Spam Mails im Firewall Log erkennen.

[Awsom]

Guten Morgen,

Wir haben einen Brief von der Telekom erhalten, dass von unserem Anschluss aus Spam Mails versendet werden. Nachdem mit Desinfec't und verschiedenen anderen Tools kein größerer Schädling erkannt wurde. Habe ich Untangle zwischen Router und Netzwerk installiert.

Jetzt habe ich einen 40 Seiten log und wüsste gerne bevor ich jede IP mit who.is abfrage und/oder versuche sie zu öffnen, wie ich am besten vorgehe.

Gibt es einen bestimmten Port nach welchem Ausschau gehalten werden sollte? Auffällig erschien mit als Laie bisher nur eine Verbindung zu einer Seite die in Amerika liegt und lediglich das Wort "Resolver" erhält.

Regards
Rag4

 

[herrhannes]

Alles was auf Port 25 am Ziel geht und nicht von deinem Mailclient stammt ist potentiell verdächtig.

 

[Mika911]

Hatte ich auch mal.
Ich hab mich einfach mit nem Netzwerkmonitor von Microsoft an die verdächtigen Rechner gehängt und
beobachtet.
Der eine Rechner fing immer hektisch an mit googlemail zu kommunizieren, da war dann alles klar.
Rechner platt gemacht, seit dem läuft Ubuntu drauf.
Such doch in der Log einfach mal nach schlagwörtern, wie:"mail, @, web, gmail" usw..
Edit: Ja, der Port 25 wäre auch ne möglichkeit.(Nicht drauf gekommen) =)
Mfg

 

[Awsom]

Keine Verbindungen über den Port 25 das klingt ja schonmal gut.

88192002752928,Thu	Aug	23	13:35:42	CEST	2012,false,5,,/192.168.202.103,2500,/173.194.35.142,80

So sieht ein Log aus da sind leider keine Schlagwörter enthalten. Ich besitze auch momentan nicht die Möglichkeit weitere Überwachungsprogramme im Netzwerk laufen zu lassen.

Ich habe in der Untangle noch folgende Logs:
Web Filter Lite
Virus Blocker Lite
Spyware Blocker
Phish Blocker
Application Control Lite

Wofür genau ist der Port 53? Zu diesem zeigt der Log 217 Verbindungen in ~4min.

 

[Mika911]

Wieso machst du dich nicht selber schlaut ?
Den Port hätte man einfach mal suchen können.
Dann hättest du erfahren, dass es sich um den DNS-Port handelt.
Dass auf Port 25 keine aktivität festzustellen ist, würde mich lange noch nicht beruhigen.
Ich kenn mich leider nicht mit Untangle aus und kann dir somit dazu keine weiteren Tips geben.
Wie viele Rechner sind denn im Netzwerk? Bist du zu hause oder auf der Arbeit?
Warum kannst du keine weiteren Diagnosetools testen?

 

[Awsom]

Ja genau ich sitze auf der Arbeit und der Untangle Log wurde gestern Abend bei einer Kundin erstellt. Aus diesem Grund ist es mir momenta nicht möglich weitere Logs zu erstellen.

3 Computer befinden sich in dem Netzwerk.

Es beruhigt mich nicht das kein Aufruf mit dem Port 25 statt fand da dieser laut des Telekoms schreiben auch gesperrt wurde.

Ich hatte noch die Möglichkeit einen Network Monitor laufen zu lassen. Dieser zeigt im 5s Takt Verbindung zur 208.50.223.244 über den Port 80 mit der WebProxy.exe. Beenden lies sie sich nicht, erst durch Deinstallation von der Panda Internet Security verschwand die .exe.

Da dies mein erster Fall ist weiß ich nicht so recht wie ich vorgehen soll. Sollte ich das Netzwerk noch mit Wireshark untersuchen? Einfach alle PC's platt machen will ich nicht da falls etwas vorhanden ist mich interessiert. Wie, wo, was,...!

 

[matthias3000]

Würde auf jeden fall einen kompletten Scan von CD machen.
Evtl einen "neuen" Rechner ins Netz hängen und sämtlichen Traffic mitschneiden.
Wenn man mit Wireshark etwas geschickt filtert, bekommt man schnell Antworten...
(Wenn der Port gesperrt wurde, könnte man den PC KURZ an einen anderen Anschluss hängen und dort den Traffic mitschneiden)

Handelt es sich um Firmenrechner?
Dann keine Spielchen! Stecker raus und die Sache klären.
Wenn du dich damit nicht auskennst, ziehe jemand hinzu der das tut!

 

[Mika911]

Das sperren des Ports hat keine auswirkung, bei mir war es so, das troz der sperrung
weiter Mails gesendet wurden. Ob über Port 25 kann ich nichtmehr sagen.
Wie gesagt ich hab die 2 verdächtigen die ich bei mir hatte nur kurz überwachen müssen und dann
sind mir die googlemail-verbindungen deutlich aufgefallen.

 

[Awsom]

Ich habe jeden PC mit desinfec't gescannt. Stinger, Malwarebytes und S&D.

Werde dann das Netzwerk mal sniffen. Da aus der Firewall nix weiter für mich zu erkennen ist. Aber da soll der Chef mal noch einen Blick drüber werfen.

Es handelt sich dabei natürlich nicht um Firmenrechner.