber erklär das eine IT unbedarften Person. Aber ich stell mir die Frage ob das das Problem ist? Wenn ich das nächste Mal da bin werde ich mir die Protokolle des Routers genauer ansehen.

@mm1256

"Ursache waren ausschließlich unsichere Passwörter bei den E-Mail-Accounts."

Die Frage ist aber ob die versendeten Emails nicht in Versendet-Ordner auftauchen würden?

Außerdem ist bei dem Provider das Einwahl-Passwort gleich Email-Passwort. Und das Einwahl-Passwort wurde verändert. In diesem Fall müssten die Hacker innerhalb eines Monats gleich zwei mal das Passwort gehackt haben.

AW: Spam Atack!
 

Ich hab keine Ahnung, wie gut Botnetz Clients sich tarnen können, aber wenn einer drauf ist, spielen alle Deine Beobachtungen erstmal keine Rolle oder?
Die Versendungen erfolgen dann u.U. sogar nur auf Befehl.

Sooderso, wenn das losgeht, muss es auf jeden Fall messbar / logbar sein.
Ggf. kann man auch beim Provider einstellen, dass gesendet Emails gespeichert werden.

AW: Spam Atack!
 

Das würde ja bedeuten, daß auch dann Spam-Mails erstellt und versendet wurden, wenn die Bekannte von Popov ihr Laptop gar nicht in Betrieb, also quasi ein Alibi hat.

@Popov: Vielleicht wäre es möglich, daß deine Bekannte eine Zeit lang protokolliert, von wann bis wann sie ihr Laptop benutzt bzw. mit dem Internet verbindet, um diese Zeiten dann mit den Versendezeiten der Spammails abgleichen zu können. Passwort ändern ist natürlich erste Bürgerpflicht :?

AW: Spam Atack!
 

E-Mails werden oft auch unter falschen Absenderadresse versendet. Dazu werden Offene Mailserver verwendet. D.h. jemand nimmt deine Mailadresse und versendet Sie über irgendeinen offenen Server. Prüft jetzt der Empfangsmailserver nicht ob die Mail überhaupt von dem Server kommen darf kommt sie an.
Alternativ wäre ein übernommener Router. Es gab in der letzten Zeit einige Nachrichten von Routern die Sicherheitslücken so groß wie Scheunentore hatten. Wenn nun der Router übernommen wurde kann hier auch relativ leicht Mail-PW automatisiert ausgespäht werden (Man-In-The-Middle-Attacken)

AW: Spam Atack!
 

Ich wünschte, mehr Provider würden so handeln. Als Admin sind Botnetze eine echte Plage. Ich rege mich jedes mal auf, wenn wieder ein Bekannter stolz erzählt, dass er nie Sicherheitsupdates installiert und alle automatischen Updatefunktionen deaktiviert hat, weil ihn das nervt.

E-Mail-Spam ist übrigens bei weitem nicht das einzige, was Botnetze tun. Sie werden vor allem auch benutzt für DDoS-Attacken gegen Server, registrieren automatisch Spam-Accounts in Foren, spammen Gästebücher zu, oder hosten sogar mittels DynDNS temporäre Webseiten, über die Viren verbreitet werden etc.

Mit „Spam“ muss also nicht unbedingt E-Mail gemeint sein. Es könnte auch einfach allgemeiner Paket-Spam sein.

Auf Ergebnisse von Virenscans kann man sich nie 100%ig verlassen. Wenn der Provider den Anschluss ein zweites mal geblockt hat, wird es wohl seinen Grund haben. Ich glaube auch nicht, dass ein Provider gleich den ganzen Internetanschluss sperrt, wenn nur das E-Mail-Konto kompromittiert wurde. Die können an ihren Logs sehr genau sehen, von welcher IP-Adresse aus eine Mail versandt wurde.

AW: Spam Atack!
 

Ich bin inzwischen leider auch nicht mehr so Up-To-Date wie früher, aber als ich mich noch damit beschäftigt habe, haben sich gute Schädlinge zwar getarnt (das ist nicht schwer), aber die Netzwerkauslastung haben sie nicht manipuliert. Man konnte sie also nicht selbst sehen, man konnte aber zumindest sehen, dass etwas im Netz passiert.

Du kennst diese Frau nicht, sonst würdest du nicht mit einer so komischen Idee ankommen. Sie soll etwas protokollieren? :lol:

Aber die Idee ist trotzdem gut, so eine ähnliche hatte ich auch. Zufällig kann ich klein wenig programmieren. Ich werde einfach ein Programm schreiben das die Zeiten protokolliert.

Die Idee hatte ich schon beim ersten Mal, hab aber nichts gemacht, weil ich nicht genug Zeit hatte. Ich denke mir ich mach beim nächsten Besuch ein Update, das sollte doch, falls tatsächlich die FritzBox übernommen wurde, alles überschreiben, oder?

Doch, der Provider schon. Grund: Einwahl-Passwort und Email-Passwort sind gleich. Somit können sie nicht, laut eigener Aussage, nicht das eine sperren ohne das andere.

Habe ich auch nicht. Aber ich weiß nicht ob man die Netzwerkaktivität manipulieren kann. Wenn da nur eine Email versendet wird, fällt sowas ja nicht auf, aber bei Massen-Spam müsste da richtig was los sein.

AW: Spam Atack!
 

Ich meinte damit auch / eher die Aussagekraft eines Virentests.
Bezüglich Protokollierung usw. würde ich an sowas wie Windows Performance Monitor denken, weiß aber nicht, ob der auf/für alle Editionen verfügbar / installiert ist.

Was die Lernbereitschaft der Opfer angeht, habe ich bis auf eine Ausnahme lediglich erst einen einzigen Erfolg erlebt (und das ist schon 20 Jahre her). Ich habe mir mittlerweile angewöhnt im Bekanntenkreis nur noch 1x eine Empfehllung plus Hilfe abzugeben (auf Nachfrage) und danach "keine Lösung mehr zu sehen". Es muss offenbar gehörig Schmerzen bereiten, damit die Leute ihre Gewohnheiten überdenken (um nicht zu sagen, ihre Bequemlichkeit aufgeben).

AW: Spam Atack!
 

Stimmt, die kenn ich nicht, aber ich kenne genug andere und verstehe genau, was du meinst :shock:

Damit wäre schonmal ein Anfang gemacht :thumb:

Oh ja, davon kann ich Lieder singen: Stichworte Backup, Passwort, Pornoseiten, jeden Scheiß installieren usw.

AW: Spam Atack!
 

Ist das ein Providerrouter oder "wartet" sie den selber? Vielleicht ist der infiziert.

AW: Spam Atack!
 

Exakt so ist es. Überleg mal, warum soll sich ein Hacker die Mühe machen einen PC zu übernehmen, um dann mit der kleinen Bandbreite dieses PC's Spam zu versenden? Wenn er das Admin-Passwort des Mail-Accounts crackt ist das so wie Ostern und Weihnachten zusammen. Er hat freie Hand und aus Sicht des Providers war der Kunde an seinem Postfach.

Ändern ja, aber ein "sicheres" Passwort nehmen. Man kann es den Kunden/Anwendern einfach nicht oft genug ans Herz legen. Aber, das fatalste an dieser Situation ist ja das:
Gut gemeinter Rat: Hau den Provider zum Teufel. Mein Provider (Ratiokontakt) würde sowas aus Sicherheitsgründen nicht einmal zulassen :cyclops:

AW: Spam Atack!
 

Wenn der Provider korrekte Angaben zur Sperrung des Internet-Anschlusses gemacht hat
dann ist nicht der Mail-Account gehackt worden. Hier liegt der Grund wohl eher im Rechner oder eben im Router oder einem unbekannten Mitbenutzer des Routers. Für den Provider ist es bei einem Router nicht ersichtlich, von welchem Rechner die Mails kommen. Im Sprachgebrauch gegenüber dem Kunden sprechen die aber dann immer von dem Rechner.

Wenn der Mail-Account gehackt wurde und darüber die Spam-Mails versendet werden, dann ist es fraglich ob der Provider den Internet-Anschluss überhaupt sperren darf.

AW: Spam Atack!
 

Jajn. Ich habe es zwar noch nicht ausprobiert und ich weiß nicht ob das stimmt, aber einer der Gründe wieso man keinen eigenen Router kaufen kann soll der, dass bei dem Provider dir ein Techniker den Router anschließt und freigibt. Die Kombination aus Telefonnummer, Passwort und einer in den Router eingegebenen ID ergibt dann das Paket. Theoretisch kann also niemand mit dem Passwort sich ins Internet einwählen, wenn er nicht gleichzeitig den Router und den richtigen Telefonanschluss hat.

Ob das stimmt weiß ich aber nicht. Ich weiß nur, dass fremde Router nicht funktionieren.

AW: Spam Atack!
 

Block doch einfach Port 25 und 465 in der Fritzbox. Viele Leute nutzen doch eh Email via Browser. Dann ist zwar der Trojaner noch drauf, verschickt aber nix mehr.

AW: Spam Atack!
 

Ich muss nochmal auf diesen Punkt kommen:

Wenn das stimmt, woran ich ja nicht zweifle, dann hat der Provider uneingeschränkten Zugriff auf das Mailkonto. Er könnte sogar Mails mit diesem Account verschicken, ohne dass der Kontoinhaber das mit bekommt. Und dann noch behaupten, der User selber war's.

Und darum ist Standard: Ein Provider kann und muss mein persönliches Passwort auf meinen Wunsch hin ändern/zurücksetzen dürfen, z.B. wenn ich es vergessen habe. Er darf aber niemals mein persönliches Passwort kennen. Zustände sind das hier in Deutschland. Da muss man sich nicht mehr wundern...."big german brother is watching you"

AW: Spam Atack!
 

Der Provider hat so oder so vollen Zugriff auf dein Mailkonto, weil er nun mal den Server betreibt. Ob der da auch noch dein Passwort kennt oder nicht, ist vollkommen irrelevant.

AW: Spam Atack!
 

Ist es nicht eher irrelevant, ob der Hacker/Spamversender den Internet-Account deiner Bekannten verwendet, wenn er über das Zugangspasswort zum Email-Account verfügt? Dann kann er sich doch von überall einwählen und Spams verschicken. Der Provider müßte doch überprüfen können, ob man sich Zugang zum Email-Account auch über andere als die Internetverbindung des Providers verschafft hat. Da sich deine Bekannte einwählt, hat sie vermutlich bei jeder Sitzung eine neue IP, die auch eine Weile beim Provider gespeichert bleibt. Ich würde daher mal den Provider auffordern, in dieser Richtung zu recherchieren.

AW: Spam Atack!
 

Warum Programm schreiben? Man kann in den Gruppenrichtlinien einstellen, dass das An- und Abmelden im Eventlog protokolliert werden soll.

AW: Spam Atack!
 

@Luckie

Im Grunde hast du Recht. Zwar kenne ich die Regel nicht (ich kenn nicht alles), aber warum nicht, im Grunde ein gute Idee. Aber das ist ein Laptop und ich weiß, dass die Bekannte fast nie das Gerät abschaltet. Sie macht einfach nur die Klappe zu. Ich kenne mich mit Laptops weniger aus, aber vermutlich ist das die Standby Funktion, bzw. Energie sparen, bzw. Ruhezustand. Und ich weiß nicht ob das auch protokolliert wird.

AW: Spam Atack!
 

Ich hab mir gerade paar Gedanken gemacht wie ich die Computerzeiten loggen soll. Eine Möglichkeit ist natürlich den Start und das Ende von der Windowssitzung oder des Programms zu loggen. Hier besteht aber die Möglichkeit, dass der PC abstürzt oder sonstiges, so dass das Ende der Sitzung nicht erfasst wird.

Was mir gerade eingefallen ist, das ich für jede Minute - in der der PC an ist - in einer Zahl einfach ein Bit setze. Eine Stunde hat 60 Minuten, ein Int64 hat 64 Bits, passt. Für jede Minute wird ein Bit gesetzt, für jede Stunde ein neue Zahl genommen. Macht bei einer Ini pro Tag max. 25 Zeilen.

So stelle ich mir das in etwa vor (ohne den Bit-String, der ist nur für den Test):
Hat jemand eine bessere Idee wie man Zeiten in denen der PC an ist loggen kann? Bin für Ideen offen.

AW: Spam Atack!
 

Aus dem Kopf weiß ich das jetzt auch nicht. Und Bei mir, Windows 7 Home, ist der Gruppenrichtlinieneditor auch nicht vorhanden.

Habs. Windows 7 Home. Wird alles mitprotokolliert. Das System Eventlog filtern nach der Quelle "Kernel-General" und den Event-IDs 12 und 13.
ID 13: Das Betriebssystem wird zur Systemzeit ‎2015‎-‎04‎-‎05T10:33:50.609886600Z heruntergefahren.
ID 12: Das Betriebssystem wurde zur Systemzeit ‎2015‎-‎04‎-‎05T12:37:01.125599400Z gestartet.
Achtung, das sind UTC Zeitangaben! Ich habe also vorhin den Rechner um halb eins ausgemacht und eben um 20 vor drei wieder eingeschaltet.
Wenn du noch als Quelle Winlogon dazu nimmst, bekommst du noch mit wann sich der Benutzer dann wirklich angemeldet hat.

AW: Spam Atack!
 

Warum so kompliziert. Leg ein Programm in den Autostart, welches, wenn es gestartet wird, einfach Datum und Uhrzeit in eine Datei schreibt. Und das selbe tut, wenn sich der Benutzer abmeldet (WM_QUERYENDSESSION). Aber wie gesagt. Eigentlich überflüssig. Siehe meinen vorherigen Beitrag.

AW: Spam Atack!
 

Zu #23: ich guck mir das an, es muss nicht komplizierter sein als es sein muss. Die Bekannte hat auch Windows 7, somit kein Problem. Wo ich gerade bin arbeite ich an Windows XP.

Zu #24: wie gesagt, Start und Ende loggen ist ok, aber ich will auch die Standby Zeiten loggen und auch abstürze, wo das System nicht ordnungsgemäß heruntergefahren wird. Ich guck mir den oberen Tipp und die Möglichkeiten nochmal genauer an. Und wenn es alles loggt, dann werde ich es nehmen.

AW: Spam Atack!
 

Na ja, das System ist abgestürzt oder nicht ordnungsgemäß runter gefahren worden, wenn der Abmeldeeintrag in der Datei fehlt. ;)

Und hier: http://www.delphipraxis.net/103632-r...-abfragen.html

AW: Spam Atack!
 

Für mich hört sich das an, als ob da mal jemand mit entsprechendem forensischen Sachverstand eingeschaltet werden sollte.

AW: Spam Atack!
 

Dann lass dir doch vom Provider Datum/Zeit geben, wann die Spam-Mails versandt wurden, und vergleiche die Zeiten mit denen der Ereignisanzeige. Da steht doch auch alles drin. Wenn zu dem Zeitpunkt der PC gar nicht eingeschaltet war, bist du schon am Ziel.

Abgesehen davon: Die Ereignisanzeige ist auch im Streitfall beweiskräftiger als ein selbstgestricktes Programm.

AW: Spam Atack!
 

Nur wie gesagt, die Bekannte macht den Laptop am Montag an und Sonntag aus. Dazwischen ist er aber 95% der Zeit Standby. Das ist um was es mir geht. Wie gesagt, dass muss ich mir genauer angucken.

AW: Spam Atack!
 

Du könntest einfach mal Norton Internet Security als Trial installieren. Das protokolliert die Zeiten inklusive RAM- und CPU-Auslastung usw. (abgesehen davon, dass ich damit auch deutlich belastbarere Ergebnisse hinsichtlich eines Virenbefalls erwarten würde als ausgerechnet von McAfee...).

Rein anhand dieser Daten konnte ich auf einem PC einer Bekannten schon einmal einen Virus identifizieren. Der hat nämlich manchmal den PC relativ stark ausgelastet, so dass sie bemerkt hat, dass ein Spiel plötzlich geruckelt hat, das ansonsten sauber lief. Norton hat dann angezeigt welche Exe die Auslastung verursacht hat (einfach im Verlaufsdiagramm mit der Maus hovern, da wird die Exe mit der höchsten Auslastung angezeigt) und da die sehr ähnlich wie eine Datei des Betriebssystems hieß, gepackt war und (im entpackten Zustand im Hexeditor) verdächtige Hostnamen enthielt, lag die Vermutung nahe, dass es ein Virus war.
(Seit der Meldung an ein paar Hersteller von Virenscannern wird der Virus mittlerweile auch erkannt.)

Lässt sich im Router vielleicht ein Mac-Adressenfilter eintragen? Das ist ein recht wirksamer Schutz gegen Eindringlinge ins W-LAN.

AW: Spam Atack!
 

Warum stellst du nicht einfach mal einen Rechner mit irgend einem Packetsniffer dahin und protokollierst dir einfach mal ne ganze Zeit mit. Über die Ports lassen sich doch schnell alle Rechner finden, die Mails versenden.
Und, das sie einen Laptop verwendet, wird sie wohl auch über WLAN gehen. Ist das sicher? Nicht, dass es anderer in unmittelbarer Umgebung das WLAN mitbenutzt, und auf dem Rechner was drauf ist. Dann kannst du bei ihr lange suchen.

AW: Spam Atack!
 

@Captnemo

Ganz einfach: als mich das letzte Mal die Bekannte kontaktiert hat, gingen wir davon aus, dass es ein technisches Problem ist. Nachdem wir nun (ich am Telefon, sie vor Ort) die Standardfehler ausgeschlossen hatten (lockerer Kabel, was blinkt da am Router, usw.) empfahl ich ihr zuerst die Störungsstelle des Providers anzurufen, da die von deren PC aus die Leitung bis zum Router prüfen können. Da erfuhr sie erst, dass sie gesperrt wurde.

Die Aussage der Störungsstelle auf ihren Laptop befindet sich ein Trojaner der ständig ins Internet sendet, fand ich etwas suspekt, da der Techniker einfach behauptet hat das erkennen zu können. Das beeindruckte vielleicht meine Bekannte, nicht aber mich. Nachdem ich selbst da angerufen habe hat er das revidiert und meinte nun, dass es möglich ist. Wissen, weiß er es nicht.

Also wurde ein neues Passwort für das Internet genommen, der Router kurz überprüft, der Laptop genauer überprüft und dann wurde die Verbindung wiederhergestellt. Dann habe ich etwa zwei Stunden, bei Kaffee und Kuchen und einem netten Gespräch, die Aktivitäten auf dem PC überwacht. Nachdem nun zwei Stunden das Laptop absolut ruhig blieb und keine Massen am Spam verschickt hat, gingen wir einfach davon aus, dass sich die Software des Providers irren muss.

Bis sie nun erneut das Internet sperrten.

Es bestand also bisher keine Notwendigkeit sich mit dem Problem genauer auseinander zu setzten. Wenn ich nun die Woche mal weider bei ihr bin, werde ich die FritzBox reseten, bzw. in den Werkszustand versetzen. Dann werde ich das aktuellste Update aufspielen. Dann werde ich den PC platt machen und Windows neu installieren. Erst dann gehe ich erneut wieder ins Internet. Wenn der Provider dann noch mal den Zugang sperrt, wird er erklären müssen warum.

AW: Spam Atack!
 

Dann würde ich dir aber noch empfehlen:

1. WLAN-Passwort und Routerzugangspasswort zu ändern und eines mit hoher Komplexibilität zu wählen.

2. Darüber hinaus WLAN-Zugang auf bekannte Geräte zu beschränken (MAC-Filter).

Auch wenn das keinen 100%igen Schutz darstellt, so kann man zumindest sich doch vor Hobby-Hackern aus der Nachbarschaft wehren.

PS: Der Provider ist aber nicht der rosa Riese, oder?

AW: Spam Atack!
 

Und Betriebssystem neu installieren, wenn das immer noch nicht geholfen hat und die Schadsoftware doch auf dem Rechner sitzt.