Menü
Avatar von DoeJohnDoe
  • DoeJohnDoe

1 Beitrag seit 29.10.2019

Trojaner versendet Faxe - Mailserver kompromittiert?

Seit heute morgen 1:22 werden ca. alle 10 s Faxe an eine italienische Telefonnummer versendet.
Das gravierende daran ist, dass der Versand über unseren lokalen Mailserver erfolgt, und der Versender den Versand über das Konto des DomänenAdmins erfolgen lässt. Hier ein Auszug der ersten 32 von 1340 Mails:

Empfänger Betreff Datum

00393191012591 FW: 01:39 heute
00393191012591 FW: 01:38 heute
00393191012590 FW: 01:38 heute
00393191012590 FW: 01:38 heute
00393191012497 FW: 01:38 heute
00393191012497 FW: 01:38 heute
00393191012496 FW: 01:38 heute
00393191012496 FW: 01:38 heute
00393191012496 saddas asdasdas 01:36 heute
00393191012594 FW: 01:36 heute
00393191012593 FW: 01:36 heute
00393191012592 FW: 01:36 heute
00393191012591 FW: 01:36 heute
00393191012590 FW: 01:36 heute
00393191012497 FW: 01:36 heute
00393191012496 FW: 01:36 heute
00393191012594 FW: 01:36 heute
00393191012593 FW: 01:35 heute
00393191012592 FW: 01:34 heute
00393191012591 FW: 01:33 heute
00393191012590 FW: 01:32 heute
00393191012497 FW: 01:32 heute
00393191012496 FW: 01:32 heute
00393191012389 FW: 01:31 heute
00393191012496 saddas asdasdas 01:29 heute
00375333972116 sdadjaskldj dasjkdhasjk 01:29 heute
0024348807429 sadas asdasdas 01:25 heute
00393191012389 FW: 01:25 heute
0022478769939 sdadjas askldjask dasjkdhasjk 01:23 heute
00375333972116 sdadjaskldj dasjkdhasjk 01:23 heute
00375333972116 sadsadas asdasd 01:22 heute
00972592872677 sadasd asdasddas sadasd 01:22 heute

Nachdem ist mich per RDP auf der Server geschaltet habe, ist mir aufgefallen, dass ein weiterer Admin angemeldet war. Ich habe die Verbindung über den Taskmanager umgehend getrennt und relevante Passwörter geändert, was in Summe wohl nicht ausreichend ist.
Meine Frage nun: was ist hier passiert? Wie betreibe ich sinnvoll Schadensbegrenzung?

Grüße

Bewerten
- +