xaero1982
Jan 08, 2021
view3020
view24
0
Goto Top

Emailspam mit Zip-Dateien

GermanQuestionE-MailInternet
Moin Zusammen,

seit einigen Tagen habe ich bei einem Kunden folgendes Phänomen:

Es kommen Emails beim Kunden an und gehen auch an deren Gesprächspartner. In diesen Emails ist der tatsächlich geschriebene Inhalt zwischen den Gesprächspartnern enthalten. An diese Mail wird eine, mit einem Passwort versehene Zip-Datei, angehängt. Das Passwort steht in der Email in der Zeile: "Archiv Passwort: xxx"
Danach folgt der Text.

Als Absender sind es in der Regel spanische oder italienische Absenderadressen. Der Anzeigename ist aber von einem Mitarbeiter des Kunden, der diese Mail bekam oder versendet hat.

Der Header weist eigentlich immer wiedes Schema auf:

Received: from smtpcmd14161.aruba.it ([62.149.156.161]:37434)
	by mail.Kundendomain.de with esmtp (Exim 4.82_1-5b7a7c0-XX)
	(envelope-from <ambulatorio@studioarnesano.it>)
	id 1kwlUo-0003mc-0T
	for Kunde@Kundendomain.de; Tue, 05 Jan 2021 13:31:31 +0100
Received: from [10.0.0.1] ([5.91.60.16])
	by smtpcmd14.ad.aruba.it with bizsmtp
	id D0Q0240100M148d010Q6qH; Tue, 05 Jan 2021 13:24:06 +0100
X-CTCH-RefID: str=0001.0A782F1E.5FF45C23.0033,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
Date: Tue, 05 Jan 2021 13:24:07 +0100
From: "Kundenmitarbeitername" <ambulatorio@studioarnesano.it>  
To: =?UTF-8?B?Tmlrb2xhcyBLcsOkaG4=?= <Kunde@Kundendomain.de>
Subject: =?UTF-8?B?V1ZzIHVuZCBTYWNoc3RhbmRzYW5mcmFnZW4gbWFjaGVuIGFsbGUgUkFlIHVuZCBSQWluIGvDvG5mdGlnIHNlbGJzdA==?=
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_002_15200_2417980416.1445140877"  
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=aruba.it; s=a1;
	t=1609849446; bh=jqOvvC5yZCXuyZS4M3I64HG3aV4eXKCXLLnZruH6iJ4=;
	h=Date:From:To:Subject:MIME-Version:Content-Type;
	b=Y8laEj882NPfPxYXB37cyxnPEj+Na7CO2O4XNIyXtns8y6j5IAW9BoiLkSntkB8JK
	 uydnLo35tEeeY5SpAVez862skFWCSPkoFKvdCTCSyYlxBlq3YuDa9Ep6BekvW+swAQ
	 xFQcvg1sfuwZ8dyRH3TF43bYeI+P1blsyis30kJhROvtk+K90QYBduh0wX1Oe7RrxP
	 UPm4B6c6w3eV3AmPxKfCQ3SG2U/s/uo5JZ7r1IQueq2dOSQxOnI3H6bb1cLHj3nXcO
	 bjottCCeyjx/ydV2ryU5nq4jHLTkzfJt6RyWxoNu1824Dv8goLkH04o++tMrpXGZb/
	 vYM15uj93xEMA==

oder auch mal so:
Received: from mail.mdpi.com ([212.243.204.81]:10443)
	by mail.Kundendomain.de with esmtps (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.82_1-5b7a7c0-XX)
	(envelope-from <jinjing.liu@mdpi.com>)
	id 1kwkaF-0002CI-2E
	for Kundenmitarbeiter@Kundendomain.de; Tue, 05 Jan 2021 12:33:04 +0100
Received: from localhost (localhost.localdomain [127.0.0.1])
	by mail.mdpi.com (Postfix) with ESMTP id 9D5A0A8A1F4
	for <Kundenmitarbeiter@Kundendomain.de>; Tue,  5 Jan 2021 12:25:14 +0100 (CET)
Received: from mail.mdpi.com ([127.0.0.1])
	by localhost (mail.mdpi.com [127.0.0.1]) (amavisd-new, port 10032)
	with ESMTP id NRBVawf-Gnea for <Kundenmitarbeiter@Kundendomain.de>;
	Tue,  5 Jan 2021 12:25:14 +0100 (CET)
Received: from localhost (localhost.localdomain [127.0.0.1])
	by mail.mdpi.com (Postfix) with ESMTP id 0C36CA8A1E1
	for <Kundenmitarbeiter@Kundendomain.de>; Tue,  5 Jan 2021 12:25:14 +0100 (CET)
X-CTCH-RefID: str=0001.0A782F25.5FF44E70.0078:SCFSTAT60694998,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.mdpi.com 0C36CA8A1E1
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mdpi.com;
	s=EB98F24C-DECB-11E5-856C-FD3CBF5F7692; t=1609845914;
	bh=W10eUyzO9fIIrmV+ZJwKzoJjyLMOgcHjm54EqEz4JaU=;
	h=Date:From:To:MIME-Version:Message-Id;
	b=NeqkybBWVrqxbzyhMURFFNl5fA337elmkEheGrRD+R3kNJAHKzqMCSZPJM3SWlM2g
	 pxusWUS7viMmA4xPy9Yd08i8weF2U497hcVs14T6EQCdCkbue1pNsVxfPf520Q9JmD
	 1+2vMGlf6098fqHUJ7RR+FC1Att/vPLWQ/81GWtg=
X-Virus-Scanned: amavisd-new at mail.mdpi.com
Received: from mail.mdpi.com ([127.0.0.1])
	by localhost (mail.mdpi.com [127.0.0.1]) (amavisd-new, port 10026)
	with ESMTP id 9j6Z1ufjCXXh for <Kundenmitarbeiter@Kundendomain.de>;
	Tue,  5 Jan 2021 12:25:13 +0100 (CET)
Received: from [10.0.0.12] (unknown [36.67.71.69])
	by mail.mdpi.com (Postfix) with ESMTPSA id 1AC7912369B3
	for <Kundenmitarbeiter@Kundendomain.de>; Tue,  5 Jan 2021 12:25:12 +0100 (CET)
Date: Tue, 05 Jan 2021 18:25:12 +0700
From: "Kundenmitarbeitername" <jinjing.liu@mdpi.com>  
To: "Kundenmitarbeitername" <Kundenmitarbeiter@Kundendomain.de>  
Subject: =?UTF-8?B?V0c6IMOWbC1MaWVmZXJ1bmc=?=
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_34968_2217184783.2263756694"  
Message-Id: <20210105112513.1AC7912369B3@mail.mdpi.com>


Die Rechner habe ich mit diversen Tools gescannt. Als Firewall ist eine Sophos UTM im Einsatz, bei der ich nun erstmal eingestellt habe, dass sämtliche Emails mit nicht-scanbaren Anhängen geblockt werden.
Es ist nicht reproduzierbar wann diese Mails vermehrt eintreffen, also z.B. nicht auf einen PC eingrenzbar. Mal kommt ewig gar nichts. Z.b. zwischen dem 30.12 und 05.01 ist gar nichts eingegangen und dann am 05.01 ab ca. 11 Uhr wieder ein paar.

Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.

Hat jemand einen klugen Ratschlag?

Besten Dank und Grüße
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 638898

Url: https://administrator.de/contentid/638898

Printed on: April 23, 2024 at 10:04 o'clock

24 Comments
Latest comment
Goto Top
Member: radiogugu
radiogugu Jan 08, 2021 at 07:51:13 (UTC)
Goto Top
Hallo.

Kennwörter bei deinem Kunden komplex und wann das letzte Mal geändert?

Solche maskierten E-Mails kannst du eigentlich nur mit Transportregeln von deinem Mail-Server fernhalten (Nach dem Motto: Von Name != Präfix vor dem @ der Domäne > löschen).

Denn ich kann dir ja auch E-Mails von meiner Domain mit deinem Absender-Namen, der dann bei "Von" steht schicken.

Es gilt hier maßgeblich die Sensibilisierung hierfür auf beiden Seiten zu erhöhen. Es soll sich nicht einfach nur dre Absender, sondern auch die absendende E-Mail Adresse angeschaut werden.

Gruß
Marc
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 08:24:18 (UTC)
Goto Top
Zitat von @radiogugu:

Hallo.

Moin
Kennwörter bei deinem Kunden komplex und wann das letzte Mal geändert?

*hust* die wurden gestern geändert. Ist ja immer so eine Sache face-smile

Solche maskierten E-Mails kannst du eigentlich nur mit Transportregeln von deinem Mail-Server fernhalten (Nach dem Motto: Von Name != Präfix vor dem @ der Domäne > löschen).

Versteh ich nicht ganz? Der Name entspricht doch eher selten dem Präfix vor dem @?

Denn ich kann dir ja auch E-Mails von meiner Domain mit deinem Absender-Namen, der dann bei "Von" steht schicken.
I know. Das ist es ja face-smile

Es gilt hier maßgeblich die Sensibilisierung hierfür auf beiden Seiten zu erhöhen. Es soll sich nicht einfach nur dre Absender, sondern auch die absendende E-Mail Adresse angeschaut werden.

Ich muss halt irgendwie die Ursache für diese Mails finden oder heraus bekommen woher die kommen. Und vor allem wieso ist der Inhalt der Mails bekannt.

Grüße
Member: Fennek11
Fennek11 Jan 08, 2021 at 08:25:51 (UTC)
Goto Top
Ist es eine malware?

Zum Vergleich:

Palo-Alto-malware Analyse

Prüfe versichtig den Anhang, am besten unter Linux, bzw lade die Datei unzipped bei www.Virustotal.com hoch.
Member: VGem-e
VGem-e Jan 08, 2021 at 08:31:21 (UTC)
Goto Top
Moin,

und wenn es irgendwie geht, evtl. gleich alle ZIP-/Archivdateien am Gateway sperren und ins digitale Nirwana "verschieben"??

Gruß
Member: fredmy
fredmy Jan 08, 2021 at 08:35:59 (UTC)
Goto Top
Hallo xaero1982,
eigentlich altes Problem..
man nehme:
- Greylisting
- SPF Regeln
und .. nicht nur das "Namensfeld" sonder auch die Mailadresse mit anzeigen. im Mailclient!

siehe Beispiel 2: die Absender IP entspricht nicht der vom DNS gelieferten IP zu dem Namen
typischer Fall für SPF-Regeln

Ein wenig hilft: Mails verstehen! bei uns war es etwas einfacher face-wink
Einige Kolleginnen hatten mehrere Mailadressen .. na ja... bis sie dann Mails "von sich selbst" bekommen haben !
Das hatte dann durchschlagende Vertständniswirkung.

Mails mit Passwortschutz - Passwort darf NIE in der gleichen Mail genannt werden ( wer hängt seinen Wohnungsschlüssel außen mit einer Kette an das Schloß ?)
Hier gilt Nachlesen/Nachschulen: social engeneering !
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 08:39:53 (UTC)
Goto Top
Zitat von @Fennek11:

Ist es eine malware?

Zum Vergleich:

Palo-Alto-malware Analyse

Prüfe versichtig den Anhang, am besten unter Linux, bzw lade die Datei unzipped bei www.Virustotal.com hoch.

Ich habe leider keine Ahnung was es ist, weil ich rein gar nichts finde.

Mit dem Hochladen werde ich probieren. Danke.
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 08:40:29 (UTC)
Goto Top
Zitat von @VGem-e:

Moin,

und wenn es irgendwie geht, evtl. gleich alle ZIP-/Archivdateien am Gateway sperren und ins digitale Nirwana "verschieben"??

Gruß

Das ist passiert. Das Problem ist eher das Dritte diese Mails bekommen. Das ist eher das Hauptproblem. Intern werden sie alle geblockt.
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 08:41:46 (UTC)
Goto Top
SPF muss ich mich noch drum kümmern, aber das behebt leider nicht das Problem, dass Dritte diese Mails mit dem Anhang bekommen.

Ich finde eben absolut keine Schadsoftware auf den Clients oder auf den Servern.
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 08:45:33 (UTC)
Goto Top
Zitat von @Fennek11:

Ist es eine malware?

Zum Vergleich:

Palo-Alto-malware Analyse

Prüfe versichtig den Anhang, am besten unter Linux, bzw lade die Datei unzipped bei www.Virustotal.com hoch.

Das ist das Ergebnis der Word-Datei:
https://www.virustotal.com/gui/file/3d4b4f6dd4f9c864a1442ac5c4943747f040 ...
Member: Fennek11
Fennek11 Jan 08, 2021 at 08:54:06 (UTC)
Goto Top
Ja, eindeutig malware: ein Trojaner

Da ich kein Konto bei Virustotal habe, kann ich keine weiteren Infos, z.B. die Familie erkennen.

Versuche so gut es geht alle Infos/logs zu dokumentieren und spricht mit dem Admins/It-Security.
Member: Fennek11
Fennek11 Jan 08, 2021 at 08:59:35 (UTC)
Goto Top
Wenn man den ersten Base64 string dekodiert, gibt es:

?WVs und Sachstandsanfragen machen alle RAe und RAin künftig selbst

Macht das Sinn?
Member: Doskias
Doskias Jan 08, 2021 at 09:05:29 (UTC)
Goto Top
Moin

Zitat von @Fennek11:
Da ich kein Konto bei Virustotal habe, kann ich keine weiteren Infos, z.B. die Familie erkennen.


Doch kannst du. Bei MS steht beispielsweise TrojanDownloader:O97M/Emotet.SS!MTB. da geht dann eigentlich eindeutig draus hervor, dass es Emotet ist face-smile

@xaero:
Ist es denn 1 Kunde und 1 Gesprächspartner oder 1 Kunde und mehrere Gesprächspartner? Vielleicht suchst du ja auf der falschen Seite wenn es nur bei einem Kunden und einem Gesprächspartner auftritt.
Member: Fennek11
Fennek11 Jan 08, 2021 at 09:15:21 (UTC)
Goto Top
Ok.

Emotet greift die EMail - Kontakte ab und verschickt malware an diese Adressen. Es könnte Sinn machen die Geschäftspartner zu warnen.
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 10:01:22 (UTC)
Goto Top
Zitat von @Fennek11:

Wenn man den ersten Base64 string dekodiert, gibt es:

?WVs und Sachstandsanfragen machen alle RAe und RAin künftig selbst

Macht das Sinn?

Macht Sinn.
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 10:04:56 (UTC)
Goto Top
Zitat von @Doskias:

Moin

Zitat von @Fennek11:
Da ich kein Konto bei Virustotal habe, kann ich keine weiteren Infos, z.B. die Familie erkennen.


Doch kannst du. Bei MS steht beispielsweise TrojanDownloader:O97M/Emotet.SS!MTB. da geht dann eigentlich eindeutig draus hervor, dass es Emotet ist face-smile

@xaero:
Ist es denn 1 Kunde und 1 Gesprächspartner oder 1 Kunde und mehrere Gesprächspartner? Vielleicht suchst du ja auf der falschen Seite wenn es nur bei einem Kunden und einem Gesprächspartner auftritt.

Es sind Mails die an eigentlich alle Mitarbeiter des Kunden gehen und auch an einige externe verschiedene Gesprächspartner. Intern werden die Emails jetzt wie gesagt abgefangen, aber kann ich das eigentlich überhaupt beeinflussen, weil die Mails ja nicht über den Kundenmailserver gehen, sondern offenbar wirklich von Extern kommen?
Member: Doskias
Doskias Jan 08, 2021 at 10:27:53 (UTC)
Goto Top
Zitat von @Xaero1982:
aber kann ich das eigentlich überhaupt beeinflussen, weil die Mails ja nicht über den Kundenmailserver gehen, sondern offenbar wirklich von Extern kommen?

Leider nein. Selbst mit einem SPF-Check den du bei dir konfigurierst, würdest du ja nur deine Server öffentlich als deine auszeichnen. Wenn der Empfänger Mails ohne SPF-Check annimmt, dann kommen Sie weiterhin durch.

Da du ja aber schreibst, dass mehrere externe betroffen sind, scheinst du aber schonmal an der richtigen Stelle zu suchen. Ich würde auf jedem Client und Server mal schauen ob du Emotet findest:

https://www.heise.de/security/meldung/EmoCheck-Neues-Tool-kann-Emotet-In ...
Member: fredmy
fredmy Jan 08, 2021 updated at 11:01:04 (UTC)
Goto Top
Zitat von @Xaero1982:

Das ist passiert. Das Problem ist eher das Dritte diese Mails bekommen. Das ist eher das Hauptproblem. Intern werden sie alle geblockt.

Kannst du aber nix machen!
Von Dritten an (andere) Dritte - auch wenn dein Name benutzt wird.
Ist in etwas so als ob du verhindern kannst, daß Irgendjemand deinen Namen/Adresse als Absender auf einen Brief schreibt!, und ihn dann in den gelben Kasten einwirft!
( ähnlich Telefon[werbung/Verkauf] - wo du einen Nummer deiner Wahl als Anrufender angeben kannst )

Das Hauptproblem sind bei dir die angenommenden Mails (die im Prinzip auch alle archiviert werden müssen - als Geschäfts"Briefe").
Ordentliches SPF - da werden die Mail nicht angenommen (und auch da kann man wieder vertrauenswürdige FQDN/IPs definieren, bei denen nicht geprüft wird)

Einfach nachdenken face-wink .. alles was angenommen wird muß erst einmal archiviert werden, na ja eigentlich nur geschäftsrelevante Vorgänge - aber woher weiß der Archivierungsautomat das ?

Also Mailer so konfigururen daß er "Müll" möglichst nicht annimmt,

An einem Wurm in deinem System glaube ich noch nicht (es sei denn irgendeiner hat diese Mails geöffnet)
Zip-passwortgeschützt mit "mitgeliefertem Passwort .... aber (!) diese Spiel ist schon viele Jahre alt gefühlt über 20 Jahre)!
Es reicht eigentlich daß "irgendwo" Adressbücher abgegriffen worden sind.

Daß bei dir Clients autonom Mails versenden o.ä. sollte bei ordentlichem "Firewalling" eh nicht passieren dürfen.

Fred
Member: Fennek11
Fennek11 Jan 08, 2021 updated at 11:30:12 (UTC)
Goto Top
Falls Emotet gestartet wurde, wird -vermutlich- eine dll ins $HOME-Directory geschrieben, also c:\users\-eigenerName-

Zur Vorsicht sollte auch %temp% und c:\programData geprüft werden.


Palawer: Einem Bekannte, einem Rechtsanwalt, wurde vor Jahren von einem Banking-Trojaner das Konto ausgeraubt. Aus dieser indirekten Betroffenheit habe ich nach Info's zu malware gesucht und sehr, sehr viel gefunden. Auch die Command&Control-Server sind (teilweise) bekannt. Sie sind über die ganze Welt verteilt, aber auch in der D, EU oder USA. Für mich ist es schwer verständlich, warum die Polizei nicht mehr, vor allem schneller aktiv wird.
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 11:40:35 (UTC)
Goto Top
Zitat von @Doskias:

Zitat von @Xaero1982:
aber kann ich das eigentlich überhaupt beeinflussen, weil die Mails ja nicht über den Kundenmailserver gehen, sondern offenbar wirklich von Extern kommen?

Leider nein. Selbst mit einem SPF-Check den du bei dir konfigurierst, würdest du ja nur deine Server öffentlich als deine auszeichnen. Wenn der Empfänger Mails ohne SPF-Check annimmt, dann kommen Sie weiterhin durch.

Da du ja aber schreibst, dass mehrere externe betroffen sind, scheinst du aber schonmal an der richtigen Stelle zu suchen. Ich würde auf jedem Client und Server mal schauen ob du Emotet findest:

https://www.heise.de/security/meldung/EmoCheck-Neues-Tool-kann-Emotet-In ...

Hab ich durchlaufen lassen auf den Clients und Servern und das tool sagt: gibts nicht. Ich hab zwei der Rechner mit F-Secure, Malewarebytes, Eset und PC Cillin (diese Onlinescanner) geprüft und nichts finden können - nur auf einem hat Malewarebytes was gefunden. Irgendwas mit trojan, aber der schien nicht aktiv zu sein.
Member: LordGurke
LordGurke Jan 08, 2021 updated at 12:36:00 (UTC)
Goto Top
Zitat von @Xaero1982:
Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.

Alle Kunden oder nur ein bestimmter?
Das Problem kann ja schließlich auch beim Empfänger liegen.


Hab ich durchlaufen lassen auf den Clients und Servern und das tool sagt: gibts nicht. Ich hab zwei der Rechner mit F-Secure, Malewarebytes, Eset und PC Cillin (diese Onlinescanner) geprüft und nichts finden können - nur auf einem hat Malewarebytes was gefunden. Irgendwas mit trojan, aber der schien nicht aktiv zu sein.

Woran machst du fest, ob ein Trojaner aktiv ist oder nicht?
Member: schicksal
schicksal Jan 08, 2021 at 13:18:48 (UTC)
Goto Top
Mal alle Passwörter bei deinen E-Mail Konten ändern.
Weiters hast du einen Webserver mit Wordpress oder ähnlichem, Scanne diesen auf Sicherheitslücken.
Hört sich fast an als wenn du eine Plugin Lücke (E-Mail) hättest.

Ähnliche Mails wurden durch eine mir bekannte Wordpress Seite verteilt.
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 13:47:21 (UTC)
Goto Top
Zitat von @fredmy:

Zitat von @Xaero1982:

Das ist passiert. Das Problem ist eher das Dritte diese Mails bekommen. Das ist eher das Hauptproblem. Intern werden sie alle geblockt.

Kannst du aber nix machen!
Von Dritten an (andere) Dritte - auch wenn dein Name benutzt wird.
Ist in etwas so als ob du verhindern kannst, daß Irgendjemand deinen Namen/Adresse als Absender auf einen Brief schreibt!, und ihn dann in den gelben Kasten einwirft!
( ähnlich Telefon[werbung/Verkauf] - wo du einen Nummer deiner Wahl als Anrufender angeben kannst )


Das ist klar. Aber in den Emails ist eben original Korrespondenz zwischen den augenscheinlichen Gesprächspartnern, deren Absendernamen genutzt werden.

Also Mailer so konfigururen daß er "Müll" möglichst nicht annimmt,

Intern erfolgt.
An einem Wurm in deinem System glaube ich noch nicht (es sei denn irgendeiner hat diese Mails geöffnet)
Zip-passwortgeschützt mit "mitgeliefertem Passwort .... aber (!) diese Spiel ist schon viele Jahre alt gefühlt über 20 Jahre)!
Es reicht eigentlich daß "irgendwo" Adressbücher abgegriffen worden sind.

Erklärt aber nicht den Inhalt der Mails... :/

Daß bei dir Clients autonom Mails versenden o.ä. sollte bei ordentlichem "Firewalling" eh nicht passieren dürfen.

Korrekt, da geht nur was vom Mailserver raus.
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 13:50:07 (UTC)
Goto Top
Zitat von @LordGurke:

Zitat von @Xaero1982:
Das Blöde ist nur, dass auch die Kunden meines Kunden diese Mails bekommen. Im Moment bin ich etwas ratlos wo ich hier ansetzen könnte um überhaupt festzustellen woher das stammt.

Alle Kunden oder nur ein bestimmter?
Das Problem kann ja schließlich auch beim Empfänger liegen.
MWn unterschiedliche externe Empfänger.



Hab ich durchlaufen lassen auf den Clients und Servern und das tool sagt: gibts nicht. Ich hab zwei der Rechner mit F-Secure, Malewarebytes, Eset und PC Cillin (diese Onlinescanner) geprüft und nichts finden können - nur auf einem hat Malewarebytes was gefunden. Irgendwas mit trojan, aber der schien nicht aktiv zu sein.

Woran machst du fest, ob ein Trojaner aktiv ist oder nicht?

Gottvertrauen in oben genannte Tools face-smile
Member: Xaero1982
Xaero1982 Jan 08, 2021 at 13:51:06 (UTC)
Goto Top
Zitat von @schicksal:

Mal alle Passwörter bei deinen E-Mail Konten ändern.
Weiters hast du einen Webserver mit Wordpress oder ähnlichem, Scanne diesen auf Sicherheitslücken.
Hört sich fast an als wenn du eine Plugin Lücke (E-Mail) hättest.

Ähnliche Mails wurden durch eine mir bekannte Wordpress Seite verteilt.

Passwörter wurden zurückgesetzt. Muss ich weiter beobachten wie es sich nun verhält.

Sonst gibt es nur eine 3CX die noch läuft.

Grüße
GermanQuestionE-MailInternet
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment