Spam Problem, dringende Hilfe

  • Hallo zusammen,
    ich habe seit heute ein Spam Problem, mein Provider hat mich informiert das das Konto über das ich aus David global versende Spam erzeugt.Im
    David Transit Ordner sind tausende Rundsendungen.
    Ich habe sofort die SMTP Weiterleitung geprüft und deaktiviert, auch das Popkonto für den globalen Versdand habe ich die Logindaten geändert.
    Sobald ich den Servicelayer neu starte, beginnen wieder Rundsendungen zu erscheinen.
    Die Datei "David.job" habe ich bereits mal gelöscht dann ist der Ordner leer, aber es biginnt von vorn ?
    Was kann ich hier nun machen, ein Virenscan auf dem Server war ohne Erfolg ?
    Benötige dringend Hilfe

  • Hallo wchristian,

    na da ist Weihnachten ja gerettet... :wacko:

    Webbox aktiv?
    Default www-Seite aktiv?
    Gästebuch aktiv?
    Sind dort viele neue Einträge drin?
    Bekanntermaßen lässt sich das Default-Gästebuch als Spamschleuder mißbrauchen.

    Poste doch mal eine der Spammails und pack gleich den SMTP-Header dazu.
    Vielleicht kommt man dann an die Ursache ran.

    Happy christmas.
    ewpcko

  • Ja genau Weihnachten ist gerettet und die ganze Family sitzt drausen.
    Webox ist aktiv auf 8080
    Default Webseite, denke Du meinst die Intranetseite von Tobit, dann ja
    Gestebuch auch sind 0 Einträge drin
    Ich habe die SMTP weiterleitung komplett abgeschaltet
    Habe bereits den Webboxdienst deaktiviert
    Habe bereits den Mailacessdienst deaktiviert
    sogar die Routerports habe ich alle wieder dicht gemacht 8080 für die Webbox und 143, für den Imapzugriff auf ein Archiv, Carddav und Caldav dürften nicht das Problem sein und 25 für die SMTP Weiterleitung
    Bisher hat nichts geholfen!
    So aus dem Transitordner eine Mail:

    Einmal editiert, zuletzt von wchristian (24. Dezember 2011 um 16:17)

  • Hallo,

    ich habe noch folgendes probiert

    "Hallo, bitte deaktivieren Sie im Postman die Weiterleitung, sichern Sie das Verzeichnis WWW unterhalb von \David\Archive\ aus einer Datensicherung, die vor dem ersten Auftreten dieses Verhaltens entstanden ist, zurück und verschieben Sie bei beendetem David Dienst Service Layer den Inhalt des Verzeichnisses \David\Apps\FaxWare\Out\Api\. Benennen Sie bitte außerdem die Datei David.job im Verzeichnis \David\Code\ um"


    In diesem Verzeichniss lagen auch verdammt viele Mails auch der Inhalt der Dateien passt, war nur Müll.

    Allerdings nach starten des Servicelayers kommen wieder lauter Rundsendungen die zum Versand sind. Allerdings kann ich diese über das TIC nicht mehr sehen. Das werden wieder als mehr !


    Hat keiner einen Rat ?

  • Der Spam wurde scheinbar über die Postman Weiterleitung verschickt. Hattest du dort ohne Einschränkung aktiviert?

    Aber wie auch immer. Die Aufträge stehen noch im der David.job in code Ordner. Die löschen, das müsste schon reichen. Ansonsten noch faxware\out\api leer machen.

  • Hallo,
    ja genau, die SMTP Weiterleitung war versehentlich ohne Beschränkung.
    Die David.job Datei hatte ich bereits gelöscht, hatte am Anfang nichts geholfen.

    Ich habe den Inhalt des Ordners "faxware\out\api" gelöscht. Zusätzlich alle Dateien im Ordner Archive\Users\000000\out
    In diesen Ordnern waren eine Masse an Dateien.
    Weiterhin die Datei \David\Tld\Port\Extra\Postman.job

    Dennoch kommen nach Starten des ServiceLayers wieder Rundsendungen unter Protokolle/transit !
    Aber wesetnlich weniger, und langsam nach ein ander, aber mit einem alten TimeStamp der aufsteigend ist (von Heute Nachmittag 14.30.Uhr)

    2 Mal editiert, zuletzt von wchristian (25. Dezember 2011 um 03:13)

  • Wenn das Spam Problem gelöst ist, teste Eure IP auf Blacklists, sonst habt Ihr Probleme beim weiteren Mailversand


    EDIT

    habe gerade die IP getestet, ihr seit auf 3 Listen

    Gruß
    anno

  • Hallo, nein das Problem ist irgendwie noch nicht erledigt

    "Dennoch kommen nach Starten des ServiceLayers wieder Rundsendungen unter Protokolle/Transit !
    Aber wesetnlich weniger, und langsam nacheinander, aber mit einem alten TimeStamp der aufsteigend ist (von 24.12. Nachmittag 14.30.Uhr)"
    anscheinend ca. alle Stunde Stunde immer wieder 5 Stück

  • wie oben geschrieben kamen Sie alle immer wieder,
    jetzt kommen nach dem löschen nach ca. 1 Std immer wieder 5 neue dazu, also nihct mehr wie zu Anfang hunderte. Aber ich frag mich woher jetzt noch

  • Cheers @all on 25th of Dec,
    hallo wchristian,

    das riecht sehr nach einem infizierten System. Da wird Spybot nicht ausreichen. Schon gar nicht, im laufenden System das zu durchscannen.

    Probier mal dieses "http://support.kaspersky.com/de/viruses/rescuedisk?level=2"
    Mit ImgBurn das Image auf eine CD brennen, Server von der CD booten, System durchscannen.
    Muss aber nicht von K sein, die anderen Hersteller bieten da auch Lösungen.

    Es muss übrigens nicht zwingend der Server sein, der infiziert ist. Du solltest alle angeschlossenen Geräte prüfen, ggfs. auch Smartphones etc.

    Die Änderung eines Kennwortes ist dann auch nicht mehr der Bringer - wird dann gleich wieder vereinnahmt.

    Außerdem musst Du klären, wie das passieren konnte. Das mit dem offenen Relay war da nur eine nette Hilfestellung, aber nicht die Ursache.

    CU

  • mh,
    ich hatte jetzt noch unter /Apps/Faxware/Resource/Data/ > .$RS
    Dateien gefunden, diese haben auch mit Namen von den Rundsendungen in Transit gepasst, hier waren 29.000 Dateien drin.
    Hab die alle gelöscht. Allerdings kommen nacheiner Stunde wieder 5 Rundsendeaufträge.

    Die Iphone etc. können es eigentlich jetzt erst mal nicht sein, die haben definitiv von ausen keinen Zugriff mehr!
    Zur Zeit ist kein Client im Haus aktiv !
    Also doch der Server

    2 Mal editiert, zuletzt von wchristian (25. Dezember 2011 um 20:07)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!