Wie kann ich Port 25 blocken

[ktm-david]

Hallo Community

Mein G5 ist leider Teil eines Botnets geworden und verschickt SPAM.

Bemerkt habe ich es, als ich immer wieder SPAM-Mails als unzustellbar zurückgeschickt bekam, die ich natürlich nie versendet hatte. Im Header ist zu sehen, dass die Mails tatsächlich von meiner IP und auch von Mail mit der korrekten Version verschickt wurden - ausserdem werden diese Mails ausschliesslich zu Zeiten versandt, an denen mein Rechner tatsächlich läuft. Um sicher zu sein, habe ich meinen Hosting-Service gebeten, die Logfiles des Mailservers anzuschauen und siehe da, die SPAM-Mails kommen tatsächlich von meinem Rechner!

Also sofort [ein Virenschutzprogramm] gekauft (habe noch nie ein Anti-Viren-Tool gekauft) und drübergelassen: 5 Viren gefunden und vernichtet. Leider versendet mein Mac noch immer SPAM, offenbar kennt [das Virenschutzprogramm] meinen Käfer noch nicht.

Deshalb würde ich gerne Port 25 blocken, so dass ich:
1) mitkriege, wann die SPAM-Mails rausgeschickt werden sollen aber am blockierten Port hängen bleiben
2) den Port immer manuel freigeben muss, wenn ich wirklich ein Mail verschicken will

Hat jemand eine Idee, wie ich das anstelle? Die neue Firewall vom Leo ist da keine Hilfe, weil damit keine einzelnen Ports konfiguriert werden können.

Hat sonst jemand eine Idee, wie ich dem Virus beikommen könnte?

Und weiss jemand die Adresse von dem Typen, der das Botnet betreibt? Würde den gerne mal besuchen...

Vielen Dank und Gruss
David

 

[different]

probiers mal mit little snitch?

 

[reab]

Deshalb würde ich gerne Port 25 blocken, so dass ich:
1) mitkriege, wann die SPAM-Mails rausgeschickt werden sollen aber am blockierten Port hängen bleiben
2) den Port immer manuel freigeben muss, wenn ich wirklich ein Mail verschicken will

Da verwechselst du wohl etwas. Eine Firewall ist nicht dazu da, ausgehende Verbindungen zu gestatten oder zu unterbinden sondern unerwünschte Aktivitäten von aussen zu verhindern.

 

[dahui]

Da verwechselst du wohl etwas. Eine Firewall ist nicht dazu da, ausgehende Verbindungen zu gestatten oder zu unterbinden sondern unerwünschte Aktivitäten von aussen zu verhindern.

oder DU

die kleine petze ist eben genau nur für ausgehenden verkehr

 

[Mitglied 40451]

Da verwechselst du wohl etwas. Eine Firewall ist nicht dazu da, ausgehende Verbindungen zu gestatten oder zu unterbinden sondern unerwünschte Aktivitäten von aussen zu verhindern.

"Firewall" an sich ist ja ein dehnbarer Begriff. Aber wer sagt denn, dass Firewalls (welcher Art auch immer) nur den Traffic in einer Richtung beackern? Das ist nicht korrekt.

 

[Bier]

Also sofort [ein Virenschutzprogramm] gekauft (habe noch nie ein Anti-Viren-Tool gekauft) und drübergelassen: 5 Viren gefunden und vernichtet. Leider versendet mein Mac noch immer SPAM, offenbar kennt [das Virenschutzprogramm] meinen Käfer noch nicht.

Aha... Stichwort virales Marketing.

Es gehört schon eine EXTREME DUMMHEIT dazu... !!! Außerdem wird sich Dein Scheiss sicherlich nicht via Freemailer verschicken, sodass Du in Deinem verhunzten System nicht zugestellte eMails bekommst.
Änder mal Dein Passwort...

Es ist sehr unwahrscheinlich, dass Du Dir einen eigenen mailserver aufgesetzt hast.

 

[ktm-david]

Hallo Bier

Es gehört schon eine EXTREME DUMMHEIT dazu... !!! Außerdem wird sich Dein Scheiss sicherlich nicht via Freemailer verschicken, sodass Du in Deinem verhunzten System nicht zugestellte eMails bekommst.
Änder mal Dein Passwort...

Es ist sehr unwahrscheinlich, dass Du Dir einen eigenen mailserver aufgesetzt hast.

Auf den Stil Deines Postings möchte ich nicht näher eingehen. Abgesehen davon bin ich aber für jeden Tipp dankbar, wie ich meine EXTREME DUMMHEIT überwinden kann.

Einen eigenen Mailserver habe ich natürlich nicht selber aufgesetzt, aber ich verstehe nicht ganz, was das damit zu tun hat. Der Webserver wurde auf meiner Domain installiert (von meinem Hosting Service metanet.ch).

Das Passwort habe ich natürlich als erste Massnahme geändert.

Gruss
Dummbatz David

 

[Peter Maurer]

Wenn Mail.app die Mails verschickt, muessten sie doch im "Gesendet"-Ordner liegen, oder? Ausserdem staune ich gerade: Das ist der erste Mac, der Teil eines Botnets ist, von dem ich je gehoert habe. Damit wirst Du beruehmt, ktm-david!

Hast Du irgendwelche Mail.app-Plugins installiert?

 

[ktm-david]

Hallo Peter

Nein, ich habe keine Plugins installiert.

Die Mails werden nicht im Sent-Mail abgelegt, ich denke, das kann umgangen werden (by the way: liegen die iCal-Erinnerungen im Sent-Mail?). Die Gründe, warum ich ziemlich sicher bin, dass die Mails von meinem Rechner kommen sind:

- Im Header der Mails ist meine IP drin (die IP wechselt täglich)
- Im Header steht drin, dass die Mails mit Mail versandt wurden (inkl die korrekte Versionennummer)
- Im Header steht die Zeit, zu der das Mail versandt wurde - es sind immer Zeiten, an denen mein Rechner läuft.
- Mein Hoster hat auf meinen Wunsch das Logfile des Mailservers kontrolliert und mir bestätigt, dass das Mail tatsächlich zur im Header angegebenen Zeit von meiner IP geschickt wurde.

Ich habe mir nie viele Gedanken um Botnets, etc gemacht aber nun ein bisschen gesurft. Offenbar ist mein Mac nicht der erste Apple, der Teil eines Botnets wurde. Der Grund sei, dass die Programmierer dieser Malware heute Technologien nutzen würden, die plattformunabhängig seien (als Beispiel wurde PHP etc genannt).

Berüphmt wollte ich eigentlich nie werden -jedenfalls nicht so

Gruss David

 

[arc]

Ich kann's nicht so richtig glauben.
MacMark, Rastafari ... wo sind denn die ganzen Leute hier, die sich mit solchen Sachen wohl auskennen müssten?

 

[Rastafari]

Berüphmt wollte ich eigentlich nie werden -jedenfalls nicht so

Das wirst du wohl nicht werden. Du wirst nur um die Erfahrung reicher sein, dass man nicht leichtfertig mit Sicherheitsratschlägen umgehen darf. Wenn du zum Bleistift aus Bequemlichkeit irgendein Benutzerkonto ganz ohne oder mit nur einem sehr schwachen Kennwort eingerichtet und einen der Netzdienste aktiviert hast, der eine Anmeldung von aussen erlaubt, dann bist du vermutlich nicht Teil eines ominösen Botnetzes, sondern Opfer eines ganz normalen, ordinären, manuellen 08/15 Hacks geworden. Es würde mich nicht weiter wundern, wenn es auf deinem Rechner einen oder mehrere Accounts und vielleicht auch ein bisschen Warez und Pr0n hat, von denen du bisher noch nichts weisst. Vielleicht hast du auch einfach nur ein offenes AirPort Netz stehen und jemand anderes freut sich tierisch über einen kostenlosen Netzzugang.
Überleg auch mal in die Richtung, wer in deinem Bekanntenkreis für neckische Streiche in Frage kommt.

Weisst du, dein Mac ist sicher - wenn du ihn nicht vorsätzlich oder fahrlässig sabotierst. Der kann dich nicht davor bewahren, selber Unsinn zu machen. Sich sicher zu verhalten kann er dir nicht abnehmen.
Du weisst, was PEBKAC bedeutet?
"Problem exists between Keyboard and Chair."
Wollen wir wetten?

Ich kann mir vorstellen das du das weniger belustigend findest als ich, aber um dir wirklich helfen zu können gibt es nur einen Weg: Festplatte sofort klonen und die Kopie der forensischen Fachkraft übergeben. Vorausgesetzt, du willst erfahren was da geschehen ist, und evtl. Strafanzeige erstatten.

 

[ktm-david]

Hallo Rastafari

Vielen Dank für die konstruktive Antwort. Dass das Problem irgendwann von mir verschuldet wurde, war mir schon vorher klar - ich habe ja auch nie behauptet, dass es an meinem "unsicheren" Mac liegt. Auch Teil eines Botnets wird der Rechner nur, wenn es irgendwie ermöglicht wird, dass Dritte unerwünschte Software installieren können.

Trotzdem bin ich jetzt nicht ganz so blöd, wie ich das Gefühl habe, eingeschätzt zu werden:
- Nein, mein Airport ist nicht offen
- Nein, mein User-Account ist nicht passwortfrei
- Ja, das Passwort ändere ich regelmässig
- Nein, das Passwort steht nicht im Duden und ist auch nicht das Geburtsdatum meiner Katze
- Aber ja, File Sharing ist aktiv

Was ich bisher nicht geschrieben habe: Passieren tut das nur, wenn ich eingeloggt bin - wird der Rechner gestartet und meine Freundin ist eingeloggt, passiert das nicht. Ich schliesse jetzt mal daraus, dass also vermutlich nicht ein zusätzlicher Account das Problem ist, sondern irgend eine Schweinerei auf meinem Account.
Und von diesem Problem hätte ich jetzt eigentlich gehofft, dass [das Virenschutzprogramm] es findet. Also: Wie finde ich den Plunder, wenn [das Virenschutzprogramm] ihn nicht findet?
Noch eine Info: Ich habe drei E-Mailaccounts in Mail.app eingerichtet - alle beim selben Hosting-Service aber auf drei verschiedenen Domains. Nur eine Adresse wird missbraucht.

Von Malware verstehe ich zugegebenermassen wenig. Es geht mir jetzt auch nicht darum, ob wir das Problem Botnet oder Zombie oder wie auch immer nennen. Es geht mir darum, es zu beenden. Falls es Ideen gibt, wie ich das Problem eingrenzen kann, dann bin ich sehr dankbar darüber.

Vielen Dank für Eure Hilfe und besten Gruss
David

 

[arc]

Du solltest vielleicht für den Anfang mal einen (anonymisierten!) Auszug aus den Logs die dir dein Provider zur Verfügung gestellt hier posten?

Und, hast Du Little Snitch nun schon mal testweise angeworfen? Die aktuelle Version hat ja so etwas wie Realtime-Logging, damit könnte man ggf. ohne Terminal-"VooDoo" schon mal sehen ob und wenn ja was da fröhlich vor sich hin sendet.

 

[ktm-david]

Noch was: Die ursprüngliche Idee war ja, Port 25 zu schliessen, so dass ich sehe, wer eine Öffnung des Ports begehrt. Falls das eine dumme Idee ist und nichts bringt, dann sagt mir das einfach. Ich bin für jeden Tipp dankbar.

 

[ktm-david]

Du solltest vielleicht für den Anfang mal einen (anonymisierten!) Auszug aus den Logs die dir dein Provider zur Verfügung gestellt hier posten?

Und, hast Du Little Snitch nun schon mal testweise angeworfen? Die aktuelle Version hat ja so etwas wie Realtime-Logging, damit könnte man ggf. ohne Terminal-"VooDoo" schon mal sehen ob und wenn ja was da fröhlich vor sich hin sendet.

Vielen Dank für die Tipps

Da ich im Moment in der Firma bin, konnte ich noch nichts testen. Das Log habe ich jetzt angefordert - bisher haben die nur für mich reingeschaut.

Vielen Dank und Gruss
David

 

[Peter Maurer]

Das hoert sich fuer mich immer noch so an, als ob ein lustiger kleiner Spam-Prozess (u.U. ein einfaches AppleScript) Mail.app fernsteuert. Deshalb interessieren mich noch zwei Dinge:

1. Welche Startobjekte hast Du (Systemeinstellungen > Benutzer > Startobjekte)?

2. Wenn keine Mail.app-Plugins installiert sind (Library > Mail > Bundles, sicherheitshalber sowohl im Benutzerverzeichnis als auch benutzeruebergreifend) -- wie sieht's mit Input Managern aus (Library > InputManagers, wie vor)?

Ansonsten wuerd' ich auch mal Little Snitch probieren.

 

[praxe]

Little Snicht! Gibts einen super Beitrag dazu bei Mac-TV! Das wär genau das was du brauchst! Vl kann das die OSX Firewall auch, woran ich aber nicht glaube, da die sehr einfach gestrickt ist!

 

[arc]

Noch was: Die ursprüngliche Idee war ja, Port 25 zu schliessen, so dass ich sehe, wer eine Öffnung des Ports begehrt. Falls das eine dumme Idee ist und nichts bringt, dann sagt mir das einfach. Ich bin für jeden Tipp dankbar.

Jupp, das geht mit LittleSnitch. Und so ist dessen Anwendung hier ja auch gemeint . Du mußt den Port dazu nicht unbedingt schliessen, aber beobachten was sich darauf so tut.

 

[wolfsbein]

Du musst dir nicht extra eine Anwendung kaufen. Wireshark tut es auch. Aber bitte schliess den Rechner dabei nicht ans Internet, sondern ein geschlossenes LAN, damit nicht noch mehr Muell rausgeht und eventuell auch auf deinen Rechner drauf.
Es waere auf jeden Fall sehr interssant welcher Schaedling so primitiv agiert und Mail fernsteuert.

 

[arc]

LittleSnitch funktioniert doch eine Zeitlang im Demomodus - muß man also zuallererst gar nicht kaufen.