TS-439 Pro II+ versendet SPAM Mails

    Naja... Wohl eher: Wenn die Leute ihre Virenscanner auch in Betrieb nehmen würden, statt sie nur nebenher mitschlafen zu lassen...


    Die Art der SPAM-Mails ist einfach zu definieren. Es ist eine Mail mit der Absenderkennung USPS to * (United States Postal Service), die eine kleine zip-Datei mitverschickt, deren Inhalt ich selber leider nicht zu Gesicht bekommen habe. Ich habe lediglich einen wütenden Provider am Telefon gehabt, der sich (zu recht) über "etliche hundert Seiten" Log aufgeregt hat... Die entsprechende Datei habe ich auf meinem NAS leider auch nicht finden können.


    Die Fehlermails des NAS habe ich ja immer brav bekommen. (z.B. das Platte 2 einen Lesefehler hat und ich sie austauschen muß). :engel:

    Zitat von "GreyAngel"

    eine kleine zip-Datei mitverschickt, deren Inhalt ich selber leider nicht zu Gesicht bekommen habe.


    Deren Inhalt ist 100% nichts anderes als weitere malware.
    Schade das du das Teil nicht hast. Hätte ich gerne mal in einer virtuellen Umgebung analysiert.


    Michael

    Also ich kann dir eigentlich nur empfehlen, dich mit deinem Problem mal an http://www.trojaner-board.de/ zu wenden. Dort bekommst du recht professionelle Hilfe. Wenn man dort mal ne Weile mitgelesen hat, stellt man fest, das auch ein Scan mit mehreren AV-Programmen ohne Fund noch keine Garantie ist, sich nichts eingefangen zu haben. Vor allem, wenn sich etwas merkwürdiges vorher ereignet hatte. Mach aber nichts eigenmächtiges mit den dortigen Tools, sondern lass dich durch den Prozess führen. ;)

    Und eine Rückmeldung bei irgendeiner Erleuchtung ..... :engel: wäre auch nett. Der "Vorgang" ist schon interessant.


    Gruss
    Michael

    Hi,


    wenn GreyAngel das Webroot gelöscht hat und nur die Aktivierung des Apache reicht, um wieder Dateien darin zu finden, dann kann man wohl einen infizierten Client ausschließen.
    Ich denke mal wir warten, bis er alle notwendigen Sicherungen durchgeführt hat.
    Dann evtl. den Apache wieder starten, nur mit geänderten Einstellungen in der Benachrichtigungsoption.
    Erstmal die Portweiterleitung deaktivieren, um zu sehen, ob das von Innen kommt (rootkid), das nacheinander 80 dann 21.


    Ich will ja den Teufel nicht an die Wand malen, aber evtl. handelt es sich ja um ein NAS oder QNAP spezifisches Problem.
    Hat man es jetzt auf die unbedarften NAS-User abgesehen, die einen Zugang von außen gestatten? Ist gut möglich, da es immer schwieriger wird einen aktuellen Linux-Server im Rechenzentrum zu knacken.


    Ein Portscan verrät schon einiges.

    *gähn* Lange Nachtschicht...


    Die DaSi's laufen im Endspurt und ich habe am Freitag meine nagelneue System-SSD für den Arbeitsrechner bekommen.


    Diese habe ich gestern noch eingebaut und meinen Rechner von der Original-DVD komplett neu installiert. Damit müsste der Verdacht eines infizierten Rechners (egal wieviele AV-Scans) jetzt auch erledigt sein. :)


    Ich halte Euch auf dem Laufenden, wenn ich mit der Arbeit weiterkomme. :)


    LG, Marco