Newbe braucht Help !!! efw versendet spam!!!

1. offizieller Beitrag

    Hallo Zusammen,

    habe einen Notfall, und bin um jede Hilfe dankbar. Wir setzen seit Monaten EFW 2.2 RC3 ein. Vor ca. 3 Tagen gabs eine Attacke mit Trojan.Peed-474. Der hat anscheinend die efw geknackt. So das Sie jetzt mit unseren E-Mail Server Spam in Massen versendet. Ich hatte etwa 6500 Mail im Ausgang, die meisten werden gebounct. Alles extrem langsam. Wie kann ich diese angefallene Liste schnell selektiv löschen, hat auch scharfe Mails aus unserer Firma dabei die natürlich laufen müssen. Es gibt ja nur den knopf Flush Mail, eine weitere Behandlung / bearbeitung ist nicht möglich. Einfach Firewall austauschen, gleiche Hardware neu aufgesetzt ist die lezte möglichkeit. Möchte unsere Firmen Mails nicht verlieren. Bitte dringend um Hilfe. Danke an alle

    Hallo wolfili,

    Ja meine Mail Queue wächst im Momment wieder, ca 1000 Mail ein gemisch aus spam und unseren eigenen. Mann sieht auch schön das einige spam Mails an mehrere User gehen. Es findet nicht wirklich eine ab arbeitung statt. Vielleicht ein Mail alle 5min. Habe einen P4 2.8 GHz Rechner mit 1GB Ram. Habe jezt mal im SMTP Proxy den Mail eingang abgeklemmt. Wenn ich den Proxy abschalte werden die mails ja wieder direkt an meinen E-Mail Server gesendet. Werden die anstehenden bestehenden Mails in der efw trotzdem noch abgearbeitet, sprich versendet ? Wo finde ich den Folder um allenfalls einige der Spam Mails manuell zu löschen um die Queue zu verkürzen ?

    Gruss Gamma-x

    • Offizieller Beitrag

    Hallo gamma-x,
    hast du den Virenscanner laufen auf POP3 ? Der Trojan.Peed-474 wird nämlich von Clan AV gefunden.
    Eine Neuinstallation dauert nur eine ¾ Stunde wenn du deine Sicherung wieder einspielst , ich glaube nicht das die die efw geknackt ist,
    es sei denn du hast das Teil auch auf deinem Rechen und du warst gleichzeitig auf der der efw eingeloggt und selbst dann glaube ich nicht dran.
    Deine Mail- Queue hängt nur voll, schau mal in /usr/bin/ unter mailq und mailq.postffix da steht nur 0ELF000 drin wenn du keine Post hast.

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo,
    glaube auch nicht das die efw gehackt worden ist. Glaube eher das ein Gerät/User massig an spam verschickt.
    Da der SMTP Proxy an ist an der EFW kann da ja jede Anwendung, nutze ich um mich via Acronis Informieren zu lassen.
    Gebe lediglich die email adresse an und SMTP Server die EFW. Fertig.

    Daher kann ich mir villeicht vorstellen das ein PC dein Mailserver nutzt und Müll zu verschicken.
    So wie Sabine sagte vorstellen das deine efw gehacket ist glaube ich nicht.
    gruß

    Mein Computer kann alles, wegen seiner 32 Bit!
    Wenn ich 32 Bit intus habe, kann ich auch alles!

    Hallo,

    ich würde auch als ersten Schritt die Endian vom Netz abhängen, dann den Mailqueue von Postfix löschen.
    Als nächstes das Maillog öffnen, dann die Endian wieder ans Netz hängen.
    Normalerweise kann man dann nach kurzer Zeit wieder Einlieferungen an Postfix sehen. Dann einfach die entsprechende IP überprüfen, fertig.

    Gruß
    Joxx

    Ich danke euch allen, für euren Input. Tatsächlich ist ein PC im Netz der spamt.Im log sieht man die IP. Der Rechner wird platgemacht. Herzlichen Dank, problem gelöst.