Hilfe: Werde als Spammailserver mißbraucht

quink · 26.07.2006, 12:29

Hallo,
Vor ein paar Tagen viel mir schon auf das mein T-Online SpeedManager mir anzeigte das unbekannte uploads und downloads laufen (Der Speedmanager is ein kleines Tool was die Geschwindigkeit des Upload und Download anzeigt). Ich dachte an einen Virus, oder spyware, hab darum einige Programme durchlaufen lassen: Nichts!!
Da der SpeedManager mir aber nen upload und download anzeigte muß ja was da sein, also habe ich mir tcpview runtergeladen das alle TCP, UDP Verbindungen anzeigt: Nichts!!
Nun bin ich über ein Programm gestolpert: Network Activ PIAFCTM
download: http://www.zdnet.de/downloads/prg/u/x/de0DUX-wc.html

Laut Beschreibung des Programms:
"Dieser kostenlose Paket- und Datei-Sniffer gibt Einblick in die gesamte Kommunikation, ob sie nun vom eigenen PC ausgeht oder ihn erreicht. Spyware oder Programme, die "nach Hause telefonieren", sind damit schnell identifiziert."

Und was stelle ich nach dem starten des Programms fest ?
Irgentwelche Idioten schicken über deren Ports Datenpakete auf meinen Rechner. Die Datenpakate kann man teilweise lesen, teilweise leider nur wirre Zeichen - und man findet zig email und Spam darin, sieht also so aus das da wer Datenpakate zu mir schickt und ich die wohl als "Spamserver" weiterschicke (?)

Hier mal ein paar "Beispiele" aus Datenpaketen die ohne mein wissen über meinen PC gehen - bevor der Quatsch losgeht wird von meinem Rechner (vermutlich) ein datenpaket mit einigen wenigen nichtlesbaren Bit zu einem PC
geschickt, ich vermute diese IP:
208.66.xxx.xx (nachdem unsere PC einige Zeit kleine Datenpakate ausgetauscht haben, kommt ein "lesbares" Datenpaket):

POST /banner/index.php HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Accept-Language: en
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Host: 208.66.xxx.xx
Content-Type: application/x-www-form-urlencoded
Content-Length: 103
Connection: Close
Pragma: no-cache

Dann folgen wieder zig Datenpakete (wirre Zeichen), und darunter findet sich dann zb. sowas hier (was "lesbar" ist):
(Anmerkung die xxxx da hab ich ne IP oder ne email adresse unkenntlich mit gemacht)
(Anmerkung2: einige Wörter wie "body", "Div" mußte ich in " setzen um sie hier wegen der Wortsperre posten zu können,
ebenso habe ich < und > in ein + ersetzen müssen)

Message-ID:
From: "boners."
To: bompane@muxxxxxey.com
Subject: latest album Executive
Date: Tue, 25 Jul 2006 22:17:25 -0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2873
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_000E_01C6B038.1B6F1640"

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

scanswere workers left.
crackwith boners. whoops
Lebanon Bush: plan better Baghdad security
FREE speedy
pageTry
Age Gaps
Germany Spain Italy France
saysany
Stewart returns rock latest
getting water
up repair
limits starting ending
radiating from array
installed default but optional
expected
Dirt pileBldg.
SHOPPING FORUMS MEDIA REQUESTS
partof
romance Ideas: Quote: Article: corporate
R. Lipman
specify equipment used.
color intensity
those little lasers.

----------------------------------------------
s below
WHOS FATTY ZIA
cloudto already global i.e.
user defined limits starting ending thisarea after
materials delivered
thevolume byfinding bounded
Witzgall C.Bernal J. Program Report
site.

------=_NextPart
Content-Type: text/html;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

+"meta" http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dwindows-1250"+
+"meta" content=3D"MSHTML 6.00.2900.2873" name=3DGENERATOR+

+"body" bgColor=3D#ffffff+
+"div" align=3Dcenter+
hspace=3D0 src=3D"cid:xxxxxxxxxxxxxxxxxxxxxxxxxxx" =
align=3Dbaseline=20
border=3D0+
+"div" align=3Dleft+heezy
+"div" align=3Dleft+Then respond them. write
+"div" align=3Dleft+RockStar HatsFo dam crackas party
+"div" align=3Dleft+minimum DC amaximum A.
+"div" align=3Dleft+Windows XP
+"div" align=3Dleft+will work as well

----------------------------------------------
Message-ID:
From: "path."
To: bompane@muxxxxxnd.com
Subject: boy
Date: Tue, 25 Jul 2006 22:17:19 -0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2873
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxx
Content-Type: multipart/alternative;
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxx"

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

heezy
Then respond them. write
RockStar HatsFo dam crackas party
minimum DC amaximum A.
Windows XP
will work as well.
materials delivered payment tasks thevolume
protocol
andprior knowledge aids them.A
copy Extras
studies See demoYahoo
Kids FAQWho
fixing
published journal. Witzgall
Newsin WebAd Answer
happen seem
GIT STAnKIN ASS quotWHOS
gets MySpaceOK
HOMEYS CMR rawked jar
Yahoo
release featuring
Everyday Recipes Night
length extent
pattern donot identify
TclTkAqua link

-----------------------------------------------
221 mail1.muxxxxxen.com closing connection.

-----------------------------------------------
Backup Mail Service ESMTP (mail2.clxxxxxra.net)

-----------------------------------------------
mail.euxxxxxoe.com Microsoft ESMTP MAIL Service,
Version: 6.0.3790.1830 ready at Tue, 25 Jul 2006
22:24:13 +0200

-----------------------------------------------
intensity
+"div" align=3Dleft+those little lasers. five sections
+"div" align=3Dleft+same writing keeping track
+"div" align=3Dleft+when movie
+"div" align=3Dleft+areasof day. occluded
+"div" align=3Dleft+FTP transfer
+"div" align=3Dleft+IM go. Tell more.In
+"div" align=3Dleft+others.As fixed
+"div" align=3Dleft+installer package Panther
+"div" align=3Dleft+Examples Making
+"div" align=3Dleft+MSDOS. Download

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx--

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: image/gif;
name="most.gif"
Content-Transfer-Encoding: base64
Content-ID:

-----------------------------------------------
HTTP/1.1 200 OK
Date: Tue, 25 Jul 2006 20:02:43 GMT
Server: Apache/2.0.52 (Win32)
X-Powered-By: PHP/4.3.4
Content-Length: 10023
Connection: close
Content-Type: text/html

-----------------------------------------------
Message-ID:
From: "lil honkeys"
To: a.speck@blxxxxxin.ch
Subject: battery anauto meet isheavy
Date: Tue, 25 Jul 2006 22:03:44 -0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2873
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: multipart/alternative;
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx"

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

prior LPM point
slayings England palace
standard
plan better Baghdad
aweb allows
Items Kids FAQWho
letting hump
amazing
deep series rooms convince
Oniguruma Rubys shiny
will work
tohave beyond areasof day. occluded larger
whenthe scans obtained. stored
dam crackas party
Institute Standards
enable parts
thescene bothcases protocols assess
draws
supply power tothe thefield readily minimum
GOLD BIATCH TOUR DATES
make /usr/bin comes before
change
wankst

---------------------------------------------

as Group Tracks Contests Shizznit Links
dfc gets
classic arcade been computer.
files copy Extras folder
future efforts volumes
Dam bukakke face. playing
thangs
Phone Cell
view.When manually greater
Bootdisk Windows XP C:

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/html;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

+"meta" http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dwindows-1250"+
+"meta" content=3D"MSHTML 6.00.2900.2873" name=3DGENERATOR+

+"body" bgColor=3D#ffffff+
+"div" align=3Dcenter+
hspace=3D0 src=3D"cid:0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" =
align=3Dbaseline=20
border=3D0+
+"div" align=3Dleft+prior LPM point
+"div" align=3Dleft+slayings England palace
+"div" align=3Dleft+standard
+"div" align=3Dleft+plan better Baghdad
+"div" align=3Dleft+aweb allows
+"div" align=3Dleft+Item

----------------------------------------------

s Kids FAQWho
+"div" align=3Dleft+letting hump
+"div" align=3Dleft+amazing
+"div" align=3Dleft+deep series rooms convince
+"div" align=3Dleft+Oniguruma Rubys shiny
+"div" align=3Dleft+will work
+"div" align=3Dleft+tohave beyond areasof day. occluded larger
+"div" align=3Dleft+whenthe scans obtained. stored
+"div" align=3Dleft+dam crackas party
+"div" align=3Dleft+Institute Standards
+"div" align=3Dleft+enable parts
+"div" align=3Dleft+thescene bothcases protocols assess
+"div" align=3Dleft+draws
+"div" align=3Dleft+supply power tothe thefield readily minimum
+"div" align=3Dleft+GOLD BIATCH TOUR DATES
+"div" align=3Dleft+make /usr/bin comes before ----------------------------------------------

Zusammen sind es über etwa 30 Minuten beobachtet etwas 10-12 verschiedene IP die mit meinem PC Daten austauschen, teilweise dabei hab ich vollen upload Transfer

Da mein PC (ich habe weder Outlook, noch Apache) mit meinem WindowsXP SP2 zum Spamserver mutiert ist

mal hier die IPs die immer wieder auftauchen:

80.98.122.215 RIPE Network Coordination Centre, Amsterdamm
217.237.150.225 RIPE Network Coordination Centre, Amsterdamm
80.146.112.207 RIPE Network Coordination Centre, Amsterdamm
63.70.164.32 Sandhills Publishing Company
208.66.194.14 McColo Corporation, Newark USA
218.85.139.179 Asia Pacific Network Information Centre, Australia
218.1.66.91 Asia Pacific Network Information Centre, Australia
71.16.89.18 USLEC Corp., USA
66.218.86.156 Yahoo!, Sunnyvale USA
...

Leider kann ich Network Activ PIAFCTM beim einwählen nicht so schnell starten, so kann ich nur vermuten das die erste IP die kontaktiert die IP 208.66.194.14 ist.

So nun was habe ich schon probiert:
HijackThis zeigt NICHTS ungewöhnliches an !!!!
Zusätzlich hab ich Ad-Aware, ewido anti-malware, Spybot durchlaufen lassen um Spyware zu finden (alle auf Stand von gestern Abend upgedatet), gefunden wurde: NICHTS !!!

Virenkiller hatte ich ne Zeitlang AVG drauf, dann vor 2 Wochen nod32 draufgemacht und nod32 fand die ganze Zeit eine setup.exe die unter c:\dokumente und einstellungen\all users\dokumente war und zeigte mir an das diese setup.exe dort nen W32 trojaner wär (leider Namen genauen Namen nicht mehr weiß) und löschte diese setup.exe. Beim Nachschauen merkte ich aber das dieser Ordner Dokumente da gar nicht existiert (hab auch versteckte Datein sichtbar, den Ordner gibts trotzdem nicht).
Gestern Abend hab ich mir dann eScan Internet Security runtergeladen, er fand:
troj/taladra -f Backdoor
imesh Spyware
win32.passma Virus
007 spy software
hackerz backdoor spyware
hotbar spyware/Adware
leider wollte die deutsche Trial Version von escan mir weder anzeigen in welchen Ordnern oder Reg.Einträgen das steckt noch wollte er sie löschen!! (Da kam nur ne Meldung, "keine Aktion durchgeführt"). Dannach habe ich mir die US Version von escan runtergeladen und er fand das gleiche und hat sie gelöscht!!! Danach escan deinstalliert und anschließend hab ich mir Kaspersky Anti-Virus runtergeladen (was derzeit noch drauf ist) aber der findet diesen Spammail-Wurm auch nicht

Danach habe ich meine Firewall atguard bemüht und angefangen die IPs zu sperren. Es kristallisierten sich die IP von:

RIPE Network Coordination Centre, Amsterdamm und von
McColo Corporation, Newark USA
als vermutlicher "Erstkontakt". Jedoch wenn ich diese beiden IPs gesperrt habe - kann ich nicht mehr surfen (T-Online Software, Explorer, Mozilla)

Das verückte an diesem Wurm ist das sobald ich Ports sperre, der ala Portscanner weiter sucht, ebenso je mehr IPs ich blocke umso mehr IPs laden sich auf meinen PC ein

Durchschnittstraffic dann etwa: download 45kbit/s und upload 279kbit/s, obwohl ich nix mache!!

Nun die große Preisfrage, wie ich dieses Programm/Wurm/Virus finde das für meinen neuen Spammailserver hier verantwortlich ist und wie es wieder runter kriege

Für die interessierten hier mal ein Log, das beim starten der Internetverbindung geloggt wurde:
(Anmerkung meine Ip habe ich durch "meine IP" ersetzt)

NetworkActiv PIAFCTM saved information:

Type Size Source IP Destination IP sPort dPort Date/Time
----------------------------------------------------------------
TCP 64 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:19.517]
TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.118]
TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.128]
TCP 64 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.138]
TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.799]
TCP 40 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.799]
TCP 112 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.809]
TCP 64 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:22.070]
TCP 40 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:22.661]
UDP 112 217.237.151.225 meine Ip 53 1057 [2006.07.26 - 13:15:24.564]
TCP 52 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.574]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.654]
TCP 44 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.654]
TCP 418 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.654]
TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.744]
TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.744]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.754]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.764]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.764]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.774]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.774]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.834]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.844]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.844]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.854]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.854]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.864]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.864]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.925]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.925]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.935]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.935]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.945]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.945]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.945]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.955]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.955]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:25.005]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:25.005]
TCP 190 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:25.005]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:25.165]
UDP 90 218.1.253.165 meine Ip 8624 25658 [2006.07.26 - 13:15:32.776]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:35.520]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:35.590]
TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:35.600]
UDP 126 217.237.151.225 meine Ip 53 1057 [2006.07.26 - 13:15:35.670]
TCP 52 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.680]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.760]
TCP 52 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.760]
TCP 412 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.760]
TCP 40 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.860]
TCP 210 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.870]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.880]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.890]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.890]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.960]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.960]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.970]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.970]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.970]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.051]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.051]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.051]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.061]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.061]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.061]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.071]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.071]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.131]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.141]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.141]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.141]
TCP 44 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.151]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.171]
TCP 972 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.171]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171]
TCP 52 meine Ip 208.66.194.14 3470 80 [2006.07.26 - 13:15:36.201]
...
TCP 52 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:05.793]
TCP 40 207.115.57.16 meine Ip 25 3509 [2006.07.26 - 13:16:05.813]
TCP 134 207.115.57.16 meine Ip 25 3509 [2006.07.26 - 13:16:05.813]
TCP 85 meine Ip 207.115.57.16 3509 25 [2006.07.26 - 13:16:05.823]
TCP 40 81.169.128.137 meine Ip 25 3506 [2006.07.26 - 13:16:05.823]
TCP 40 meine Ip 207.115.20.22 3522 25 [2006.07.26 - 13:16:05.853]
TCP 52 207.115.20.22 meine Ip 25 3522 [2006.07.26 - 13:16:05.853]
TCP 40 meine Ip 128.121.85.2 3523 25 [2006.07.26 - 13:16:05.863]
TCP 52 128.121.85.2 meine Ip 25 3523 [2006.07.26 - 13:16:05.873]
TCP 40 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:05.904]
TCP 86 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:05.904]
TCP 40 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:05.984]
TCP 1300 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:05.984]
...
TCP 40 195.70.35.66 meine Ip 25 3511 [2006.07.26 - 13:16:08.928]
TCP 40 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:08.938]
TCP 68 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:08.938]
TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:08.988]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.988]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.988]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.998]
UDP 95 217.237.150.225 meine Ip 53 1115 [2006.07.26 - 13:16:08.998]
TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:09.038]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:09.038]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:09.038]
UDP 151 217.237.151.225 meine Ip 53 1119 [2006.07.26 - 13:16:09.128]
UDP 113 217.237.151.225 meine Ip 53 1118 [2006.07.26 - 13:16:09.128]
TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:09.148]
...
UDP 150 217.237.151.225 meine Ip 53 1115 [2006.07.26 - 13:16:12.002]
TCP 40 202.108.3.230 meine Ip 25 3499 [2006.07.26 - 13:16:12.002]
TCP 77 142.77.2.13 meine Ip 25 3521 [2006.07.26 - 13:16:12.042]
TCP 48 208.45.133.107 meine Ip 25 3515 [2006.07.26 - 13:16:12.042]
TCP 40 168.95.5.16 meine Ip 25 3531 [2006.07.26 - 13:16:12.042]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.042]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.042]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.052]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.052]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.062]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.062]
TCP 77 meine Ip 208.45.133.107 3515 25 [2006.07.26 - 13:16:12.062]
TCP 73 128.121.85.2 meine Ip 25 3523 [2006.07.26 - 13:16:12.092]
TCP 46 meine Ip 128.121.85.2 3523 25 [2006.07.26 - 13:16:12.092]
TCP 55 24.71.223.11 meine Ip 25 3502 [2006.07.26 - 13:16:12.092]
TCP 46 meine Ip 24.71.223.11 3502 25 [2006.07.26 - 13:16:12.092]
TCP 40 meine Ip 24.71.223.11 3502 25 [2006.07.26 - 13:16:12.102]
TCP 40 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:12.122]
TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.122]
TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.122]
TCP 40 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:12.142]
TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.142]
TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.142]

Hilfe: Werde als Spammailserver mißbraucht

Plagegeister aller Art und deren Bekämpfung: Hilfe: Werde als Spammailserver mißbraucht

Hilfe: Werde als Spammailserver mißbraucht

Ähnliche Themen: Hilfe: Werde als Spammailserver mißbraucht