Hallo zusammen,
ich bekam zum zweiten mal per Brief von der Telekom (Mail: abuse@telekom.de) eine
"Wichtige Sicherheitswarnung zu ihrem Internetzugang"

darin steht,
". . . uns liegen Hinweise von Sicherheitsexperten vor, dass mindestens ein Rechner oder ein Endgerät z.B. Smartphone, das sich über ihren Internetzugang mit dem Internet verbunden hatte, mit einem Virus/Trojaner infiziert ist"

weiter:
"1. . . . Virenfreiheit und Trojanerfreiheit sicherstellen . . . "
"2. Ändern der Telekom Passwörter"
"3. . . . Betriebssystem aktuell? . . ."


und jetzt???
Ich habe einen Internetzugang der Telekom, Fritzbox 7390, 4 Macs im Heimnetz, 3 iPhones und 3 Android Smartphones.
Einer der Macs hat noch OSX 10.6.8 (iMac Intel Core Duo von 2006), die anderen drei sind wesentlich aktueller allerdings nicht mit dem neuesten Betriebssystem.

Was soll ich eurer Meinung nach tun?

Gruß
Cliff the Dau

Ich habe mal davon gehört, dass die Telekom solche Nachrichten verschickt. Ist die Telekom denn der tatsächliche Internetprovider für den betroffenen Anschluss? Ich meine, falls es zwar eine Leitung der Telekom, aber 1&1 der Internetprovider ist, dann würde wohl eher 1&1 solch eine Nachricht versenden.

Vielleicht mal einen Virenscanner installieren? MacWelt hat kürzlich Mac-Virensucher geprüft und fand unter anderen den kostenlosen Scanner der Firma AVG nützlich, wobei ich nicht weiß, welche OS-X-Versionen dort noch unterstützt werden.
Und bitte nur solche OS-X-Versionen mit dem Internet verbinden, die von Apple noch mit Updates versorgt werden, also 10.10 (Yosemite) und jünger. Ich weiß nicht, welchen Nutzen es bringt, auf älteren Systemen einen anderen Browser als Safari zu verwenden, vorausgesetzt, der alternative Browser wird selbst noch mit Updates versorgt.

Ich würde bei dem Brief vermuten, dass eines der Endgeräte verseucht ist und ordentlich Spam verschickt oder jemand anders mit deinen Mail-Zugangsdaten.

Man bekommt ja selbst regelmäßig Spam von offensichtlich missbrauchten Privataccounts.

Das ist nicht unbedingt richtig. Es gibt durchaus eine Abuse-Adresse auf der Ebene der IP-Adressen, und da ist es dann relativ egal, wer der Wiederverkäufer des Anschlusses ist.

Das läßt sich z.B. im Whois-Eintrag der betreffenden IP-Adresse verifizieren:


Davon würde ich aus zwei Gründen absehen: Erstens richten die Dinger meist mehr Schaden an, als sie beheben, zweitens ist es Unfug, einen Virenscanner auf einem bereits verseuchten System zu installieren.

Abgesehen davon ist es nicht gesagt, daß die Störungen (wenn es denn wirklich welche gibt) von einem Mac stammen. Es sind auch noch ein paar andere Geräte im Netz, und in den Zeiten des IoST (Internet of Shitty Things) würde ich keinen Cent darauf wetten, daß der TO nicht auch noch irgendwelche IP-Kameras, "Smart" Home-Glühbirnen oder anderen Bullshit im Netz hat, bei dem er möglicherweise gar nicht erwartet, daß das ein Problem sein könnte.

Auch Mobilgeräte, besonders unter Android, sind ganz nette Kandidaten für Netzwerkstörungen.

Ich würde aber zuallererst mal einen Schritt zurück machen und schauen, ob der "Brief" wirklich authentisch ist. Wenn es wirklich ein Brief war, ist die Wahrscheinlichkeit hoch, bei einer Mail ist alles offen ... gibt es eine Kontakt-Telefonnummer? Sind irgendwelche Details in der Mail erwähnt, um welche Art der Virus-/Trojanerinfektion es sich handelt? Die Formulierung "Uns liegen Hinweise von Sicherheitsexperten vor ..." kommt mir auch extrem fishy vor.

Wenn es eine Mail ist: Bitte einmal die vollständigen Header der Mail posten (ggf. natürlich bereinigt um persönliche Daten). Dann ist eine Aussage bezüglich der Echtheit des Anschreibens schon eher möglich.

Die E-Mail-Adresse ist schon mal korrekt.
Ich würde mich einfach mal an das Abuse Team wenden!
Fragen kostet ja bekanntlich nichts.

Auf jeden Fall würde ich mich darum kümmern, sonst kümmert sich die Telekom.

Das weiß man eben nicht, ohne die vollständigen Header gesehen zu haben.

Was im 'From:'-Header steht, ist die Bits nicht wert, die es verbraucht. Daß, wie im vorliegenden Fall, die richtige Adresse dort steht heißt nicht, daß die Mail wirklich von der Telekom ist.

Die Nachricht kam doch mit der Post!

Unter einem "Brief" kann sich wohl nicht mehr jeder etwas vorstellen.

ja, ich bin direkt bei der Telekom. Und die Geräte die im Heimnetz sind ist oben beschrieben. Kein fernsteuerbarer Saugstauberroboter noch Kühlschrank oder Lampen.

Das erste Schreiben (Brief) hatte ich ignoriert. Jetzt beim zweiten bin ich erst mal aktiv geworden und habe mir den AVG AntiVirus mal angesehen und Tests gelesen.

Einen Mac (mini von 2014) von den Kids) habe ich damit mal gescannt nachdem ich eine TimeMachine Sicheheitskopie gemacht hatte.
Ergebnis: ca. 25 filies in Quarantäne
Habe jetzt das neueste System, Sierra geladen, installiert gerade . . .

Brief oder E-Mail. Wenn es ein Brief an deine Adresse war, dann ist der mit Sicherheit echt und Du solltest schleuningst handeln und wenn Du keine Ahnung von der Materie hast dir Hilfe holen. Habe so einen Brief schon einmal von einem Nachbarn gezeigt bekommen. Sein Rechner war sauber, aber das Notebook der Tochter war mit allem was man so im Internet fangen konnte hoffnungslos verseucht. Neu aufgesetzt und dann war Ruhe. Würde das nicht weiter ignorieren.
Welche Dateien wurden denn da verschoben ? Bitte mal das Log vom Etrecheck posten. Wenn der AVG Antivirus installiert wurde, würde ich den Rechner komplett neu formatieren und das System ohne Time Machine aufsetzen und nur wichtige Dokumente zurücksichern. War der Rechner infiziert und du hast einen Virenscanner installiert wird es nicht besser.

Nee, wenn sie schon Briefe schreiben ist die Sache koscher.

Ich würde aber erstmal mit Malwarebytes auf sämtliche Macs losgehen. Dem vertraue ich noch am ehesten.

Malwarebytes ? Ist das nicht auch so ein AntiVirus Programm?

Ich würde einfach mal eine mail an abuse@telekom.de schreiben und - falls im Brief nicht vorhanden - um nähere Auskünfte bitten. Kann ein bisschen dauern, aber normalerweise sagen die einem, warum Du den Brief bekommen hast, und - was manchmal ganz hilfreich sein kann - zu welchen Tagen/Uhrzeiten ihnen was aufgefallen ist. Falls das z.B. werktags nachmittags war, würde man vielleicht eher auf Aktivitäten Deiner Kinder tippen als wenn es kurz vor Mitternacht war, etc.

Davon abgesehen, Dein WLAN ist schon mit WPA/WPA2 gesichert, und außer der Familie kann keiner ran, oder? Und irgendwelche powerlan/dlan Netzwerkkomponenten setzt Du auch nicht ein? Sonst kannst Du bei Dir u.U. lange suchen...

Das WLAN ist abgesichert mit paarundzwanzigstelligen Passwort. Eines habe ich noch vergessen, wir haben noch einen Mediaserver im Heimnetz: Qnap TS-212 - aktuelle Firmwareversion 4.2.2

. . . und 2 FRITZ!WLAN Repeater 310

Malwarebytes hat auf dem Macbook pro einige Sachen gefunden. Nach Neustart und noch mal scannen war nix mehr da.

Auf meinem Mac mini was nix drauf

Hast du auf einem Mac Windows (ggf. in einer VM) im Einsatz?

Nee, nur OSX

Wie Eingangs beschrieben, haben wir noch einen iMac (Intel Core Duo von 2006). Auf dem läuft nur Snow Leopard.
Malwarebytes läuft erst ab 10.9 - was mach ich hier?

Ich hatte vor 2 Wochen so einen Fall am Telefon. Die haben auch erst eine Email und dann einen physischen Brief von der Telekom bekommen und sich erstmal sehr gewundert.
Es hat sich dann herausgestellt das tatsächlich ein Mac mit Ungeziefer befallen war. Da Malwarebytes nicht mit 10.6 läuft teste mit Etrecheck den alten Mac und poste das Log hier.

Aktuell gibt es vom BSI folgende Sicherheitswarnung, betrifft auch NAS von Synology und QNAP. QNAP stellt z.B. ein Sicherheitspatch bereit...


https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t17-0068.html

Synology auch, aber ganz ehrlich wer das nicht befolgt der wurde wohl mit dem Klammersack gepudert. Ein halbwegs vernünftig eingerichtetes NAS hinter dem Router ohne Portfreigaben ist davon sowieso nicht betroffen. Alle Anderen wissen hoffentlich was Sie tun.

Von welchem iMac von 2006 reden wir da ? Modell Late 2006 CD iMac5,2 ? Der kann 10.7.5, wobei selbst das eigentlich grob fahrlässig ist. Warum nehmt ihr solch alte Systeme nicht vom Internet weg, einfach im Router sperren, im Hausnetz ist es ja o.k, solange da keine Malware drauf ist. Gerne als Jukebox oder sonstiges, aber bitte nicht mehr ins Internet damit. Es gibt dafür keine SIcherheitsupdates mehr und das System ist einfach nur alt und es gibt auch keine Unterstützung von den bekannten alternativen Browsern. Das wurde alles abgekündigt. Da habe ich keinerlei Mitleid, wenn die Telekom den Stecker zieht.

Ich kann einfach nicht kapieren, dass man an einem über 10 Jahre alten System festhält und die Behebung von Hunderten von Schwachstellen ignoriert.

Und wenn der liebgewinnen Rechner kein OS-Update mehr verkraftet, dann koppelt man ihn wenigstens vom Internet ab, um sich keine Malware einzufangen.

Kein Update - kein Mitleid! 🙃

Die Sicherheitsupdates oder neuere MacOs verhindern leider keine Spam-Flut. Es gibt viele Personen, die ein t-online-Mailkonto haben. Da ist es bestimmt leicht, einige als "echt" zu vertifzieren und weiter zu verkaufen.
Die Emails von der Telekom kommen von xxxx@email-telekom.de und enthalten ein Impressum.
Email von xxx@telekom.de oder t-online.de kann man gleich in die Tonne schieben. Ist nur blöd, wenn man Kunden mit t-online-Account hat.

@schlawuzelbaer
leg dich wieder schlafen..... er hat einen Brief bekommen Post, so richtig SnailMail.... Auch da gibt es unerwünschte Werbung. Aber SPAM hat nichts damit zu tun, das eines seiner Systeme hier als Viren/Malwareschleuder auftritt und das Netz unnötig belastet und verunsichert.

Zudem sind die aktuellsten SPAM-Mails und Phising Mails so gut gemacht, das sie nur Teile einer Original HTML Mail austauschen/erweitern und den Rest übernehmen. Da muss man schon 2x hinsehen und ein gutes Mailprogramm, das einem die URLs gleich im Klartext anzeigt um nicht darauf reinzufallen. Auch ein Grund mehr, unbekannte Absender nicht einfach mal auf dem Mail-Client am Handy zu öffnen, da man hier kaum sieht, was wirklich dahinter steckt.

Auf der website von Malwarebytes gibt es auch eine Version die auf älteren Systemen lauft. Hatte das gerade auf einem 10.7.x Mac im Bekanntenkreis.

Support anrufen nachfragen was los ist.
Frag bei Kollegen nach ob, jemand noch einen alten Hub hat und leih ihn Dir aus oder besorge Dir einen Switch mit Monitoring Port. Der LAN Traffic über den Hub/Switch laufen lassen und mit Wireshark protokollieren. Mit der Info vom Support wird man sehen von welchem Gerät der SPAM kommt. Dieses Gerät gezielt bereinigen.

Passwort für den Mailversand sollte grundsätzlich gesetzt sein!

dir ist schon klar, dass bei jemanden, der es soweit hat kommen lassen, dass ihm sein provider schon papierbriefe schreibt, mit dem hinweis, dass von seinem anschluss aus das netz verseucht wird, der forenname anscheinend programm sein wird?
ich glaube von deinem posting hat er nur bahnhof verstanden. wenn er davon was umsetzen könnte (wireshark, traffic mitschneiden, switches mit monitoring... lol), wär er gar nicht in der situation, in der er jetzt ist.
das ist gar nicht böse gemeint. ich will nur zeigen wie paradox das ist.

Ich schrieb nicht ohne Grund, dass man sich ans Abuse Team wenden sollte!

Nach dem zweiten Schreiben wird die Sperrung des Zugangs nicht mehr lange auf sich warten lassen!
Das wurde im Brief mit Sicherheit erwähnt!

Nein, wurde nicht erwähnt.
Ich habe ein Mail an abuse@telekom geschrieben mit der Bitte um weitere konkrete Informationen. Und am Dienstag rufe ich noch mal an.

Der iMac mit 10.6.8 wurde vom Netz genommen.
Die anderen Macs wurden mit "Malwarebytes" untersucht und hat auch was gefunden. Bei einem Rechner wurde das Betriebsystem aktualisiert.
Wir haben jetzt 2 Macs mit 10.10.5 und einen mit Sierra.

Frage: könnte ein iPhone 4s (für das es ja keine Aktualisierungen mehr gibt) ein Problem sein?

Das ist für mich "zu hoch" . . . sorry!

Warum läuft auf den beiden Rechnern kein Sierra?

primavon besagten macs würde ich gerne ein log durch etrecheck sehen.
aber bitte nicht hier seitenlang einfach direkt in den thread reinkippen. bitte auf pastebin.com einstellen und hier verlinken.
wie bereits gefragt: wieso 10.10.5?
yosemite ist keine "grenze", die mir bekannst ist. jeder rechner der 10.10.5 kann, kann zumindest auch el capitan, also 10.11unwahrscheinlich.
sag ich ja. vergiss es einfach.

Genau das habe ich mich auch grad gefragt.. zumindest wenn kein Sierra mehr läuft, läuft auf jedenfall 10.11.6

Frae ist berechtigt. Zumindest auf meinem Mac muss ich testen ob alle Programme auf Sierra laufen, insbesondere RapidWeaver 4 und VueScan ältere Version für meinen verdammt alten Agfa Scanner - that the Problem.

OT:
Nee... da widerspricht sich was, hat doch Jimmy CLIFF 1993 eine erfolgreiche Coverversionen von "I can see clearly now" gesungen...

Ist 10.10.5 problematisch? Sicherheitsupdates wurden immer gemacht.

Mein Name kommt nicht von ungefähr. Jedenfalls damals war das "Dau" schon ok. Jetzt würde ich mich "Dau-light" nennen, klingt aber nicht so schön.
Ich bin Privatanwender und MacUser weil ich hoffe es leichter zu haben. Bei Problemen wie jetzt bin ich nervös und erst mal überfordert aber es gibt ja das geniale Mactechnews Forum 👌 - "da werden sie geholfen" wie Verona Feldbusch einmal sagte.

Ich hab's nicht bös gemeint und wünsche dir, dass dein Problem bald behoben sein wird.

Bin dabei, zum Glück regnets

It never rains in Cupertino ...

Deshalb gibt's da auch Probleme mit'm Wasser 🇺🇸😡

Mich würde ja interessieren, was malwarebyte konkret auf den Macs gefunden hat und was mit den Android-Geräten ist... immerhin drei Stück mit Verseuchungspotential.

Was malwarebyte gefunden hat kann ich nicht mehr nachvollziehe, sorry.

Die Androidgeräte: eines ist ein neues Samsung mit aktuellem Beriebssystem (Galaxy A3 ? oder 5)

Die beiden älteren (4-5 Jahre alt) sind Sony irgendwas . . .

Und die schon gecheckt?

Wie???

Ja ist mir klar, aber es besteht die Gefahr, dass im Blinden herumgestochert wird und das Problem nicht wirklich gelöst wird.

klar besteht die. siehste ja 😀

Für 10.6 kannst Du der manuellen Anleitung folgen:

MacMark
Den hat er erstmal vom Netz genommen.