Wer weiss Rat, smtp Versand ohne Berechtigung?

#0
12.07.2003, 16:30
...neu hier

Beiträge: 4
#1 Gruß

Seit eine Woche passieren merkwürdige Sachen auf meiner Kiste:
Nach gewisse Zeit schaltet sich mein Norton Antivirus Wächter an,
und erlaubt halbwegs irgend welche Mails im Background per smtp zu versenden???

Ich habe Firewall und Antivirus drauf, Antitrojaner auch, alles durchsucht:
Registry, Laufwerke, Bootsector usw... 0 Spur nada
Trotztdem passiert nach gewisser Zeit das gleiche! als hätte jemand
einen Anhaltspunkt oder Anker auf meiner Kiste oder...
Ich weis nicht ob meine TK Domain als Favorit und Start des Missbrauchts genützt wird, oder überhaupt TK Domains!
Was ich weis ist: das der Angriff irgendwo aus dem USA kommt: Nähe Detroit da ich mal beim Activen Angriff den CMD unter DOS auf hatte, und den Netstat -a ausgeführt habe, danach habe ich die IP ausgelesen, und diese im Visualroute verfolgt.

Die Mail (was auch immer Sie beinhalten sollen???) konnte ich nie abfangen! Versendet wird diese durch die Datei qserver.exe des Norton per smtp, falls diese Datei überhaupt zu Norton gehört ist hier die frage? obwohl der Antitroja das behauptet, den wenn ich diese Datei: qserver.exe in TXT
umbenant habe, gab es wieder ne Neue *.EXE nur diesmal ohne Inhalt nähmlich mit 0 KB, die alte hatte jedoch 69.6 KB

Egal auch danach das gleiche Prob mit dem Versenden der skurilen Mails.

Die IP des Angreifers war: 63.211.23.* 39,68 usw...

Die Mails werden an solche Server versendet wie:

mc3.law16.hotmail.com

*.mx.aol.com

auch yahoo usw...

überwiegend *.com Domains der grossen FreeMail Anbieter!

langsam platz mir der Kragen, wer weiss Rat?

oder hat sowas ehnliches erfahren?

bzw. wo kann man sich beschweren? oder wer weis zu welchem ISP
die IP's gehören: 63.211.*.*

DANKE für jede Anregung

Gruß

DARK

PS. OS ist Win2000
Seitenanfang Seitenende
12.07.2003, 17:43
Member

Beiträge: 20
#2 Was sagt denn Deine Firewall?
Du solltest einmal herausbekommen, ob Du für jemanden (in deinen Fall USA) Dich als Mail Relay benutzt, oder ob ein Trojaner vom PC selber aus Mails versendet.
Ich konnte aus Deinen Text nicht ganz herauslesen, was die Sache mit den Angriff ist.
Für mich sieht das so aus, das von der IP Adresse auf Deinen Rechner jemand zugreift.
Deshalb meine Frage, was die Firewall sagt. Darf überhaupt eine Connection auf Dein Rechner erfolgen?
__________
Gruss René
CCSA/SPS
Seitenanfang Seitenende
12.07.2003, 19:59
...neu hier

Themenstarter

Beiträge: 4
#3 Gruß Rene

Also wenn ich auf meinen Rechner mit anderem Compi im Intranet per Ping zugreifen möchte, geht das ohne Berechtigung nicht! was so viel heisst: Timeout. Die Firewall blockt auch ohne Probs, der LiveUpdate ist frisch.

Der letzte Angriff fand heute um 17 UHR durch 217.164.250.124 :3120
durch Backdoor/SubSeven statt, das war aber nicht diese Attacke die ich die Tage hatte. Jetzt habe ich wie bereits vermutet die TK Site
als favorit entzogen, und sehe bis jetzt keine Probleme, ausser möchtegern Hackern die keine sind und nur paar gängige Tools nutzen.

Hmm... ich vermutte irgend wie missbraucht jemmand den TCP-IP Pool
der Besucher der kostenlosen TK Domains, um Misst damit zu bauen,
nur wie?

Ich warte wieder mal auf der artige Attacken um zu schauen ob diese
wirklich von TK kommen, wenn diese nicht vorkommen dann steht schon mal fest, das dass von TK kommt...

Ich denke Troja bei mir lokal auf HD ist eher ausgeschlossen, denn ich habe
immerhin Antitroja und AVirus von Norton mit neusten Updates.
Naja man sollte nie nie sagen, aber die kriegen doch sofort mit falls neue Wurm im Umlauf ist oder...

naja ich bin da nur ein Lamer aber gib mir Mühe

Einsteins Graue Zellen wurden mir nicht gegönnt ;o)

DANK und freu auf Feedback

DARK
Seitenanfang Seitenende
12.07.2003, 22:17
Moderator
Avatar joschi

Beiträge: 6466
#4

Zitat

Nach gewisse Zeit schaltet sich mein Norton Antivirus Wächter an,
und erlaubt halbwegs irgend welche Mails im Background per smtp zu versenden???
Erlaubt er es nun oder nicht ? Halbwegs ?
Ich kenne die Norton-Programme nicht und muss deswegen fragen, was Dich zu der Vermutung veranlasst, dass im Hintergrund Mails versendet werden ?
Woran bemerkt man das, gibt es dazu ein Log ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.07.2003, 22:55
...neu hier

Themenstarter

Beiträge: 4
#5 Gruß Joschi

Der Norton checkt alle Mails die Versendet werden, so kommt eine Meldung
beim Versand und ein Status Fenster von 0% bis 100% danach verschwindet das Norton Fenster.

Ausserdem habe ich während der Attacken CMD auf gehabt mit Netstat -a
um zu sehen wo der Sack mir die Mails senden möchte, von da aus konnte ich
die URL nachvollziehen, und auch die Protokoll Art, in diesem Fall der: send mail transport protokol, naja und der Rest: jede Menge verschiedene FreeMail Anbieter als Ziel, das komische aber: keine eMail Adresse mit @ und so,
sondern nur verschiedene *.com Mail Server.

Hmm ich werde selbst davon nicht schlau, seitdem ich aber meine tk domain
nicht mehr als favorit habe und diese nicht aufrufe ist diese Problem bis jetzt nicht aufgetaucht, so langsam denke ich, es hat damit etwas zu tun!

THX

DARK
Seitenanfang Seitenende
12.07.2003, 23:08
...neu hier

Themenstarter

Beiträge: 4
#6 Apropos Meine offene Ports sind:

Port 135 offen.
Port 139 offen.
Port 445 offen.
Port 1025 offen.
Port 1027 offen.
Port 1029 offen.
Port 1032 offen.
Port 1043 offen.
Port 1044 offen.

Ich denk unter W2000 keine Ausnahme,
naja wenn alle Ports zu bleiben sollten,
kann man von vornerein als ne Workstation enden,
und kein Intra un Internet nutzen.

ciao

DARK
Seitenanfang Seitenende
12.07.2003, 23:55
Member

Beiträge: 20
#7 Also, was Du mit netstat sehen kannst sind offene und wartende Verbindungen. Du siehst also, dass eine Applikation vom Rechner aus ins Internet smtp Verbindungen aufbaut. Aber erstmal zum Mailserver! Deshalb bekommst Du keine E-Mail Adressen zu gesicht. Wenn Du wissen möchtest, was im smtp Protokoll abläuft, mußt Du mitsniffen.
Nun zum Problem selber. Kann sein das ich ein bissl dumm bin, aber was ist bei Dir die Tk Domain? Vielleicht anders gefragt, was hat der Server / Workstation für eine Aufgabe?
Es ist ja z.B. auch möglich, über Port 80 (http) eine Mail zu verschicken (sollte man im Hinterkopf behalten).
__________
Gruss René
CCSA/SPS
Seitenanfang Seitenende
13.07.2003, 01:34
Member
Avatar Ajax

Beiträge: 890
#8 @dark

Mag ja gut sein daß auf deiner HD sich kein Trojaner befindet.
Allerdings hast Du mit Antitrojan und NAV zwei Produkte die dir in dieser Hinsicht nicht allzuviel Sicherheit geben können.Antitrojan gehört bestimmt nicht zur ersten Wahl und NAV's Schwäche in der Erkennung von Trojaner ist auch kein Geheimnis ;)
Daß jemand über deine Favoriten auf's PC Zugriff hatte (wenn ich das so richtig verstanden habe) kann ich schlecht nachvollziehen.
Falls nicht bereits getan solltest Du jedenfalls Port 139 für's Internet dicht machen.
Deine Liste mit offene Ports ist eher verwirrend,da vermutlich während einer online Sitzung mit Netstat aufgezeichnet.TCPView von www.sysinternals.com zeigt dir auch den lauschenden Dienst an.

Gruß
Ajax
Seitenanfang Seitenende