Ein Spam-Bot weniger auf der Welt....

[sTunTe]

Heute Vormittag bekam ich einen Anruf einer Firma, für die ich gelegentlich den Administrator "spiele".
Am Apperat hatte ich einen der Mitarbeiter, der mir mittelte, dass ein Einschreiben der deutschen Telekom eingegangen war...
... und ganz "nebenbei" bemerkte dieser Mitarbeiter noch, dass das "Internet seit einiger Zeit so langsam wäre"...

Hier mal der Auszug aus dem Brief:

Sehr geehrte Damen und Herren,
die Deutsche Telekom AG stellt Ihnen einen DSL Internetzugang
mit fest vergebener IP Adresse zur Verfügung.
Bei der Nutzung wurde von Ihrem Zugang seit Anfang April
mehrfach Spamversand durchgeführt.

Falls Sie sich nicht erklären können, wie es zum Versand
dieser E-Mails gekommen ist, nehmen Sie unser Schreiben
bitte zum Anlass, Ihr Computersystem unverzüglich zu prüfen
bzw. prüfen zu lassen.
Eine Ursache könnte ein Virus, Wurm oder trojanisches Pferd
sein. Sollte dies zutreffen, könnten Fremde potentiell auf
Ihre Computersysteme zugreifen und diesen manipulieren,
sowie Ihre persönlichen Daten lesen oder verändern.

Wir bitten Sie, in Zukunft für die Sicherheit Ihrer Systeme zu sorgen.

Mit freundlichen Grüßen
Im Auftrag
Produktmanagement DSL Business

Für diejenigen, die ein solches Schreiben noch nie gesehen haben:
Wenn die Telekom per Einschreiben (!!!) eine solche Nachricht verschickt, dann brennt der Baum, ist Holland in Not, oder (auf gut deutsch) "Die Kacke dampfet gar sehr!".

Auf dem Weg dorthin (ein Glück, dass die Grünweißen heute mal keine teuren "Passfotos" geschossen haben ), konnte ich mir schonmal das Hirn zermartern, welcher Rechner als Virenschleuder in Frage käme...
Den Server und den Mailserver (Octopus Open IT) hatte ich schon gedanklich von der Liste gestrichen... eher unwahrscheinlich.
Das NAS-Gerät? Wohl kaum...
Der Router? Nahezu unmöglich.
Die Clienten? hmmm.... nicht unmöglich, aber relativ unwahrscheinlich, da die User keine Adminrechte haben...
Der externe Mailserver? Denkbar. Aber wieso wird dann die IP der Firma angegeben???
Bliebe eigentlich nur noch die Adminmaschine übrig...
Das wollen wir doch mal nicht hoffen.... Dann wäre ja ich derjenige welche....

Ok.
Man weiß sich ja zu helfen und hat auch entsprechende Hard- und Software zur Hand, die einem bei der Analyse helfen.
Die Mail- und Trafficlogs des firmeneigenen Mailservers brachten schonmal an dieser Stelle Entwarnung.
Nichts verdächtiges zu sehen.

Der Server: Auch hier keinerlei ungewöhnlicher Aktivitäten... weder bei den Prozessen, Diensten, Tasks, Traffic....
Ein Glück...

Ok... was sagt uns denn der Router.
Ein kurzer Blick in die Logs und ich hatte eine Erklärung dafür, warum das "Internet so langsam" ist...
Einer der Clientrechner hatte innerhalb von 3,5 Tagen, bzw. 28 Stunden über 3 Gigabyte an Daten hochgeladen....
Und das bei einem Upstream von lediglich 256 kbit/s.

Wer mal kurz nachrechnen möchte:
Bei einer Größe von 20kb pro Mail kommt eine Summe von (Pi mal Daumen inkl. Rückenwind) 150.000 Mails heraus.
Und das ist noch "schön gerechnet".
Die "Dunkelziffer" dürfte wohl um einiges höher sein.
Alleine schon deswegen, weil eine 20kb-Mail für eine Spammail etwas zuviel sein dürfte.

Na schön... "Wiresharken" wir mal ein bischen und beschnüffeln den verursachten Traffic.
Bingo!
Was da innerhalb von wenigen Minuten an Mails rausgeblasen wurde, ging auf keine Kuhhaut.

Na schön.
Ich hatte dann Erbarmen mit den ganzen Mailserveradminstratoren dieser Welt und zog den Stecker aus dieser "Kiste", um dann offline dem Schädling auf die Spur zu kommen.
Pustekuchen.
Das fiese Ding erkannte die getrennte Verbindung und verweigerte jegliche Aktivität.
Na toll...

Um es kurz zu machen:
Egal welchen Helfer ich einsetzte... keiner fand etwas.
Außer ein paar Tracking Cookies und einer harmlosen Malware schien der Rechner sauber zu sein.

Und warum schreib ich nun diesen Blödsinn?
Weil das Mistding just in diesem Augenblick unter meinem Schreibtisch steht... allerdings ohne Netzwerkkabel...
Die Platte ist mittlerweile LowLevel-formatiert und Windows durchläuft sein Setup.
Und da ich keine Lust habe auf den Monitor zu starren und mir durchzulesen welche Schritte die Installation grade durchläuft, texte ich euch lieber zu...

Außerdem will ich etwas Mitleid haben....
Schließlich muss das Ding morgen früh wieder an seinem gewohnten Platz stehen.
Und wenn ich mir die Liste der zu installierenden Software angucke, weiß ich, dass das eine sehr kurze Nacht für mich wird... oder lang, je nachdem wie man's sieht...

Ach ja...
Fast hätte ich es vergessen...

Quizfrage:
Welcher User in fast jeder Firma bekommt trotz besseren Wissens des Administrators nahezu immer Administrationsrechte???

Ich gebe mal einen kleinen Tipp:
Ich habe heute dem Chef "Internetverbot" erteilt...


Gruß
sTunTe

[OlafE]

Quizfrage:
Welcher User in fast jeder Firma bekommt trotz besseren Wissens des Administrators nahezu immer Administrationsrechte???

jaja die lieben Chefs.
Die sind leider auch fast immer die Chefs der Administratoren (es reicht ja schon aus, wenn einer von denen das ist).

Kann ich ein Lied von singen, dazu noch in einer fremden Sprache, die das Unterscheiden von gewollter Software (Koreanische Banktrojaner) und ungewollter Software (Malware aller Form und Guete) nochmals erheblich erschwert.

Viele Gruesse
Olaf

[sTunTe]

Nabend Olaf.

von gewollter Software (Koreanische Banktrojaner)

Da würde ich streiken.
Als Admin steht man ohnehin schon mit einem Bein permanent im Knast.
Da brauche ich nicht noch 'ne Firma, die so etwas bewusst einsetzt.

Btw: Ich hoffe nicht, dass das in "meiner Firma" noch irgend ein Nachspiel haben wird.
Ansonsten könnte das echt teuer werden...
Zumindest für den Chef...

Gruß
sTunTe

[biu]

Also ich will nicht wissen was der Chef sonst noch so reingeschleppt hat :<

[OlafE]

Das Banktrojaner war mehr sinnbildlich gemeint, allerdings hatten wir mal den Fall, dass eine Banksoftware aus Fernost eine Art Keylogger installierte (das sah zumindest der damals eingesetzte Virenscanner so), vorgeblich um zu verhindern, dass andere Software dasselbe tut.
Viele Gruesse
Olaf

[gastkonto]

...mein Mitgefühl haste jedenfalls!

Kenne ich alles nur zu gut, und ich kann Dir versichern, dass die Probleme proportional zur Unternehmensgröße eifrig mitwachsen - im Gegensatz zum Sicherheitsverständnis der "Userschäfchen" durch alle Hierarchie-Ebenen - das läßt sich eher mit "indirekt proportional" zur MA-Anzahl beschreiben...

[Deliberation]

Quizfrage:
Welcher User in fast jeder Firma bekommt trotz besseren Wissens des Administrators nahezu immer Administrationsrechte???

Ich gebe mal einen kleinen Tipp:
Ich habe heute dem Chef "Internetverbot" erteilt...

Genau aus dem Grund habe ich mich in der Vergangenheit immer geweigert, irgendwen zum Admin zu machen, der mir nicht zur Hand geht. Ein Chef wollte es mal unbedingt, der bekam dann Adminrechte auf einem Standalone-Rechner mit direktem Internetzugang, aber keinen Zugang mehr zu irgendwelchen lokalen Ressourcen. Ich habe ihm sogar einen lokalen Drucker installiert. Zusätzlich habe ich den Rechner auf die Watchlist der Abteilung für IT-Security gesetzt. Einmal hat er was eingeschleppt, da waren innerhalb weniger Minuten alle Kommunikationskanäle abgeklemmt.

Ich sehe das echt nicht ein. Keine Ahnung von IT haben, aber Admin sein wollen. Weil's so toll klingt oder wie!? Wer mal wie Du 'ne Nacht mit Neuaufsetzen beschäftigt war, der sieht das wahrscheinlich realistischer.

Mein Beileid, immer diese "User".

[sTunTe]

Hallo.

Also ich will nicht wissen was der Chef sonst noch so reingeschleppt hat :<

Schon überprüft.
Ansonsten ist alles so wie es sein soll.
Ein Glück.

dass die Probleme proportional zur Unternehmensgröße eifrig mitwachsen - im Gegensatz zum Sicherheitsverständnis

Das kenne ich (glücklicher Weise) eher anders herum.
Meiner Erfahrung nach kommen solche Fälle eher in kleineren Firmen vor.
Allerdings spielt die Größe der Firma kaum eine Rolle, wenn es um das Thema Chef und Adminrechte geht...
Tja... was soll man machen?!?

Mein Beileid, immer diese "User".

"Wohl immer diese DAUs" wäre hier wohl angebrachter....


So, mittlerweile läuft das meiste wieder...
Einige kleinere "Kinderkrankheiten" durch den Wechsel von XP auf Seven, bzw. von Office 2003 auf 2007, gibt es allerdings noch.
So laufen z.B. einige kleinere Datenbankanwendungen (Access) nicht mehr, bzw. spucken Fehlermeldungen aus.
Hier werde ich wohl auf den "XP Mode" setzen, da das wesentlich weniger aufwendig ist als die Datenbanken umzuschreiben.
Außerdem funktioniert ein Labeldrucker noch nicht ganz 100%ig, bzw. muss ich noch die Einstellungen im Treiber anpassen.
Blöde Arbeit...


Gruß
sTunTe

[Nobby1805]

dass die Probleme proportional zur Unternehmensgröße eifrig mitwachsen - im Gegensatz zum Sicherheitsverständnis

Das kenne ich (glücklicher Weise) eher anders herum.
Meiner Erfahrung nach kommen solche Fälle eher in kleineren Firmen vor.
Allerdings spielt die Größe der Firma kaum eine Rolle, wenn es um das Thema Chef und Adminrechte geht...

Das kann ich bestätigen ... wobei ab einer bestimmten Größe der Firma selbst der Chef in der IT-Abteilung, auch wenn er selbst mal Admin war, die Rechte sofort abgenommen bekommt wenn die Administration nicht mehr sein Job ist ... und die Business-Chefs wollen eher iPhones, iPads und andere Sonderanfertigungen möglichst gestern voll funktionsfähig haben (und dabei auch noch reduzierte Kosten )

[OlafE]

und die Business-Chefs wollen eher iPhones, iPads und andere Sonderanfertigungen möglichst gestern voll funktionsfähig haben (und dabei auch noch reduzierte Kosten

Du arbeitest aber nicht bei mir in der Firma, oder?

[gastkonto]

und die Business-Chefs wollen eher iPhones, iPads und andere Sonderanfertigungen möglichst gestern voll funktionsfähig haben (und dabei auch noch reduzierte Kosten

Du arbeitest aber nicht bei mir in der Firma, oder?

neee, bei mir...