• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Ausgehende Emails werden gebounced - IP Blacklisted?

Commodo

NGBler

Registriert
17 Mai 2014
Beiträge
151
Halli Hallo,

ein Freund hat mich um Rat gefragt aber meine Kenntnisse über Email-Server sind begrenzt, darum wollte ich euch mal fragen ob ich den Sachverhalt richtig interpretiere.

Emails die per normalem Mailprogramm versendet werden werden seit ein paar Tagen auf einmal gebounced, davor lief alles über ein Jahr lang problemlos, es wurde nichts an der Konfig geändert (von dem ich weiss, ich hab den Kram eingerichtet damals aber die Person würde da auch nicht rumfummeln, das ist Blackbox für die Person).
Die Fehlermeldung enthält den Hinweis dass die Email abgelehnt wurde weil die IP-Adresse des Senders auf einer Blacklist auftaucht aufgrund von Spam + Botnetztraffic und verweist auf https://www.spamhaus.org/query/ip/89.107.189.231.

Ein kurzer Check dieser IP ergibt: https://myip.ms/view/ip_addresses/1500232960/89.107.189.0_89.107.189.255

oder einfach: https://xc7.serverdomain.org/neutral/ wenn man die IP direkt im Browser eingibt, die Domain gehört zu Webhostone, was der Emailprovider (und auch Domainverwalter für die Webseite die mit der Emailadresse zusammenhängt) des Freundes ist.

MX-Eintrag:
Pref Hostname IP Address TTL
10 xc7.serverdomain.org 89.107.189.231 (TelemaxX Telekommunikation GmbH (AS12843)) 60 min

Der betreffender Recher ist ein Macbook Air auf dem nie was installiert wird seit nem halben Jahr, der ist eingerichtet, läuft und wird nicht verändert.

Frage:
Hat jetzt das Macbook eventuell einen Trojaner?
Hat der Email-Provider ein unbekanntes Botnetz bei sich laufen?
Hat ein anderer Kunde ein Botnetz/Spam-Problem, den Kram über die Webhostone-MX-IP laufen lassen und jetzt sind 'n Haufen Kunden am Arsch?

Kundensupport hab ich schon angeschrieben aber ich weiss nicht ob ich den Sachverhalt da richtig dargestellt hab :confused:.

Komplette anonymisierte Metadaten der Email kann ich euch leider aktuell nicht zur Verfügung stellen, ich kriege wohl erst Sonntag Zugriff auf die entsprechenden Bounce-Mails und die mir so vorab zu schicken ... technisch zu anspruchsvoll.

Aber da der Account geschäftlich genutzt wird brennt da aktuell die Hütte (kleines 1-Mann-Unternehmen), darum dachte ich ich frag mal euch Profis vorab.

Danke schonmal :beer:.
 
Zuletzt bearbeitet:

electric.larry

\''; DROP TABLE user; --
Teammitglied

Registriert
13 Dez. 2014
Beiträge
4.549
Ort
Raum 43
Die IP Adresse des Mailservers ist auf mehreren Blacklists gelandet. Siehe MXTOOLBOX ausgabe.

Die CBL behauptet: "This IP is infected (or NATting for a computer that is infected) with a botnet, most likely eitest."

Ich kenne das Setup von deinem Kumpel nicht und hab auch keine Erfahrung, ob man der Info von der CBL zu 100 % vertrauen kann. Aber wenn dein Freund auf der IP Adresse selbst einen Server betreibt, dann hat er ein Problem. Wenn das ein "normaler" Webspace + E-Mail Adresse ist, die er bei irgendeiner Firma gemietet hat, dann hat diese Firma das Problem.

CBL sagt zum Blacklisting:
Too many relistings in the past 24 hours (29), we recommend you read and implement our suggestions, and try again in a day or so.
This was detected by observing this IP attempting to make contact to a "eitest" Command and Control server, with contents unique to "eitest" C&C command protocols.
This was detected by a TCP connection from "89.107.189.231" on port "35226" going to IP address "192.42.119.41" (the sinkhole) on port "80".

Er sollte sich in jedem Fall mit der Info, dass die Mails bouncen, er auf mehreren Blacklists gelandet ist und dass die CBL glaubt, er wäre mit Eitest infiziert, an seinen Hoster wenden.

Der ganze Text von der CBL Blacklist:

RESULTS OF LOOKUP
89.107.189.231 is listed

This IP address was detected and listed 39 times in the past 28 days, and 30 times in the past 24 hours. The most recent detection was at Fri Apr 13 13:25:00 2018 UTC +/- 5 minutes

This IP address was self-removed 1 times in the past week.

This IP is infected (or NATting for a computer that is infected) with a botnet, most likely eitest.

This IP address is infected with or NATing for an infection of "Eitest". This IP address is probably a web server where one or more virtual hosts have been infected using an exploit kit (eg: angler, empire, RIG) using EItest protocols to download, install and operate malicious code, such as gootkit, dreambot, ramnit, vawtrak, cryptXXX - infostealers, ransomware etc. See the reference links for more details.

Note: As this is a web server compromise, only web administrators will be able to find and fix the infection. If this web site is a virtually hosted web site, please contact your administrators with this information.

For more information on this botnet, and mitigation strategies, please see:

EITest Description and analysis.
Malwarebytes Description and analysis
Securi - how to scan and clean websites
This was detected by observing this IP attempting to make contact to a "eitest" Command and Control server, with contents unique to "eitest" C&C command protocols.

This was detected by a TCP connection from "89.107.189.231" on port "35226" going to IP address "192.42.119.41" (the sinkhole) on port "80".

The botnet command and control domain for this connection was "c84c8098.com".

This detection corresponds to a connection at Fri Apr 13 13:20:18 2018 UTC (this timestamp is believed accurate to within one second).

Detection Information Summary
Destination IP 192.42.119.41
Destination port 80
Source IP 89.107.189.231
Source port 35226
C&C name/domain c84c8098.com
Protocol TCP
Time Fri Apr 13 13:20:18 2018 UTC
Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address "192.42.119.41" or host name "c84c8098.com" on any port with a network sniffer such as Wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to "192.42.119.41" or "c84c8098.com". See Advanced Techniques for more detail on how to use Wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.

Please note that some of the above quoted information may be empty ("") or "na" or "-". In those cases, the feed has declined or is unable to give us that information. Hopefully enough information will be present to allow you to pinpoint the connections. If not, the destination ports to check are usually port 80, 8080, 443 or high ports (around 16000) outbound from your network. Most of these infections make very large numbers of connections; they should stand out.

These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.

You will need to find and eradicate the infection before delisting the IP address.

(...)

Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent.

SELF REMOVAL:
Normally, you can remove the CBL listing yourself. If no removal link is given below, follow the instructions, and come back and do the lookup again, and the removal link will appear.

Too many relistings in the past 24 hours (29), we recommend you read and implement our suggestions, and try again in a day or so.
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
EITest infiziert Webseiten. WebhostOne ist ein Shared-Webhoster. Auf der IP liegen ~300 Domains, die alle nach "kleinen Projekten" klingen. Darunter sind viele "leicht abgewandelte Domains", grob geschätzt würde ich sagen der Server hostet ~100 Seiten.
--> eine oder mehrere dieser Seiten hat eine Schwachstelle und wurde zur Malware-Schleuder umgebaut. EITest infiziert mit Vorliebe veraltete WordPress installationen, hat aber auch andere Angriffsvektoren.

Das Problem hat erstmal der Hoster. Die werden analysieren welcher ihrer Kunden infiziert wurde und den abschalten.
Dein Kumpel könnte seine eigene Webseite prüfen von jemandem der Ahnung hat prüfen lassen, aber wahrscheinlich kann er weder etwas für das Problem, noch etwas dagegen unternehmen. Außer es dem Hoster zu melden natürlich.

Da die IP schon einmal aus der Spam-Liste ausgetragen wurde, ist zu vermuten, wenn auch nicht garantiert, dass der Hoster da schon dran arbeitet (und nur das Nötigste macht).
Eine Verbindung zwischen dem Webserver und einem Command-and-Control Server des Botnetzes sagt, dass die Infektion erlaubt serverseitig Code auszuführen. In der Regel geht diese Art von Angriff nicht in die Tiefe und Shared Hosting sollte extrem abgesichert sein, die Infektion kann sich also wahrscheinlich nicht auf ihre Nachbarn verbreiten, den ganzen Server übernehmen oder z.B. die E-Mails klauen. Diese "Entwarnung" ist aber mit einer ordentlichen Prise Salz zu genießen, siehe "I.d.R." "sollte" und "wahrscheinlich" ;-) EITest ist seit Jahren aktiv und erst die Tage wurden die CNC Server durch Sinkholes ersetzt, daher passiert das "genau jetzt". Die tatsächlich infizierte Seite könnte durchaus seit längerem schon Teil des Botnetzes sein.

Für den Hoster ist das eine ziemliche Katastrophe, die werden viel Handarbeit da rein stecken müssen.

Dein Kumpel kann nur melden, abwarten, Tee trinken und sich überlegen ob "mehr Geld drauf werfen" für ihn eine Lösung ist um das Risiko, dass sowas noch mal passiert, zu minimieren. Denkbar wäre z.B. einen großen Mailanbieter zu nutzen, der eine gewisse "Blacklist-Immunität" besitzt und eigene Domains erlaubt. Bei GMail reden wir da von ~50€ im Jahr und das ist eine Datenkrake, die E-Mails von einer KI zu Werbezwecken hat auswerten lassen (Google behauptet sie machen das nicht mehr). Kosten/Nutzen und so.
 

Commodo

NGBler

Registriert
17 Mai 2014
Beiträge
151
  • Thread Starter Thread Starter
  • #4
Wenn das ein "normaler" Webspace + E-Mail Adresse ist, die er bei irgendeiner Firma gemietet hat, dann hat diese Firma das Problem.

So rum wird das betrieben. Antwort vom Support kam zurück.

Code:
vielen Dank für den Hinweise. Wir haben bereits eine Anpassung am Server vorgenommen. Der Versand sollte nun wieder funktionieren.

Sind die wohl selbst auf einer Spamliste gelandet als Webhoster .... nunja, es läuft wieder wenn auch Emails aktuell etwas brauchen bis sie bei jemandem ankommenl, ganz rund läuft da also noch nicht alles.

Danke für die Hilfe :).
 
Oben