exchance server wurde vermutlich gehackt (spam relay)

11/12/2008 - 11:36 von Markus | Report spam
hallo in die runde,

der super gau ist leider gerade bei mir traurige wahrheit geworden :(((

Server: Windows 2004 R2 mit SP2,
IIS + Exchange (Version 6.5.7638.1)

seit zwei tagen habe ich das problem, dass in meiner exchange warteschlange
regelmàssig 1000 - 1500 mails erscheinen. diese sind jeweils identisch und
unterscheiden sich nur in der empfàngeradresse. meist handelt es sich um
mails, die scheinbar von "member@ebay.com" oder "member@e-bay.com" kommen.
diese mails stammen aber wohl tatsàchlich von ausserhalb. ich lösche diese,
aber splötzlich sind wieder 1000 drin.
in der not habe ich meinen server derzeit erst mal dicht gemacht, damit ich
kein relay für dieses spam schrott bin. aber das bedeutet auch, dass andere
mails nicht mehr rausgehen.

ein mitschnitt des netzwerktraffic wiess zunàchst auf eine IP adresse aus
"hungary" hin. also hab ich diesen IP bereich dicht gemacht. aber kurze zeit
spàter waren wieder neue mail da. den exhange server habe ich gem. ms "todo"
auf seine relayeigenschaften hin geprüft. somit müsste er dahingehend sicher
sein. auch ein test mittels telnet hat gezeigt, dass der server eigentlich
nur authentifizierte mailabsender aktzepitert. dennoch tauchen die spams
immer wieder neu auf.

so vermute ich, dass diese mails ggf. über das systemkonto kommen.
vielleicht hat jemand ja den IIS auf dem system "geknackt". aber ich finde
keine hinweise darauf. hab schon alles abgesucht und geprüft. scripte, php
oder sowas. sieht auch alles gut aus ... keine fragmente oder datenmüll zu
finden.

ich bin gerade recht ratlos. falls jemand eine idee hat wàre ich sehr, sehr
dankbar.
danke und viele grüsse
markus
 

Lesen sie die antworten

#1 Markus
11/12/2008 - 11:42 | Warnen spam
sorry ... hab mich verschrieben:

SERVER 2003 R2 !
(bin gerade ziemlich im stress wegen der sache)

"Markus" wrote:

hallo in die runde,

der super gau ist leider gerade bei mir traurige wahrheit geworden :(((

Server: Windows 2004 R2 mit SP2,
IIS + Exchange (Version 6.5.7638.1)

seit zwei tagen habe ich das problem, dass in meiner exchange warteschlange
regelmàssig 1000 - 1500 mails erscheinen. diese sind jeweils identisch und
unterscheiden sich nur in der empfàngeradresse. meist handelt es sich um
mails, die scheinbar von "" oder "" kommen.
diese mails stammen aber wohl tatsàchlich von ausserhalb. ich lösche diese,
aber splötzlich sind wieder 1000 drin.
in der not habe ich meinen server derzeit erst mal dicht gemacht, damit ich
kein relay für dieses spam schrott bin. aber das bedeutet auch, dass andere
mails nicht mehr rausgehen.

ein mitschnitt des netzwerktraffic wiess zunàchst auf eine IP adresse aus
"hungary" hin. also hab ich diesen IP bereich dicht gemacht. aber kurze zeit
spàter waren wieder neue mail da. den exhange server habe ich gem. ms "todo"
auf seine relayeigenschaften hin geprüft. somit müsste er dahingehend sicher
sein. auch ein test mittels telnet hat gezeigt, dass der server eigentlich
nur authentifizierte mailabsender aktzepitert. dennoch tauchen die spams
immer wieder neu auf.

so vermute ich, dass diese mails ggf. über das systemkonto kommen.
vielleicht hat jemand ja den IIS auf dem system "geknackt". aber ich finde
keine hinweise darauf. hab schon alles abgesucht und geprüft. scripte, php
oder sowas. sieht auch alles gut aus ... keine fragmente oder datenmüll zu
finden.

ich bin gerade recht ratlos. falls jemand eine idee hat wàre ich sehr, sehr
dankbar.
danke und viele grüsse
markus

Ähnliche fragen