Ich arbeite u.A. als Netzwerkadmin in einer PR-Firma. Die verdient ihr Geld u.A. damit, Newsletters zu verschicken. Seit einiger Zeit haben wir ein Problem: wir landen immer wieder auf Spam-Blacklists, d.h. unsere Newsletter werden als Spam markiert.
Einige Computer waren schwer virenverseucht. Jetzt habe ich auf allem PCs Virenscanner installiert, und lasse unregelmäßig hijackthis und mbam (http://www.malwarebytes.org/mbam.php) durchlaufen. Danach habe ich die IP vom Provider geändert (wir haben 4 IPs - fragt mich nicht warum), indem ich sie einfach am Router geändert habe.
Nun ist die "neue" IP wieder auf einer Blacklist; für mich gibt es jetzt 2 Möglichkeiten:
- entweder verschicken wir tatsächlich Spam durch unsere Newsletter, d.h. in die Newsletter-Verteiler-Listen ist eine honeypot-adresse.
- oder ein rechner hat einen trojaner.
mittlerweile glaube ich zu wissen, dass möglichkeit 2 (trojaner) nicht unwahrscheinlich ist (habe auf honeypot-seiten konkrete hinweise gefunden).
wie kann ich feststellen, welcher rechner die mails verschickt? gibt es irgendwelche netzwerktools, die mir die arbeit vereinfachen?
Willkommen im #Neuland
Login wie bei quake.ingame.de zuvor, die Passwörter aus der alten Datenbank wurden aber gelöscht - einmal hier neu anfordern.
Wer seine E-Mail-Adresse nicht mehr hat oder kennt, bitte eine Nachricht mit Infos schicken o. im Discord melden.
PQ Discord Server: #planetquake Spenden? Hier entlang!
Login wie bei quake.ingame.de zuvor, die Passwörter aus der alten Datenbank wurden aber gelöscht - einmal hier neu anfordern.
Wer seine E-Mail-Adresse nicht mehr hat oder kennt, bitte eine Nachricht mit Infos schicken o. im Discord melden.
PQ Discord Server: #planetquake Spenden? Hier entlang!
Firmen-IP auf Spam-Blacklist: was tun?
-
wescht
- Bitterman
- Beiträge: 155
- Registriert: Feb 2003
Firmen-IP auf Spam-Blacklist: was tun?
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab
.-
wescht
- Bitterman
- Beiträge: 155
- Registriert: Feb 2003
nuja. die hauptverdächtigen sind wie anzunehmen windows-pc, im netzwerk hängen auch noch linux-pcs.
es gibt noch einen managed switch und einen router, beide haben einen log, aber da steht nur schmarrn drinn (client a ist online / offline).
meinst du, den switch alle ports auf den linux-pc mirroren lassen, d.h. alle daten zusätzlich an den linux-pc schicken, und die daten dann zu analysieren?
kannst du nicht auch schreiben, welche scripts du schon verwendet hast? ich weiss schon dass es was gibt, aber was?
es gibt noch einen managed switch und einen router, beide haben einen log, aber da steht nur schmarrn drinn (client a ist online / offline).
meinst du, den switch alle ports auf den linux-pc mirroren lassen, d.h. alle daten zusätzlich an den linux-pc schicken, und die daten dann zu analysieren?
kannst du nicht auch schreiben, welche scripts du schon verwendet hast? ich weiss schon dass es was gibt, aber was?
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab
-
cptn^dyna
- Uriel
- Beiträge: 2821
- Registriert: Okt 2000
Sind Mails die nach aussen gehen Geschäftsschreiben, daraus folgt dass man diese archiviert werden müssen.
Guck also doch mal bei euren Archiv nach.
Ich weiß nicht welchen Server ihr nutzt, wir haben da IBM Lotus Notes Client/Server + IBM CommonStore und IBM Content Manager sowie IBM E-Mail Search.
Prinzipiell wäre es aber ne Möglichkeit einen Unix/Linux Rechner als Router laufen zu lassen um dort zu loggen. Wenn ich auf der arbeit bin guck ich eben mal in meiner Skriptbase... ich meine ich hatte da was eigenes.
Wieviele Windows rechner sind es denn?
Guck also doch mal bei euren Archiv nach.
Ich weiß nicht welchen Server ihr nutzt, wir haben da IBM Lotus Notes Client/Server + IBM CommonStore und IBM Content Manager sowie IBM E-Mail Search.
Prinzipiell wäre es aber ne Möglichkeit einen Unix/Linux Rechner als Router laufen zu lassen um dort zu loggen. Wenn ich auf der arbeit bin guck ich eben mal in meiner Skriptbase... ich meine ich hatte da was eigenes.
Wieviele Windows rechner sind es denn?
C++0x
-
wescht
- Bitterman
- Beiträge: 155
- Registriert: Feb 2003
hehe ... nein so einfach ist das nicht.
die mails werden ja nicht über einen regulären account verschickt - das wär ja zu einfach.
die trojaner verschicken vermutlich "von selbst" mails (d.h. fungieren entweder selbst als mailserver, oder verwenden andere "zombies"), mit gefälschtem absender. im mailprogramm ist da logischerweise nichts.
es sind 12 Rechner, auf denen Windows läuft (und die damit alle in frage kommen)
die mails werden ja nicht über einen regulären account verschickt - das wär ja zu einfach.
die trojaner verschicken vermutlich "von selbst" mails (d.h. fungieren entweder selbst als mailserver, oder verwenden andere "zombies"), mit gefälschtem absender. im mailprogramm ist da logischerweise nichts.
es sind 12 Rechner, auf denen Windows läuft (und die damit alle in frage kommen)
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab
-
wescht
- Bitterman
- Beiträge: 155
- Registriert: Feb 2003
ja soweit war ich auch schon. aber wie?
es geht "durch" den switch und den router, mehr fällt mir nicht ein.
der router hat "nur" eine firewall, bzw. die logfunktion ist unzureichend.
mal schnell einen linux-rechner als router einzurichten fällt aus platz- und verfügbarkeitsgründen flach (hab sowas noch nie gemacht und kann einen ausfall nicht riskieren)
es geht "durch" den switch und den router, mehr fällt mir nicht ein.
der router hat "nur" eine firewall, bzw. die logfunktion ist unzureichend.
mal schnell einen linux-rechner als router einzurichten fällt aus platz- und verfügbarkeitsgründen flach (hab sowas noch nie gemacht und kann einen ausfall nicht riskieren)
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab
-
Spiritargh
- Tank Jr.
- Beiträge: 904
- Registriert: Jan 2006
Wireshark drauf und im "Leerlauf" Traffic loggen. Oder sowas wie Netmon ( http://technet.microsoft.com/en-gb/sysi ... fault.aspx ). Vielleicht reicht Netstat ja auch schon.
Und um Himmelswillen, sobald du die betreffenden PCs identifiziert hast, fang nicht mit Virenscannern etc an, sondern sichere die Daten, formatiere und installiere von sauberen Medien.
Und um Himmelswillen, sobald du die betreffenden PCs identifiziert hast, fang nicht mit Virenscannern etc an, sondern sichere die Daten, formatiere und installiere von sauberen Medien.
http://www.quaddicted.com <- 1000 Quake Singleplayer Maps
-
wescht
- Bitterman
- Beiträge: 155
- Registriert: Feb 2003
danke!Original geschrieben von Spirit|argh
Wireshark drauf und im "Leerlauf" Traffic loggen. Oder sowas wie Netmon ( http://technet.microsoft.com/en-gb/sysi ... fault.aspx ). Vielleicht reicht Netstat ja auch schon.
Und um Himmelswillen, sobald du die betreffenden PCs identifiziert hast, fang nicht mit Virenscannern etc an, sondern sichere die Daten, formatiere und installiere von sauberen Medien.
ich hab den switch dazu überreden können, alle daten auf einen port zu "mirroren", dort dann wireshark installiert, und jetzt lass ich mal laufen ... ich filtere alle smtp-daten, die nicht über unseren mailserver laufen (Regel: "!(ip.addr == MAILSERVERIP) and smtp")
ja, ich weiss was ich zu tun habe, wenn ich den schuldigen habe ... nur das identifizieren ist so schwierig. Es hängen auch noch andere switches im netz, die nicht managable sind, und mir somit das abhören erschwert haben - aber jetzt gehts, glaub ich
@Zeyall
am Anfang waren 3 Windows-Computer zu warten, jetzt nach 2 Jahren ist die Firma ordentlich gewachsen, und ich bin immer noch da
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab