Sicherheitswarnung zu Ihrem Internet-Zugang...?

[chris90]

ich habe einen Brief von der Telekom bekommen, dass von meinem Internet-Zugang aus Schadsoftware verschickt wird. Jetzt bin ich leider etwas ratlos, wie ich vorgehen soll:

1) Über die beiden Macs im Haushalt läuft gerade ClamXav und Avira. Sollten beide nichts finden, kann ich dann (unter normalen Umständen) davon ausgehen, dass die beiden Geräte nicht betroffen sind?
2) Wie überprüfe ich iPhones und iPads?
3) Wie stehen die Chancen, dass ein gejailbreaktes Apple TV die Ursache ist?
4) Gibt es irgendeine Möglichkeit herauszufinden, welches Gerät betroffen ist? (Telekom kann nicht weiterhelfen)

 

[sirius63]

Hallo Chris,
die Post hatte ich letztes Jahr auch bekommen. Bei mir war es der Router (D-Link DIR-100) mit einer veralteten Firmware, der von außen dazu benutzt wurde über meine IP Spam zu verschicken. Da ich damals eh mit einer Airport TC 3TB geliebäugelt habe, hab ich den alten Router kurzerhand entsorgt. Würde eher nach solchen Ursachen suchen.

 

[chris90]

danke für die Antwort.
Woher wusstest du, dass es am Router lag? Ich betreibe eine Fritzbox mit neuster Firmware, von daher denke ich eher nicht, dass es daran liegt.

 

[sirius63]

gute Frage. Das war die einzige Schwachstelle die ich gefunden habe. Das Problem mit diesem Router und der alten Firmware war zumindest nachvollziehbar und wird/wurde auch im Netz diskutiert. Außerdem war zu der von der Telekom angegebenen Zeit zu der massenhaft Spam über meine IP versendet worden sein sollte, weder einer im Haus noch war irgendein Mac an. Nach dem Router-Tausch hab ich zumindest von denen keine Post mehr bekommen.

 

[chris90]

wurde dir ein konkreter Zeitraum genannt, in dem der Zugriff stattgefunden hat? Bei mir steht leider nichts dabei, sonst würde die Eingrenzung etwas leichter fallen.

 

[sirius63]

ja, mit Kundennummer, Anschlussinhaber, IP-Adresse (stimmte alles) und mit genauem Datum und Uhrzeit.
Und da wir damals außerdem kein WLAN-Netz (der Router konnte gar kein WLAN) genutzt haben sondern die Rechner ausschließlich über Ethernet am Router hingen, konnte ich mir das alles erst recht nicht erklären. Da blieb eigentlich nur der Router als Schwachstelle übrig.

 

[chris90]

hm komisch, bei mir ist das Ganze sehr allgemein gehalten: Zugangsnummer zum Anschluss und der Hinweis, dass von meinem Anschluss Schadprogramme versendet werden. Keine IP und kein Datum.

 

[sirius63]

Das ist schon komisch. Soweit ich mich richtig erinnere, hatten die von der Telekom zuerst auch eine Mail geschickt und danach kam erst der Brief per Post. Bei der Mail von denen hatte ich sogar zuerst gedacht, "Ha, das ist wohl Spam. Wer schickt mir denn so was." und hab das erst mal gar nicht beachtet. Nur als Brief kam, hab ich dann noch mal genau gelesen.

 

[echo.park]

Das ist in der Tat sehr (!) wage. Zum Beispiel fehlt der Hinweis welche Art von Schadsoftware gemeint ist, oder was unter "Versenden" (von Schadsoftware) zu verstehen ist.

Also ist es nun Spam, oder ist deine IP als Teil eines Botnetzes in Erscheinung getreten? Die Telekom betreibt diverse Sink-Holes oder auch Honeypots, IP-Adressen von der eigenen Kundschaft werden dort erkannt und herausgefiltert. Anschließend wird der Kunde informiert. Aber dann normalerweise mit einem Hinweis wie "auf einem Ihrer Geräte befindet sich der Zeus-Trojaner".

War denn in der letzten Zeit eine Windows-Kiste über deinen Anschluss online?

 

[chris90]

per Bootcamp verwende ich gelegentlich Windows, allerdings eher für Kleinigkeiten (in der Summe vll 2 Stunden). Im Brief selbst steht wortwörtlich (... = unwichtiges blabla bzgl. Virenscanner und Passwörter):

"wir müssen leider davon ausgehen, dass von Ihrem Internet-Anschluss Schadsoftware, wie zum Beispiel Viren oder Trojaner, versendet werden...
Den Hinweis auf Ihren Anschluss und Ihre Ip-Adresse haben wir von externen Sicherheitsexperten erhalten...
Sollten Sie die missbräuchliche Nutzung Ihres Anschlusses nicht unterbinden, müssen wir leider Ihren E-Mail-Versand einschränken, um andere Nutzer zu schützen..."

Leider hilft mir das wenig weiter.

 

[nomos]

Leider hilft mir das wenig weiter.

Dann soll die Telekom doch mal etwas konkreter werden (Protokolle der "externen Sicherheitsexperten" z.B.)
Mit so einem allgemeinen Larifari kann ja kein Mensch was anfangen.

 

[Martin Wendel]

Wurde vielleicht dein Mailaccount gehackt? Ich würde mal das Passwort ändern auf jeden Fall.

 

[chris90]

müsste ich dann nicht im Mailausgang seltsame Emails finden?

 

[Martin Wendel]

Nein, nicht zwangsweise.

 

[echo.park]

Sollten Sie die missbräuchliche Nutzung Ihres Anschlusses nicht unterbinden, müssen wir leider Ihren E-Mail-Versand einschränken, um andere Nutzer zu schützen.

Das hört sich so an, als drehe es sich hier um den Versand von Spam-Mails.

Mal locker aus der Hüfte: Ich vermute sehr stark, dass deine Windows-Installation "befallen" ist. Alles andere ist einfach zu unwahrscheinlich (Mac, Fritzbox). Genau hier solltest du also ansetzen. Kompetenten Windows-Malware-Scanner einsetzen, oder die Bootcamp-Partition gleich ganz platt machen. Ist bei Windows vermutlich eh die bessere Wahl.



Und deine Mail-Accounts solltest du auch mal checken.

 

[Ede42]

Die Telekom mal telefonisch kontaktieren, möchte ich da mal empfehlen.

0800 33 01000 ist kostenfrei.

 

[sirius63]

soweit ich das noch richtig in Erinnerung habe, ordnet die Telekom jeden dieser Vorgänge eine Abuse-ID Nummer zu. Die sollte in dem Brief und/oder in dem Email an den Hauptnutzer des Zugangs stehen, der missbraucht wurde. Der Brief an uns war auch in dem Wortlaut gehalten, genaueres stand aber in der Mail bzw. in der Antwortmail von der Telekom nachdem ich da mal nachgefragt habe. Ich würde auch mal nachfragen.

 

[chris90]

schon angerufen, da konnte man mir aber nicht weiterhelfen und hat mich an das Abuse-Team verwiesen, die nur per Email zu erreichen sind. Ich habe daraufhin ne Email hingeschrieben, aber noch keine Antwort erhalten.

eine Nachfrage bzgl. des gehackten Mailaccount: wenn mein Account gehackt wurde, dann hat das doch keine Auswirkungen auf meinen Telekom-Zugang oder? Dann werden aus Sonstwo Mails über meinen Account und mit dessen Internetzugang verschickt. Dementsprechend müsste das der Telekom doch egal sein. Als Info noch: ich habe nie eine Telekom-Email-Adresse eingerichtet.

 

[Ede42]

Als Info noch: ich habe nie eine Telekom-Email-Adresse eingerichtet.

Wollte vorhin nicht gleich mit meiner Vermutung Unruhe stiften, dass eventuell gewisses Banditentum mit falscher E-Mail u. Post dich weichklopfen wollen, um dir dann teure Software aufzudrehen oder sonstwie zum Löhnen zu bringen.

Schau mal genau in die näheren Eigenschaften der betr. Mail.

 

[echo.park]

@Ede42 Hier geht es um einen Brief, der per Post zugestellt wurde.