Guten Morgen,
Ende letzter Woche informierten uns Hosting-Kunden über Spam-Mails, die mit deren Absendernamen versendet wurden. An sich (leider) nichts Besonderes - wäre es nicht so, dass die Spammails als Antwort auf tatsächliche E-Mails versendet wurden.
(also so, als wenn man eine Mail im Postfach herholt, auf "Antworten" klickt und dann noch einen Trojaner-Anhang dazupackt).
Wir haben dank umfangreicher Unterstützung zweier betroffener Postfachinhaber die Fälle analysieren können und sind zu folgenden Erkenntnissen gekommen:
- Zugriffe auf diese Postfächer erfolgten zu 99,9% nur von den "üblichen" (deutschen) IPs aus. Aber: es gab einzelne (!) Zugriffe von ausländischen IPs (völlig unterschiedlich: USA, Hongkong, Vietnam, Russland, ...). Von so einer IP aus erfolgte aber nur ein einziger Zugriff (danach tauchte diese IP bis auf einen Fall nicht mehr im Mail-Log auf). Zudem gab es pro Tag meist nur 3-4 solcher "ausländischen" Zugriffe pro Postfach. Also immer schön unter dem Radar...
- die Passwörter waren in vielen Fällen extrem simpel und erratbar, es war aber auch ein Kunde mit einem erfrischend komplexen Passwort betroffen. Dieser hatte dieses Passwort aber quasi überall verwendet (also auch auf anderen Websites/Shops).
Wir gehen daher davon aus, dass es irgendeinen deutschprachigen Shop o.ä. gab/gibt, von dem die E-Mail-Adressen und Passwörter der Benutzer entweder im Klartext oder nur unzureichend geschützt abhanden gekommen sind.
Der Versand der Spam/Trojaner-Mails erfolgt übrigens über andere SMTP-Server, sogar mit anderen (nicht passenden) Absenderadressen. Darüber lassen sich die Mails auch erkennen. Verfasst sind diese in deutscher Sprache, meist mit so etwas wie
[INDENT]Sie müssen sich diese Berechnungen ansehen und überprüfen, ob sie korrekt sind.
[/INDENT]
oder
[INDENT]Hier sind die Informationen, die Sie angefordert haben.
[/INDENT]
Um das eigene Mail-Log auf Auffälligkeiten zu untersuchen:
- Liste aller IMAP-Zugriffe erzeugen:
grep 'imap-login: Login: user' /var/log/mail.log >/tmp/imap.log - IP-Adressen sortieren & gruppieren:
cut -d ',' -f 3 /tmp/imap.log | cut -b 6- | sort | uniq -c | less
Vor allem Einträge mit nur 1 oder 2 Zugriffen aus "isolierten" Netzbereichen sollten überprüft werden (z.B. mit WhoIs). Stellt sich dann heraus, dass dieser Zugriff aus einem "fremden" Netz war, sollte man mit grep alle IMAP-Zugriffe auf dieses Postfach heraussuchen, die IPs extrahieren und das dann noch mal prüfen. Achtet darauf, dass es auch legitime Kunden in Hongkong, Kasachstan usw. geben kann die auf ihr Postfach zugreifen.
Viele Grüße
-Klaus Keppler