Ist meine CCU2 gehackt worden?

[MichaelN]

Da die Mails trotzdem weiterhin kamen obwohl ich die CCU2 vom Netz genommen habe, lag die Vermutung nahe das kein Programm der Trigger sein könnte, und hatte erstmal den Vorschlag von @AndiN angenommen und das PW des Mailaddon geändert, und seit dem ist Ruhe.

Das ist doch nur ein rumdocktern an Symptomen. So ganz ist deine Analyse des Problems nicht rund.
Angeblich gibt es und gab es nie eine Portweiterleitung, aber jemand hat sich auf deine WebUI eingeloggt. Wie?
Die CCU sendet ständig Mails, und das auch noch, wenn sie gar nicht mit dem Internet verbunden ist. Logisch?
Du löscht das Addon, aber es werden weiter Mails gesendet. Wie?
Du änderst die Zugnagsdaten im email-Addon und die Sendungen hören auf - wenn die beiden Punkte vorher richtig sind, dann war es nicht das Addon, was gesendet hat - warum hören die Sendungen dann nach dem Ändern der Daten auf?
Das ist alles nicht schlüssig.

Daher ist der einzig richtige Weg die CCU komplett neu aufzusetzen und ein hinreichend altes und damit vermutlich sauberes Backup einzuspielen. Also älter als 3 - 6 Monate. Und natürlich alle Passwörter zu ändern. Und auf der CCU überhaupt tmal eins zu setzen. Und guck endlich mal in den Router wg. Der Portweiterleitung.

[cmjay]

Da die Mails trotzdem weiterhin kamen obwohl ich die CCU2 vom Netz genommen habe ...... das PW des Mailaddon geändert, und seit dem ist Ruhe.

Irgendwie passen diese beiden Aussagen nicht zusammen.

[Xel66]

Nun ja, meine Vermutung geht eher dahin, dass der Verursacher hier mitliest und den Versand eingestellt hat. Vielleicht ist er ja ein "Guter" und hat nichts mit dem System angestellt und wollte den Anwender nur warnen. (Ich glaube trotz anderer Erfahrungen immer noch an das Gute im Menschen.) Unabhängig davon würde ich trotzdem das System neu aufsetzen und ein "älteres" Backup einspielen. Vorher aber prüfen, ob vielleicht ein neuer Systemschlüssel gesetzt wurde und auch das Backup nach "Veränderungen" im User-Bereich prüfen.

Gruß Xel66

[shartelt]

ich würde gern mal (bevor hier weiter rumgedoktort wird) auf die Fakten eingehen:

seit einigen Wochen bekomme ich komische Mails von der CCU2.

vs.

EIn Portweiterleitung habe ich schon lange nicht mehr aktiv und noch nie Probleme gehabt.

unabhängig davon, dass Du anscheinend "keine Probleme" gehabt hast. Jetzt hast Du sie ja.
was ist "schon lange"?

Bist Du Dir SICHER, dass Du die Portweiterleitung deaktiviert hast? Wirklich?

- Wo und warum hattest Du sie initial eingestellt?
- WANN genau hast Du sie vermeindlich, wo ausgestellt?
- bist Du Dir wirklich SICHER, dass sie jetzt aus ist?

vorher brauchst sonst garnix machen. Hoffentlich ist das PW Deines Email Senden Accounts nicht ein Standard Passwort für alle andren Dinge, die Du so online machst, sonst würde ich da SOFORT erst einmal handeln....

[AndiN]

Hallo,

Die Frage ist, ob der Eindringling sich ein Backup von deinen Emailaddon gezogen haben könnte (ist nur ein spontaner Einfall). Dann könnte er das nutzen und Mails somit in deinen Namen senden.

wird bestätigt durch

Das Passwort im E-Mail AddOn ist doch das Passwort für den (Postausgangsserver vom) Email-Provider. Das liegt da in Klartext in einer .conf Datei.

Heißt für mich: Der Eindringling könnte Dein Emailkonto mißbrauchen und schickt fleißig Nachrichten. Daher war mein Tipp

Ich würde das email Kennwort ändern und schauen, ob weiterhin die Emails bei dir ankommen

Damit war das Emailkennwort gemeint und Nichts im Mailaddon.

Und wenn Du jetzt das Emailkennwort (beim Provider!) und dann im Addon geändert hast und die Mails aufhören wird es meines Erachtens der Grund gewesen sein. Und Du hast ja ein Backup (soweit ich das gelesen habe) vor der Port-Weiterleitung eingespielt und die sollte ja clean sein.

Andi