planetquake.eu

Ich arbeite u.A. als Netzwerkadmin in einer PR-Firma. Die verdient ihr Geld u.A. damit, Newsletters zu verschicken. Seit einiger Zeit haben wir ein Problem: wir landen immer wieder auf Spam-Blacklists, d.h. unsere Newsletter werden als Spam markiert.

Einige Computer waren schwer virenverseucht. Jetzt habe ich auf allem PCs Virenscanner installiert, und lasse unregelmäßig hijackthis und mbam (http://www.malwarebytes.org/mbam.php) durchlaufen. Danach habe ich die IP vom Provider geändert (wir haben 4 IPs - fragt mich nicht warum), indem ich sie einfach am Router geändert habe.

Nun ist die "neue" IP wieder auf einer Blacklist; für mich gibt es jetzt 2 Möglichkeiten:
- entweder verschicken wir tatsächlich Spam durch unsere Newsletter, d.h. in die Newsletter-Verteiler-Listen ist eine honeypot-adresse.
- oder ein rechner hat einen trojaner.

mittlerweile glaube ich zu wissen, dass möglichkeit 2 (trojaner) nicht unwahrscheinlich ist (habe auf honeypot-seiten konkrete hinweise gefunden).

wie kann ich feststellen, welcher rechner die mails verschickt? gibt es irgendwelche netzwerktools, die mir die arbeit vereinfachen?

Als Netzwerkadmin solltest du das schon wissen .
Unter Unix/Linux gibt es einige Log scripts.

nuja. die hauptverdächtigen sind wie anzunehmen windows-pc, im netzwerk hängen auch noch linux-pcs.
es gibt noch einen managed switch und einen router, beide haben einen log, aber da steht nur schmarrn drinn (client a ist online / offline).
meinst du, den switch alle ports auf den linux-pc mirroren lassen, d.h. alle daten zusätzlich an den linux-pc schicken, und die daten dann zu analysieren?

kannst du nicht auch schreiben, welche scripts du schon verwendet hast? ich weiss schon dass es was gibt, aber was?

Sind Mails die nach aussen gehen Geschäftsschreiben, daraus folgt dass man diese archiviert werden müssen.

Guck also doch mal bei euren Archiv nach.

Ich weiß nicht welchen Server ihr nutzt, wir haben da IBM Lotus Notes Client/Server + IBM CommonStore und IBM Content Manager sowie IBM E-Mail Search.

Prinzipiell wäre es aber ne Möglichkeit einen Unix/Linux Rechner als Router laufen zu lassen um dort zu loggen. Wenn ich auf der arbeit bin guck ich eben mal in meiner Skriptbase... ich meine ich hatte da was eigenes.

Wieviele Windows rechner sind es denn?

hehe ... nein so einfach ist das nicht.

die mails werden ja nicht über einen regulären account verschickt - das wär ja zu einfach.
die trojaner verschicken vermutlich "von selbst" mails (d.h. fungieren entweder selbst als mailserver, oder verwenden andere "zombies"), mit gefälschtem absender. im mailprogramm ist da logischerweise nichts.

es sind 12 Rechner, auf denen Windows läuft (und die damit alle in frage kommen)

ja und? Irgendwo müssen die doch durch. Lass die Rechner doch mal nach dem Feierabend durchlaufen und guck am nächsten Tag wer böses gemacht hat.

ja soweit war ich auch schon. aber wie?
es geht "durch" den switch und den router, mehr fällt mir nicht ein.
der router hat "nur" eine firewall, bzw. die logfunktion ist unzureichend.
mal schnell einen linux-rechner als router einzurichten fällt aus platz- und verfügbarkeitsgründen flach (hab sowas noch nie gemacht und kann einen ausfall nicht riskieren)

Wireshark drauf und im "Leerlauf" Traffic loggen. Oder sowas wie Netmon ( http://technet.microsoft.com/en-gb/sysi ... fault.aspx ). Vielleicht reicht Netstat ja auch schon.

Und um Himmelswillen, sobald du die betreffenden PCs identifiziert hast, fang nicht mit Virenscannern etc an, sondern sichere die Daten, formatiere und installiere von sauberen Medien.

ohne dich angreifen zu wollen, aber du bist wirklich netzwerkadmin? ihr solltet wohl eher jemand zu rate ziehen, der auch erfahrung damit hat.

Original geschrieben von Spirit|argh
Wireshark drauf und im "Leerlauf" Traffic loggen. Oder sowas wie Netmon ( http://technet.microsoft.com/en-gb/sysi ... fault.aspx ). Vielleicht reicht Netstat ja auch schon.

Und um Himmelswillen, sobald du die betreffenden PCs identifiziert hast, fang nicht mit Virenscannern etc an, sondern sichere die Daten, formatiere und installiere von sauberen Medien.

danke!
ich hab den switch dazu überreden können, alle daten auf einen port zu "mirroren", dort dann wireshark installiert, und jetzt lass ich mal laufen ... ich filtere alle smtp-daten, die nicht über unseren mailserver laufen (Regel: "!(ip.addr == MAILSERVERIP) and smtp")

ja, ich weiss was ich zu tun habe, wenn ich den schuldigen habe ... nur das identifizieren ist so schwierig. Es hängen auch noch andere switches im netz, die nicht managable sind, und mir somit das abhören erschwert haben - aber jetzt gehts, glaub ich

@Zeyall
am Anfang waren 3 Windows-Computer zu warten, jetzt nach 2 Jahren ist die Firma ordentlich gewachsen, und ich bin immer noch da