Virus, Mailbombe oder wie auch immer

  • Moin, ich habe bei einem Kundenserver ein interessantes Phänomän.
    Ist ein Server 2008 mit David FX12 in der aktuellsten Version. Seit Donnerstag versendet der Server permanent Spammails.
    Wenn man den Postman Dienst beendet hört es auf, klar.
    Div. Virusscans mit online und offline Scannern brachten keinerlei Befund.
    Selbst wenn der Server vom Netzwerk getrennt wird produziert er fleißig weiter mails.
    Open Relay und ein anderer PC im Netzwerk kann als Verursacher ausgeschlossen werden.
    Es wird ein Benutzer mit einem Senkrechten Strich als Benutzername erzeugt, ein entsprechendes User Verzeichnis wird abenfalls angelegt. Im Out Ordner entstehen dann auch die mails.
    Wenn man den Benutzer und den Benutzerordner löscht wird sofort wieder ein neuer erzeugt, wenn man den Postman anhält wird der Benutzer erst wieder erstellt wenn der Postman gestartet ist.

    Hat jemand so etwas schon einmal gehabt und/oder eine Idee wie man die Quelle des übels identifizieren und unschädlich machen kann ?

  • ich würde zum testen erstmal sämtliche smtp relay funktionen abschalten um sicher zu gehen dass die mails nicht von extern per smtp eingeliefert und weiter geschickt werden.
    wenn es dann aufhört sollte eigentlich auch im postman log ersichtlich sein mit welchen login daten das vorher passiert ist.

  • Wenn die Mails sich noch bei getrenntem Netzwerk generieren dann liegen doch noch "ewig" unversendete aber gecachte Aufträge vor
    es kann doch nur ein Open Relay sein.

    Das Netzwerk trennen, die Mails solange generieren lassen und wieder im Transit löschen bis er Ruhe gibt, den Open >Relay beseitigen

    oder die TEMPORÄREN Dateien eliminieren nach Knowledgebase.

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • Danke für die Tips.
    Habe Q-100.232 durchgeführt und den SMTP Port geändert. Im Moment ist Ruhe, Server läuft.
    Ich warte mal etwas ab ob der Zustand stabil bleibt.
    Würde mich trotzdem interessieren wie das bei abgeschaltetem Relay (Weiterleiten) und Firewall passieren konnte ???

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!