Guten Abend,
in unserem Ferienhaus in Spanien habe ich:
- DSL über FritzBox 7270
- 1 x Homematic CCU
- 2 x Webcam Wansview, über WLAN mit der FritzBox verbunden.
- KEINEN PC o.ä. im betreffenden Zeitraum
Nun bekam ich von der spanischen Telefonica-Abteilung „Nemesys“ per Email den Hinweis, dass über den zu unserer Telefonnummer gehörigen DSL-Anschluss große Mengen an Spam versendet worden sein sollen.
Als Beleg wurden Header wie:
Received: From [79.148.207.215] by via sendmail with smtp;
for 2 recipients; Thu, 01 Mar 2012 21:55:04 -0700
Received: From unknown (HELO relay37.vosimerkam.net) (Thu, 01 Mar 2012
15:41:50 -0600)
by m1.gns.snv.thisdomainl.com with QMQP; Thu, 01 Mar 2012 15:41:50 -0600
Received: From smtp.mixedthings.net ([Thu, 01 Mar 2012 15:22:52 -0600])
by mxs.perenter.com with NNFMP; Thu, 01 Mar 2012 15:22:52 -0600
Message-ID:
Date: Thu, 01 Mar 2012 15:13:28 -0600
From: "Alexa"
X-Accept-Language: en-us
MIME-Version: 1.0
To:
Subject: hblbo
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
mitgeschickt. Die IP der letzten Station der Spam Mails, 79.148.207.215, war ausweislich der täglichen Logs der FritzBox tatsächlich in diesem Zeitraum unserem Anschluss zugeordnet (Zwangstrennung nach jeweils 24 h, wie in Deutschland).
Wir haben in der FritzBox die Ports:
2001 (CCU)
8008 (Webcam 1)
8009 (Webcam 2)
entsprechend geforwardet. Ich greife über dyndns darauf zu. Die Webcams besitzen Zugangsschutz via htaccess, ebenso wie die Fritzbox. Die HM CCU startet bekanntlich direkt mit dem Login-Formular, allerdings über https://…
Zudem gibt es noch einen VPN Tunnel, über den ich das dortige System in die hiesige IPS Umgebung einbinden möchte. Der Tunnel ist aber noch nicht aktiv.
Ein Stealth Scan hat keinerlei weitere offene Ports ergeben:
Interesting ports on xxxxxxxxxxx (79.144.226.227):
Not shown: 1710 filtered ports
PORT STATE SERVICE
113/tcp closed auth
443/tcp open https
1080/tcp closed socks
2001/tcp open dc
8009/tcp open ajp13
Da kein PC im dortigen Netz vorhanden ist und das Haus zum betreffenden Zeitpunkt leer war, erscheint mir das alles sehr merkwürdig. Soweit ich weiß, gibt es die Hardware einer Billig-Webcam nicht her, als Spam Relay missbraucht zu werden; die FritzBox halte ich zunächst auch einmal für unverdächtig.
Meine Frage an die Experten: Ist es denkbar, dass irgendjemand irgendwie auf der CCU einen Mailserver oder Proxy installiert hat? Oder kann sich sonst jemand einen Reim auf all dies machen?
Viele Grüße
Martin