Ein Spam-Bot weniger auf der Welt....
Verfasst: 20. Mai 2010, 23:31
Heute Vormittag bekam ich einen Anruf einer Firma, für die ich gelegentlich den Administrator "spiele".
Am Apperat hatte ich einen der Mitarbeiter, der mir mittelte, dass ein Einschreiben der deutschen Telekom eingegangen war...
... und ganz "nebenbei" bemerkte dieser Mitarbeiter noch, dass das "Internet seit einiger Zeit so langsam wäre"...
Hier mal der Auszug aus dem Brief:
Wenn die Telekom per Einschreiben (!!!) eine solche Nachricht verschickt, dann brennt der Baum, ist Holland in Not, oder (auf gut deutsch) "Die Kacke dampfet gar sehr!".
Auf dem Weg dorthin (ein Glück, dass die Grünweißen heute mal keine teuren "Passfotos" geschossen haben
), konnte ich mir schonmal das Hirn zermartern, welcher Rechner als Virenschleuder in Frage käme... 
Den Server und den Mailserver (Octopus Open IT) hatte ich schon gedanklich von der Liste gestrichen... eher unwahrscheinlich.
Das NAS-Gerät? Wohl kaum...
Der Router? Nahezu unmöglich.
Die Clienten? hmmm.... nicht unmöglich, aber relativ unwahrscheinlich, da die User keine Adminrechte haben...
Der externe Mailserver? Denkbar. Aber wieso wird dann die IP der Firma angegeben???
Bliebe eigentlich nur noch die Adminmaschine übrig...
Das wollen wir doch mal nicht hoffen.... Dann wäre ja ich derjenige welche....
Ok.
Man weiß sich ja zu helfen und hat auch entsprechende Hard- und Software zur Hand, die einem bei der Analyse helfen.
Die Mail- und Trafficlogs des firmeneigenen Mailservers brachten schonmal an dieser Stelle Entwarnung.
Nichts verdächtiges zu sehen.
Der Server: Auch hier keinerlei ungewöhnlicher Aktivitäten... weder bei den Prozessen, Diensten, Tasks, Traffic....
Ein Glück...
Ok... was sagt uns denn der Router.
Ein kurzer Blick in die Logs und ich hatte eine Erklärung dafür, warum das "Internet so langsam" ist...
Einer der Clientrechner hatte innerhalb von 3,5 Tagen, bzw. 28 Stunden über 3 Gigabyte an Daten hochgeladen....
Und das bei einem Upstream von lediglich 256 kbit/s.
Wer mal kurz nachrechnen möchte:
Bei einer Größe von 20kb pro Mail kommt eine Summe von (Pi mal Daumen inkl. Rückenwind) 150.000 Mails heraus.
Und das ist noch "schön gerechnet".
Die "Dunkelziffer" dürfte wohl um einiges höher sein.
Alleine schon deswegen, weil eine 20kb-Mail für eine Spammail etwas zuviel sein dürfte.
Na schön... "Wiresharken" wir mal ein bischen und beschnüffeln den verursachten Traffic.
Bingo!
Was da innerhalb von wenigen Minuten an Mails rausgeblasen wurde, ging auf keine Kuhhaut.
Na schön.
Ich hatte dann Erbarmen mit den ganzen Mailserveradminstratoren dieser Welt und zog den Stecker aus dieser "Kiste", um dann offline dem Schädling auf die Spur zu kommen.
Pustekuchen.
Das fiese Ding erkannte die getrennte Verbindung und verweigerte jegliche Aktivität.
Na toll...
Um es kurz zu machen:
Egal welchen Helfer ich einsetzte... keiner fand etwas.
Außer ein paar Tracking Cookies und einer harmlosen Malware schien der Rechner sauber zu sein.
Und warum schreib ich nun diesen Blödsinn?
Weil das Mistding just in diesem Augenblick unter meinem Schreibtisch steht... allerdings ohne Netzwerkkabel...
Die Platte ist mittlerweile LowLevel-formatiert und Windows durchläuft sein Setup.
Und da ich keine Lust habe auf den Monitor zu starren und mir durchzulesen welche Schritte die Installation grade durchläuft, texte ich euch lieber zu...
Außerdem will ich etwas Mitleid haben....
Schließlich muss das Ding morgen früh wieder an seinem gewohnten Platz stehen.
Und wenn ich mir die Liste der zu installierenden Software angucke, weiß ich, dass das eine sehr kurze Nacht für mich wird... oder lang, je nachdem wie man's sieht...
Ach ja...
Fast hätte ich es vergessen...
Quizfrage:
Welcher User in fast jeder Firma bekommt trotz besseren Wissens des Administrators nahezu immer Administrationsrechte???
Ich gebe mal einen kleinen Tipp:
Ich habe heute dem Chef "Internetverbot" erteilt...
Gruß
sTunTe
Am Apperat hatte ich einen der Mitarbeiter, der mir mittelte, dass ein Einschreiben der deutschen Telekom eingegangen war...
... und ganz "nebenbei" bemerkte dieser Mitarbeiter noch, dass das "Internet seit einiger Zeit so langsam wäre"...
Hier mal der Auszug aus dem Brief:
Für diejenigen, die ein solches Schreiben noch nie gesehen haben:Sehr geehrte Damen und Herren,
die Deutsche Telekom AG stellt Ihnen einen DSL Internetzugang
mit fest vergebener IP Adresse zur Verfügung.
Bei der Nutzung wurde von Ihrem Zugang seit Anfang April
mehrfach Spamversand durchgeführt.
Falls Sie sich nicht erklären können, wie es zum Versand
dieser E-Mails gekommen ist, nehmen Sie unser Schreiben
bitte zum Anlass, Ihr Computersystem unverzüglich zu prüfen
bzw. prüfen zu lassen.
Eine Ursache könnte ein Virus, Wurm oder trojanisches Pferd
sein. Sollte dies zutreffen, könnten Fremde potentiell auf
Ihre Computersysteme zugreifen und diesen manipulieren,
sowie Ihre persönlichen Daten lesen oder verändern.
Wir bitten Sie, in Zukunft für die Sicherheit Ihrer Systeme zu sorgen.
Mit freundlichen Grüßen
Im Auftrag
Produktmanagement DSL Business
Wenn die Telekom per Einschreiben (!!!) eine solche Nachricht verschickt, dann brennt der Baum, ist Holland in Not, oder (auf gut deutsch) "Die Kacke dampfet gar sehr!".
Auf dem Weg dorthin (ein Glück, dass die Grünweißen heute mal keine teuren "Passfotos" geschossen haben
), konnte ich mir schonmal das Hirn zermartern, welcher Rechner als Virenschleuder in Frage käme... Den Server und den Mailserver (Octopus Open IT) hatte ich schon gedanklich von der Liste gestrichen... eher unwahrscheinlich.
Das NAS-Gerät? Wohl kaum...
Der Router? Nahezu unmöglich.
Die Clienten? hmmm.... nicht unmöglich, aber relativ unwahrscheinlich, da die User keine Adminrechte haben...
Der externe Mailserver? Denkbar. Aber wieso wird dann die IP der Firma angegeben???
Bliebe eigentlich nur noch die Adminmaschine übrig...
Das wollen wir doch mal nicht hoffen.... Dann wäre ja ich derjenige welche....
Ok.
Man weiß sich ja zu helfen und hat auch entsprechende Hard- und Software zur Hand, die einem bei der Analyse helfen.
Die Mail- und Trafficlogs des firmeneigenen Mailservers brachten schonmal an dieser Stelle Entwarnung.
Nichts verdächtiges zu sehen.
Der Server: Auch hier keinerlei ungewöhnlicher Aktivitäten... weder bei den Prozessen, Diensten, Tasks, Traffic....
Ein Glück...
Ok... was sagt uns denn der Router.
Ein kurzer Blick in die Logs und ich hatte eine Erklärung dafür, warum das "Internet so langsam" ist...
Einer der Clientrechner hatte innerhalb von 3,5 Tagen, bzw. 28 Stunden über 3 Gigabyte an Daten hochgeladen....
Und das bei einem Upstream von lediglich 256 kbit/s.
Wer mal kurz nachrechnen möchte:
Bei einer Größe von 20kb pro Mail kommt eine Summe von (Pi mal Daumen inkl. Rückenwind) 150.000 Mails heraus.
Und das ist noch "schön gerechnet".
Die "Dunkelziffer" dürfte wohl um einiges höher sein.
Alleine schon deswegen, weil eine 20kb-Mail für eine Spammail etwas zuviel sein dürfte.
Na schön... "Wiresharken" wir mal ein bischen und beschnüffeln den verursachten Traffic.
Bingo!
Was da innerhalb von wenigen Minuten an Mails rausgeblasen wurde, ging auf keine Kuhhaut.
Na schön.
Ich hatte dann Erbarmen mit den ganzen Mailserveradminstratoren dieser Welt und zog den Stecker aus dieser "Kiste", um dann offline dem Schädling auf die Spur zu kommen.
Pustekuchen.
Das fiese Ding erkannte die getrennte Verbindung und verweigerte jegliche Aktivität.
Na toll...
Um es kurz zu machen:
Egal welchen Helfer ich einsetzte... keiner fand etwas.
Außer ein paar Tracking Cookies und einer harmlosen Malware schien der Rechner sauber zu sein.
Und warum schreib ich nun diesen Blödsinn?
Weil das Mistding just in diesem Augenblick unter meinem Schreibtisch steht... allerdings ohne Netzwerkkabel...
Die Platte ist mittlerweile LowLevel-formatiert und Windows durchläuft sein Setup.
Und da ich keine Lust habe auf den Monitor zu starren und mir durchzulesen welche Schritte die Installation grade durchläuft, texte ich euch lieber zu...
Außerdem will ich etwas Mitleid haben....
Schließlich muss das Ding morgen früh wieder an seinem gewohnten Platz stehen.
Und wenn ich mir die Liste der zu installierenden Software angucke, weiß ich, dass das eine sehr kurze Nacht für mich wird... oder lang, je nachdem wie man's sieht...
Ach ja...
Fast hätte ich es vergessen...
Quizfrage:
Welcher User in fast jeder Firma bekommt trotz besseren Wissens des Administrators nahezu immer Administrationsrechte???
Ich gebe mal einen kleinen Tipp:
Ich habe heute dem Chef "Internetverbot" erteilt...
Gruß
sTunTe
)