Hallo zusammen,
ich habe seit heute ein Spam Problem, mein Provider hat mich informiert das das Konto über das ich aus David global versende Spam erzeugt.Im
David Transit Ordner sind tausende Rundsendungen.
Ich habe sofort die SMTP Weiterleitung geprüft und deaktiviert, auch das Popkonto für den globalen Versdand habe ich die Logindaten geändert.
Sobald ich den Servicelayer neu starte, beginnen wieder Rundsendungen zu erscheinen.
Die Datei "David.job" habe ich bereits mal gelöscht dann ist der Ordner leer, aber es biginnt von vorn ?
Was kann ich hier nun machen, ein Virenscan auf dem Server war ohne Erfolg ?
Benötige dringend Hilfe
Spam Problem, dringende Hilfe
-
-
Hallo wchristian,
na da ist Weihnachten ja gerettet... :wacko:
Webbox aktiv?
Default www-Seite aktiv?
Gästebuch aktiv?
Sind dort viele neue Einträge drin?
Bekanntermaßen lässt sich das Default-Gästebuch als Spamschleuder mißbrauchen.Poste doch mal eine der Spammails und pack gleich den SMTP-Header dazu.
Vielleicht kommt man dann an die Ursache ran.Happy christmas.
ewpcko -
Ja genau Weihnachten ist gerettet und die ganze Family sitzt drausen.
Webox ist aktiv auf 8080
Default Webseite, denke Du meinst die Intranetseite von Tobit, dann ja
Gestebuch auch sind 0 Einträge drin
Ich habe die SMTP weiterleitung komplett abgeschaltet
Habe bereits den Webboxdienst deaktiviert
Habe bereits den Mailacessdienst deaktiviert
sogar die Routerports habe ich alle wieder dicht gemacht 8080 für die Webbox und 143, für den Imapzugriff auf ein Archiv, Carddav und Caldav dürften nicht das Problem sein und 25 für die SMTP Weiterleitung
Bisher hat nichts geholfen!
So aus dem Transitordner eine Mail:Code
Alles anzeigenX-DvISE-ForwardJob: Try count: 1, FirstTry: Sat, 24 Dec 2011 01:01:53 +0100 Received: from 190-202-119-211.genericrev.cantv.net [190.202.119.211] by 192.168.100.1 with David.fx (0355.4648484847464A4C4B4E); 24 Dec 2011 00:01:51 UT Received: from jmjmeauvx.gmail.com (kpcpiiy67.yahoo.com.tw [99.159.51.194:1080]) by 190.202.119.211 with SMTP id nuegtrcmegqk; Tue, 03 Jan 2012 06:56:20 -0500 From: "óióióióióióióióióiói®-`+-½~¦N¼O¡nñúñ@+-ñ~»S.ºO" Reply-To: "Deanne Petersen" Subject: ®-+-½~ñjñ²'¦ðºA½þ+=-¿+¿³ñHÑ- To: gt0041@yahoo.com.tw Message-ID: <89646.915f7i6a28595942x> X-Mailer: The Bat! (v1.52f) Business Date: Tue, 03 Jan 2012 04:57:20 -0700 Organization: The Bat! (v1.52f) Business Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="=_NextPart_989_o6o4_fusqpsw1.5qmano5s"This is a multi-part message in MIME format.--=_NextPart_989_o6o4_fusqpsw1.5qmano5s Content-Type: text/plain; charset="big5" Content-Transfer-Encoding: quoted-printable Content-Disposition: inlinebuzzard related to self-flagellates, and fighter pilot of returns home; however, oil filter from sanitize..When you see tomato beyond, it means that avocado pit living with goes to sleep.He called her Deanne (or was it Deanne?).--=_NextPart_989_o6o4_fusqpsw1.5qmano5s Content-Type: text/html; charset="big5" Content-Transfer-Encoding: quoted-printable Content-Disposition: inline fgttxlsjxikjzqrw =AA=FC=AEQ=AB=C2=A9=CA=C3=C4=A9~.=B5= M=B6R=B6V=A6h-=B0e=B6V=A6h 9sonba=A9=CA=C3=C4=C5=FD.=A7A=B8=F3= =A6~=A9]-=AF=A5=A5X=A6W --=_NextPart_989_o6o4_fusqpsw1.5qmano5s-- .
-
Hallo,
ich habe noch folgendes probiert
"Hallo, bitte deaktivieren Sie im Postman die Weiterleitung, sichern Sie das Verzeichnis WWW unterhalb von \David\Archive\ aus einer Datensicherung, die vor dem ersten Auftreten dieses Verhaltens entstanden ist, zurück und verschieben Sie bei beendetem David Dienst Service Layer den Inhalt des Verzeichnisses \David\Apps\FaxWare\Out\Api\. Benennen Sie bitte außerdem die Datei David.job im Verzeichnis \David\Code\ um"
In diesem Verzeichniss lagen auch verdammt viele Mails auch der Inhalt der Dateien passt, war nur Müll.
Allerdings nach starten des Servicelayers kommen wieder lauter Rundsendungen die zum Versand sind. Allerdings kann ich diese über das TIC nicht mehr sehen. Das werden wieder als mehr !
Hat keiner einen Rat ?
-
Der Spam wurde scheinbar über die Postman Weiterleitung verschickt. Hattest du dort ohne Einschränkung aktiviert?
Aber wie auch immer. Die Aufträge stehen noch im der David.job in code Ordner. Die löschen, das müsste schon reichen. Ansonsten noch faxware\out\api leer machen.
-
Hallo,
ja genau, die SMTP Weiterleitung war versehentlich ohne Beschränkung.
Die David.job Datei hatte ich bereits gelöscht, hatte am Anfang nichts geholfen.Ich habe den Inhalt des Ordners "faxware\out\api" gelöscht. Zusätzlich alle Dateien im Ordner Archive\Users\000000\out
In diesen Ordnern waren eine Masse an Dateien.
Weiterhin die Datei \David\Tld\Port\Extra\Postman.jobDennoch kommen nach Starten des ServiceLayers wieder Rundsendungen unter Protokolle/transit !
Aber wesetnlich weniger, und langsam nach ein ander, aber mit einem alten TimeStamp der aufsteigend ist (von Heute Nachmittag 14.30.Uhr) -
Wenn das Spam Problem gelöst ist, teste Eure IP auf Blacklists, sonst habt Ihr Probleme beim weiteren Mailversand
EDIT
habe gerade die IP getestet, ihr seit auf 3 Listen
-
Hallo, nein das Problem ist irgendwie noch nicht erledigt
"Dennoch kommen nach Starten des ServiceLayers wieder Rundsendungen unter Protokolle/Transit !
Aber wesetnlich weniger, und langsam nacheinander, aber mit einem alten TimeStamp der aufsteigend ist (von 24.12. Nachmittag 14.30.Uhr)"
anscheinend ca. alle Stunde Stunde immer wieder 5 Stück -
Hi, sind im Admin in Protokolle unter Aufträge was drin ?
-
Hi,
ja im Admin unter Protokolle & Infos > Transit
sind wieder Rundesednungen 10 Stück an je ca 30 Empfänger -
und wenn du alles löscht kommen die immer wieder ?
-
wie oben geschrieben kamen Sie alle immer wieder,
jetzt kommen nach dem löschen nach ca. 1 Std immer wieder 5 neue dazu, also nihct mehr wie zu Anfang hunderte. Aber ich frag mich woher jetzt nochZitatja genau, die SMTP Weiterleitung war versehentlich ohne Beschränkung.
Die David.job Datei hatte ich bereits gelöscht, hatte am Anfang nichts geholfen.
Ich habe den Inhalt des Ordners "faxware\out\api" gelöscht. Zusätzlich alle Dateien im Ordner Archive\Users\000000\out
In diesen Ordnern waren eine Masse an Dateien.
Weiterhin die Datei \David\Tld\Port\Extra\Postman.job
Dennoch kommen nach Starten des ServiceLayers wieder Rundsendungen unter Protokolle/transit !
Aber wesetnlich weniger, und langsam nach ein ander, aber mit einem alten TimeStamp der aufsteigend ist -
Das ist sehr merkwürdig, gute Frage, wo kommen die jetzt noch her ?
-
DIe können nur aus dem dvgrab/in, /out/api, /postman/in oder der david.job kommen. Sl beenden und die Ordner/dateien bereinigen und nur den SL starten und nochmal prüfen.
-
Hallo,
in den angegebenen Ordnern sind keine Dateien vorhanden! Und die Datei david.job habe ich nochmals geleert. SL wieder gestartet
Also da muß noch wo anders her was kommen ? -
Evtl. ist der PC in ein Botnetz gezogen worden, check in mal auf Adware, Malware usw.
Ich nutze immer Spybot, Stinger und Malwarebytes -
SpyBot findet auf dem Server nichts
-
Cheers @all on 25th of Dec,
hallo wchristian,das riecht sehr nach einem infizierten System. Da wird Spybot nicht ausreichen. Schon gar nicht, im laufenden System das zu durchscannen.
Probier mal dieses "http://support.kaspersky.com/de/viruses/rescuedisk?level=2"
Mit ImgBurn das Image auf eine CD brennen, Server von der CD booten, System durchscannen.
Muss aber nicht von K sein, die anderen Hersteller bieten da auch Lösungen.Es muss übrigens nicht zwingend der Server sein, der infiziert ist. Du solltest alle angeschlossenen Geräte prüfen, ggfs. auch Smartphones etc.
Die Änderung eines Kennwortes ist dann auch nicht mehr der Bringer - wird dann gleich wieder vereinnahmt.
Außerdem musst Du klären, wie das passieren konnte. Das mit dem offenen Relay war da nur eine nette Hilfestellung, aber nicht die Ursache.
CU
-
mh,
ich hatte jetzt noch unter /Apps/Faxware/Resource/Data/ > .$RS
Dateien gefunden, diese haben auch mit Namen von den Rundsendungen in Transit gepasst, hier waren 29.000 Dateien drin.
Hab die alle gelöscht. Allerdings kommen nacheiner Stunde wieder 5 Rundsendeaufträge.Die Iphone etc. können es eigentlich jetzt erst mal nicht sein, die haben definitiv von ausen keinen Zugriff mehr!
Zur Zeit ist kein Client im Haus aktiv !
Also doch der Server
Jetzt mitmachen!
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!