illegaler Internetzugriff

  • Thunderbird-Version: 13.0.4
    Betriebssystem + Version: Windows 7 64bit
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): 1und1
    Antivirus-Software: McAfee


    Hallo,


    McAfee meldete mir heute dass Thunderbird an die IP 178.255.83.1 daten senden wollte und dass dies unterbunden wurde.
    Ein Ping an die IP war nicht möglich, allerdings bei dem Zugriff über den Browser auf die IP meldete McAfee dass sich schädliche Programme auf der Webseite befinden.
     
    Hat jemand eine Idee wie der Befall von Thunderbird zu bereinigen ist?


    vielen Dank!

  • Hallo nwk-k,


    ich freue mich, dass du dir über die Sicherheit deines PC Gedanken machst.
    In solchen Fällen werfe ich die erhaltenen Angaben der Suchmaschine meines Vertrauens zum Fraß vor. Letztere hat mir dieses ausgespuckt:
    IP Info: 178.255.83.1 | SANS Internet Storm Center; Cooperative ...


    Es handelt sich demnach um "ocsp.comodoca.com". Also den OCSP-Responder von comodoca.com
    Was das Online Certificate Status Protocol bzw. ein OCSP-Responder ist, zeigt dir ein Klick auf den Link.
    => also eindeutig nichts Böses!


    Jetzt könntest du natürlich noch Informationen über die Firma comodoca.com einholen .... .


    Ich sage mal einfach: Hier hat deim McAfee etwas überreagiert.
    Ja, das ist der Nachteil dieser "Überall_und_immer_sorglos_Pakete". Sie schützen und sie verwirren ... .


    Zitat

    Hat jemand eine Idee wie der Befall von Thunderbird zu bereinigen ist?


    Denke mal, das wird nicht nötig sein.
    Zum einen:

    Zitat

    ... und dass dies unterbunden wurde.

    (was es auch immer war), und zum anderen => siehe meine obigen Bemerkungen.


    Unabhängig davon gehe ich doch mal davon aus, dass du mindestens 1x pro Woche deinen McAfee auf deine WinDOSe loslässt und einen Komplettscann machst. Oder?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für die schnelle Erläuterung.


    Auch wenn in diesem Fall keine akute Bedrohung vorliegt bin ich dennoch verunsichert, wenn dies kein normaler Zugriff von Thunderbird ist, dass meine Thunderbird Version ohne aktive Nutzung eine Verbindung zu einem Server herzustellen versucht.


    Gibt es eine Möglichkeit / Software um Thunderbird nach veränderungen an der Originalversion zu prüfen?

  • Hast du dir durchgelesen, was ein OCSP-Responder ist?


    Dein Thunderbird hat eine verschlüsselte Verbindung zu irgend einem Mailserver aufgebaut oder du warst via Klickibuntimail auf irgend einer Seite (Newsletter irgend einer Bank, irgend eines Shop oder von jemandem, der einfach nur mitdenkt und durch Verschlüsseln der Verbindung verhindern will, dass ein Neugieriger deinen Traffic mitlesen kann!) und diese Seite setzt eine SSL-Verschlüsselung ein. <== 100pro etwas Positives!


    Und dann gibt es eben jene OCSP-Prüfung, welche durch den Seitenbetreiber auf seiner Seite als Script implementiert ist, und welche dir anzeigen soll, ob das von dieser Seite genutzte Zertifikat gültig (good), unbekannt (unknown) oder zurückgezogen (bad) ist. Und wenn alles in Ordnung ist, dann ist das der Vertrauensbeweis, dass du wirklich mit der von dir ausgewählten Seite korrespondierst und keinem "Man in the middle" aufgesessen bist <== auch was Positives!


    Jetzt - und auch da sind deine Befürchtungen voll berechtigt! - fragst du dich, wieso der Thunderbird irgendwelche Scripte ausführen darf. Bei den Browsern gibt es viele Add-ons und auch generelle Einstellungen, mit denen Scripte unterbunden werden. Allerdings sind die Webseiten in der heutigen klickibunti-Zeit leider so verscriptet, dass "ohne" kaum noch was läuft. Und eine Unterscheidung zwischen "guten" und "bösen" Scripten ist nur sehr schwer möglich. (Siehe deinen McAfee ...). Also musst du für jede Webseite händisch und nach Befragung von Brain-01 festlegen, ob da Scripte zulässig oder eben unzulässig sind.
    Bei E-Mails gibt es für mich nur eine einzige Lösung: Die Anzeige der E-Mails in Reintextformat! Da kann wirklich nichts passieren. (Aber das glauben mir eh nur diejenigen, die mit schönen bunten Mails schon mal so richtig auf die Schn**** gefallen sind. Manchmal brauchen die User eben so einen Effekt.)


    Vergessen ...:

    Zitat

    Gibt es eine Möglichkeit / Software um Thunderbird nach veränderungen an der Originalversion zu prüfen?


    Von unserer Downloadseite:
    Sie können nach dem Herunterladen des Thunderbird mit Hilfe der MD5-/SHA1-Summen kontrollieren, ob die heruntergeladene Datei in Ordnung ist:
    SHA1-Summen
    MD5-Summen



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • nochmal vielen Dank für die ausführiche erläuterung.


    Als nachtrag hab ich nur noch zu erwähnen dass Thunderbird minimiert gelaufen ist während der Meldung, ich habe einen Text in Word geschrieben und keine aktionen ausgeführt die Thnderbird in einer form aktivieren oder zu einer Aktion veranlassen könnte.

  • Gibt es irgendwo auch die Möglichkeit automatische Updates zu generieren sobald ich Thunderbird öffne?
    Wo kann ich den Zeitraum einstellen in welchen Abständen das passieren soll?