eMail-Spambot verschickt mails / Hergang

#1 Hallo zusammen.

Mir ist heute nacht zum ersten mal in meinem Leben ein Sicherheitsproblem direkt begegnet und ich bin trotzdem ein wenig ratlos, weil ich mir den Hergang nicht ganz erklären kann und daher nicht so recht entschlossen bin, den nächsten Schritt zu planen. Zum Sachverhalt:
Meine eMail Addresse inkl. Postausgangsserver wurde wohl gestern abend ab ~21Uhr von einem Spambot missbraucht um über 3 Stunden lang Spamnachrichten zu verschicken.

Diese eMail Addresse ist eine eigene, von eigener Domain und Webspace (Hoster allinkl.com) ausgehende Addresse, die ich seit langer Zeit nutze und die durch gewisse Seitenhacks wohl auch auf wenigen Spamlisten gelandet ist (primär bekam ich fishingmails zu irgendwelchen Spielen, die ich gar nicht besitze etc) und ich pro Tag zwischen 1-3 Spamnachrichten bekam. Auch war diese eMail die Hauptaddresse wenn ich mich in Foren angemeldet habe - kurz: Sie war trotz Eigendomain nicht "unbekannt". Sie hatte ein schwaches Passwort (6 Zeichen kleinbuchstaben, vorname).

Seit Jahren schiebe ich im Grunde auch eine etwas ältere Thunderbird Version von Neuinstallation zu Neuinstallation mit mir herum, um mir die Neueinrichtung meiner 6 eMail Konten, die im Thunderbird einkonfiguriert waren zu erpsaren. Sprich ich habe auf meinem PC selbst nie ein Passwort eingegeben und immer Thunderbird zum Abrufen benutzt, von welchem ich bisher annahm, dass die Passwörter verschlüsselt gespeichert sind bzw. erst mal "ausreichend" sicher.

Nun hat allinkl gottseidank schnell gehandelt und das Passwort geändert und mir eine Mitteilung geschickt, dass die Addresse inkl. SMTP missbraucht wurde und ich meinen Computer auf Schädlinge scannen soll und das habe ich auch direkt getan, mit dem aktuellen Microsoft Essentials, was das Standardprogramm ist. Von einer 2. Festplatte aus auch von einer anderen Windowspartition mit McAfee Sting gescant doch überall bekomme ich grünes Licht, was ja erst mal nichts positives bedeuten muss. Diverse onlinescaner sind ebenfalls nicht angeschlagen.

Nun weiß ich nicht genau, wie Schädlinge arbeiten, doch mein Bauchgefühl lässt mich nachwievor anzweifeln, dass mein System infiziert ist. Ich halte es für wahrscheinlich, dass es einfach ein Heuschreckenschwarm war, der Spamlisten abgearbeitet hat und von außen das schwache Passwort eben geknackt hat und dem SMTP zufällig mit smtp.domain korrekt ausgewählt hat. Aber auch hier habe ich keine Ahnung, ob das überhaupt Gang und Gebe ist bzw. es solche "Heuschrecken" gibt. Ich würde gerne wissen, welche Methoden von den Spambot Frankensteins üblich sind, wie hoch ist die Wahrscheinlichkeit, dass mein System infiziert ist und was wird da genau infiziert (primär Windows & Partition oder Thunderbird direkt?) wenn man von den üblichen Methoden ausgeht?

Ich habe eine große Menge an Daten auf über 6 Festplatten gespeichert und muss mich nun entscheiden ob und wie ich vorgehe. Ein Neuaufsetzen von Windows ist gewiss erst mal nicht problematisch, doch habe ich generell viele Nutzerdaten die ich gerne wieder kopieren würde und es hat gewiss keinen Sinn, wenn diese infiziert wären. Auch die Datenfestplatten machen mir Sorgen - auch wenn das eigentlich nur Datengräber sind laufen die unabhängig von der OS Partition und auch nach einer Neuinstallation bleiben die generell eigenlich unangetastet weil sie sonst ihren Sinn verlieren. Ich bin aktuell unsicher wie ich nun vorgehe, weil eine Überreaktion vermutlich annähernd genauso schadet wie eine Unterreaktion.

Eventuell kann mir jemand Einblick gewähren, die das ganze funktioniert, damit ich rekonstruieren kann was nun vermutlich passiert ist mit der eMail Addresse und daraus ableiten kann, wie ich nun vorgehe.

edit: Ich habe mal über Linux und Webmail eine Returnmail aufgemacht um nach dem Inhalt zu schauen:

Zitat

This is an automatically generated Delivery Status Notification.

The original message was received at Wed, 10 Jul 2013 22:20:42 +0200
from gollum.link.net.id

I'm sorry to inform you that the message you have sent
could not be delivered to one or more destinations.

----- The following addresses had permanent delivery errors -----
: (unrecoverable error)

----- Transcript of session follows -----
mail.local: unknown name: elektra17
550 : User unknown in virtual mailbox table

#2

Zitat

Ich habe eine große Menge an Daten auf über 6 Festplatten gespeichert

Da ist eh die Frage ob diese große Menge noch intakt ist, sowas macht man doch redundant...

Zitat

edit: Ich habe mal über Linux und Webmail eine Returnmail aufgemacht um nach dem Inhalt zu schauen:

Heißt nicht viel, ein Spambot täuscht deine E-Mail vor (dafür muss man nicht den Mailserver kompromitieren)
und du bekommst nun die return mail vom remote MTA.

So wie ich das aber sehe kannst du da rein nix dran machen, wenn irgendwie dein Adressbuch geleakt ist oder
deine E-Mail jetzt von irgendwelchem Spam Bots missbraucht wird - außer halt Mail+Domain wechseln.
Den MTA administrierst du aber nicht selbst oder?
Vielleicht liegt es dann auch an deinem Provider der die Domain/den MTA nicht entsprechend sicher konfiguriert hat
(in Zeiten von SPF oder DKIM).

Magst du mir mal die Domain verraten (von mir aus private message)?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Hallo, die Domain ist shinracorp.de
Ich buche bei allinkl diesen Webspace http://all-inkl.com/webhosting/privat/

Sprich, ich habe selbst keinen direkten Zugang zum Server.

Ich habe eigentlich sogut wie keine eMails verschickt - eventuell 1-2 / monat und auch nur 2 Addressen in der Liste.
Das erstaunliche ist eben, dass es auch nur diese eine Addresse erwischt hat von über 12 die existieren (gleiche Domain / Hoster) und von denen 6 jedes mal gleichzeitig mit genannter abgerufen worden sind (Thunderbird).

Aufgefallen ist allinkl das gestern wohl nach einem Serverneustart. Ich weiß leider nicht, ob die irgend welche Probleme hatten und das nun "abschieben", was gewiss für meinen Rechner das einfachste und wünschenswerteste wäre. Die eMail Addressen als auch der Webspace als auch Domain sind im Grunde nur privater Spielgrund und die einizige wirklich aktive Seite (index habe ich heute bewusst erst mal entfernt) wird nur von einer kleinen Gruppe von 5 Personen aktiv besucht / genutzt.

#4 Schade die Domain scheint keinen validen DKIM oder SPF Eintrag zu enthalten,
wie wäre es wenn du mal deinen Provider danach fragst.
Ansonsten ist es jetzt natürlich nicht wirklich das Problem des Providers das deine E-Mail (+ Domain) nun für SPAM genutzt wird...

Zitat

; <<>> DiG 9.8.4-P1 <<>> -t SPF shinracorp.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32065
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;shinracorp.de. IN SPF

;; AUTHORITY SECTION:
shinracorp.de. 3600 IN SOA ns3.kasserver.com. root.kasserver.com. 2008083009 28800 7200 604800 7200

__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Das hört sich gewiss nicht positiv an, aber im Grunde hätte ich kein Problem damit die Domain schlicht weg zu kündigen.
Mir geht es primär erst mal darum, herauszufinden wie es dazu gekommen ist oder zumindest die Möglichkeiten mal zu greifen damit ich lokal erst mal alles wieder ins Reine bringen kann.

Ich werde allinkl trotz dem noch mal anschreiben und nachfragen, die was die nun empfehlen bzgl. der Domain.

#6

Zitat

Mir geht es primär erst mal darum, herauszufinden wie es dazu gekommen ist oder zumindest die Möglichkeiten mal zu greifen damit ich lokal erst mal alles wieder ins Reine bringen kann.

Das ist schwer zu sagen, theoretisch gesehen muss das gar nicht bei dir passiert sein,
es kann auch bei jemanden anderes passiert sein - quasi Adressbuch hack oder ähnliches.
Wenn deine E-Mail Adresse publik ist und nun in irgendwelchem Spam-Listen auftaucht, jeder Bot kann die als
"From:"-Adresse eintragen, da gibt es kein technisches Hindernis.
Es liegt an den Mailservern dies durch versch. Authentifizierungsmechanismen (wie oben erwähnt) zu validieren.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7

Zitat

Xeper postete

Zitat

Mir geht es primär erst mal darum, herauszufinden wie es dazu gekommen ist oder zumindest die Möglichkeiten mal zu greifen damit ich lokal erst mal alles wieder ins Reine bringen kann.

Das ist schwer zu sagen, theoretisch gesehen muss das gar nicht bei dir passiert sein,
es kann auch bei jemanden anderes passiert sein - quasi Adressbuch hack oder ähnliches.
Wenn deine E-Mail Adresse publik ist und nun in irgendwelchem Spam-Listen auftaucht, jeder Bot kann die als
"From:"-Adresse eintragen, da gibt es kein technisches Hindernis.
Es liegt an den Mailservern dies durch versch. Authentifizierungsmechanismen (wie oben erwähnt) zu validieren.

An sowas dachte ich. Das ist meine Uni-Mail Addresse die bei vielen Dozenten/Kommilitonen im Verteiler sein dürfte als auch eben durch diverse Seitenhacks (mein Neckermannkonto mit Prof.Dr. Titel, der versehentlich mal eingegeben worden ist und seitdem bei denen nicht mehr zu streichen war, taucht immer mal wieder im Titel von Spammails auf...) in einigen wenigen Spamlisten.

Ich werde jetzt erst mal abwarten wie allinkl auf meine Anfrage reagiert und danach entscheiden was ich tue. Es wäre zwar schade um die Domain aber das ist verkraftbar. Hier lokal nun auf Hexenjagd zu gehen oder direkt alles auf den Scheiterhaufen zu werfen ist gewiss sehr viel schmerzlicher und da würde ich es gegebenenfalls wirklich noch mal drauf ankommen lassen (während ich wichtige Daten bzw. Aktionen im Netz auf einen zweiten komplett frisch aufgesetzten Rechner auslagere) und schauen ob sowas in den nächsten Monaten noch mal passiert / sich andere Indizien finden.

Ich danke dir auf jeden Fall für deinen Rat und Zeit

#8

Zitat

Ich werde jetzt erst mal abwarten wie allinkl auf meine Anfrage reagiert und danach entscheiden was ich tue. Es wäre zwar schade um die Domain aber das ist verkraftbar.
...
Ich werde jetzt erst mal abwarten wie allinkl auf meine Anfrage reagiert...

Ja lass mal von dir hören wie es ausgegangen ist,
würde mich interessieren was dein Provider dazu sagt.
Ich habe eine E-Mail (+domain) die habe ich schon seit >10 Jahren und derartige Probleme habe ich nicht.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Punkt für allinkl - schnell sind sie auf jeden Fall. Ich zitiere das jetzt einfach mal, weil das ja recht allgemeine Auskünfte sind. Zum DKIM und SPF Eintrag hat er direkt nichts gesagt.

Zitat

die meisten Spamlisten prüfen die Absender IP Adresse, selten die Domain, daher ist eine Domainlöschung übertrieben, außer das über Jahre immer von dieser Domain gespammt wurde, aber dies kann man ausschließen.

Es kann sein, das für die nächsten Tage, einige Anbieter Ihre Mails ablehnen, durch den Spamvorfall.
In der Regel wird die IP nach 3 - 5 Tagen automatisch aus der Liste wieder ausgetragen.

Aber dies kommt auch auf die Blacklist an.
Aktuell ist der Server nur auf einer Blackliste gelandet, von hunderten. Dort haben wir die Austragung beantragt, diese sollte in 24 Stunden durch sein.

Daher schreiben Sie ganz normal weiter Ihre Mails.

Wir bemerken in der Regel immer folgendes, entweder waren die Rechner verseucht, oder das Passwort war zu schwach.
Letzteres passiert in der Regel häufiger.

Wie dies im Detail ausgelesen wird, können wir Ihnen allerdings auch nicht sagen.

Werde das ganze jetzt ruhig angehen und ein Auge offenhalten, während ich Banking und co erst mal auslagere.
Falls es nun in ferner Zukunft doch noch Folgen für die Domain haben sollte, werde ich mich hier einfach noch mal melden, da das gewiss von Interesse ist.

Mir ist das ganze auch noch nicht passiert und die Domain ist seit, glaube 2002 auf mich registriert. Nunja, leider gab es dann jetzt ein Erstes mal

#10

Zitat

Sie hatte ein schwaches Passwort (6 Zeichen kleinbuchstaben, vorname).

Das wird das Problem gewesen sein. Schwache Passwörter "knackt" man inzwischen innerhalb weniger Sekunden oder Minuten. Möglicherweise hat der Spammer einfach nur mit einer Wörterbuchattacke das Passwort herausgefunden. Eine Infektion des PCs mit einem Virus ist zwar auch möglich, aber wenn Du, wie Du sagst, mit mehreren Scannern den Rechner geprüft hast, dann bist Du vermutlich nicht betroffen. Auch die anderen Indizien lassen darauf schließen, dass hier einfach das Passwort erraten wurde.

Zitat

Seit Jahren schiebe ich im Grunde auch eine etwas ältere Thunderbird Version von Neuinstallation zu Neuinstallation mit mir herum, um mir die Neueinrichtung meiner 6 eMail Konten, die im Thunderbird einkonfiguriert waren zu erpsaren.

Heißt das, Du hast seit Jahren immer noch Version 1.5 (nur symbolisch für eine heillos veraltete Version) oder heißt das, dass Du zwar immer die Programmupdates machst, aber noch nie was an den Passwörtern geändert hast? Wenn Du damit meinst, dass Du seit Jahren keine Programmupdates gemacht hast - ein Update sollte kein Problem sein. Thunderbird überschreibt keine Einstellungen, Du wirst da also auch nicht die Mail-Accounts neu einrichten müssen.

Zitat

Ich halte es für wahrscheinlich, dass es einfach ein Heuschreckenschwarm war, der Spamlisten abgearbeitet hat und von außen das schwache Passwort eben geknackt hat und dem SMTP zufällig mit smtp.domain korrekt ausgewählt hat. Aber auch hier habe ich keine Ahnung, ob das überhaupt Gang und Gebe ist bzw. es solche "Heuschrecken" gibt.

Ich würde sagen: ja, das ist normal.
Anhand der E-Mail-Adresse lässt sich ganz simpel automatisiert feststellen, wie der zuständige SMTP-Server heißt. Per Wörterbuchattacke ist es dann in sehr kurzer Zeit möglich, das Passwort zu erraten - zumindest wenn das Passwort ein normaler Begriff wie bspw. "stefan" ist. Bei einem Passwort wie "J=6s4$", das zwar auch nur sechs Zeichen hat, ist eine Wörterbuchattacke nutzlos. Und voilà, der Spammer kann einen gekaperten Server nutzen, um seinen Spam zu versenden. Das ist übrigens auch Gang und Gäbe, dass Spammer über gekaperte Mailserver verschicken.

Zitat

wie hoch ist die Wahrscheinlichkeit, dass mein System infiziert ist und was wird da genau infiziert

Gering. Zumindest wenn Du regelmäßig Windows Updates installierst und auch Deine sonstigen Programme auf dem aktuellen Stand hältst. Außerdem hast Du ja mit mehreren Scannern getestet - wenn die alle grünes Licht geben, dann ist es sehr unwahrscheinlich, dass Dein System infiziert ist.

Zur Frage, was infiziert wird: da kommt es ganz auf den Schädling an. Im Grunde wird schon seit längerem einfach nur ein weiteres Programm auf dem Rechner installiert, welches über bestimmte Funktionen verfügt. Da Schadprogramme nicht mehr von einzelnen pubertierenden Halbstarken ohne Freunde nachts heimlich im Keller programmiert werden, sondern organisierte Kriminalität dahinter steckt, wird am System eher selten absichtlich ein Schaden hinzugefügt. Wichtiger ist es, so lang wie möglich unentdeckt zu bleiben, denn nur so kann man genügend Daten wie Passwörter, Kreditkarteninformationen, Banking-PINs/TANs etc. abgreifen. Der Schaden entsteht dann letztendlich auf dem Konto, aber nicht auf dem PC. Und wer keine Daten abgreift, der versucht zumindest, den PC für andere Zwecke wie Spamming oder DDoS-Attacken zu missbrauchen. Das Spamming geht aber selten über die im Mail-Programm eingerichteten Accounts, sondern in der Regel wird ein eigener Mail-Server installiert, der dann massenhaft E-Mails rausjagt. In dem Fall bekommst Du früher oder später Post von Deinem Internet-Provider, der Dir mitteilt, dass Dein Internetzugang zum Teil gesperrt wird, bis Du das Problem in den Griff bekommen hast.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser