Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 19 von 19

Thema: assp konfigurieren - Spam in Ordner schieben

  1. #11
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    Hallo für den Server gibt´s ein anderes PW für root und den user das schließe ich eigentlich aus. Und die PW für die Installationen sind ebenso lang genug und immer anders.
    Bisher hat sich mein Provider auch noch nicht geäußert wie da passieren konnte. Jetzt läuft alles wieder wie es soll.
    die Ausgabe von ps -e zeigt er wie folgt:
    PID TTY TIME CMD
    1 ? 00:00:00 init
    29 ? 00:00:00 init-logger
    248 ? 00:00:00 portmap
    319 ? 00:00:00 rsyslogd
    332 ? 00:00:00 named
    377 ? 00:00:00 mysqld_safe
    414 ? 00:00:02 mysqld
    415 ? 00:00:00 logger
    490 ? 00:00:01 spamd
    587 ? 00:00:01 freshclam
    591 ? 00:00:00 courierlogger
    592 ? 00:00:00 authdaemond
    596 ? 00:00:00 authdaemond
    597 ? 00:00:00 authdaemond
    598 ? 00:00:00 authdaemond
    599 ? 00:00:00 authdaemond
    600 ? 00:00:00 authdaemond
    602 ? 00:00:00 nscd
    678 ? 00:00:00 famd
    689 ? 00:00:00 dovecot
    691 ? 00:00:00 dovecot-auth
    697 ? 00:00:00 spamd
    698 ? 00:00:00 spamd
    700 ? 00:00:00 managesieve-log
    701 ? 00:00:00 managesieve-log
    702 ? 00:00:00 managesieve-log
    704 ? 00:00:00 pop3-login
    708 ? 00:00:00 imap-login
    709 ? 00:00:00 proftpd
    724 ? 00:00:00 cron
    739 ? 00:00:00 apache2
    755 ? 00:01:17 fail2ban-server
    1318 ? 00:00:00 miniserv.pl
    1972 ? 00:00:00 imap-login
    3060 ? 00:00:00 apache2
    3063 ? 00:00:00 apache2
    3064 ? 00:00:00 apache2
    3065 ? 00:00:00 apache2
    3066 ? 00:00:00 php-cgi
    3067 ? 00:00:00 apache2
    3068 ? 00:00:00 apache2
    3069 ? 00:00:00 php5-cgi
    3070 ? 00:00:00 apache2
    3071 ? 00:00:00 php-cgi
    3072 ? 00:00:00 apache2
    3073 ? 00:00:00 php-cgi
    3075 ? 00:00:00 php-cgi
    3084 ? 00:00:00 php-cgi
    3092 ? 00:00:00 dovecot-auth
    3094 ? 00:00:00 imap-login
    3095 ? 00:00:00 apache2
    3100 ? 00:00:00 pop3-login
    3101 ? 00:00:00 pop3-login
    3145 ? 00:00:00 sshd
    3153 ? 00:00:00 apache2
    3154 ? 00:00:00 apache2
    3155 ? 00:00:00 sshd
    3157 ? 00:00:00 sshd
    3158 pts/0 00:00:00 sh
    3163 pts/0 00:00:00 ps

  2. #12
    Chinchilla
    Gast

    Standard

    das fehlt noch der ausführende User... mach mal
    ps -e u
    dann sollte in der ersten Spalte der User stehen

    Ansonsten würde ich empfehlen sicherheitshalnber den Zugriff auf die Konfigurationsdatei von WP zu testen mittels Browser und wget

    Werden nach den bisherigen Maßnahmen noch Mails generiert?

  3. #13
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.486

    Standard

    Wie sieht es mit sudo/su aus? Darf der Nutzer mit seinem Passwort root-Rechte erhalten?

    Was mir noch nicht ganz klar ist: Postfix als MTA, warum aber dann Courier und dovecot?
    Als weiteres sehe ich Webmin, das ist natürlich auch ein gerne genommenes Angriffsziel.

  4. #14
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    Hallo
    der Zugriff wurde wohl gestoppt keine neuen Mails im System. Alles läuft wieder so wie es sollte. DIE WP Anwendungen sind soweit sicher es lässt sich keine config Datei aufrufen auch die Rechte stimmen 644.
    Es läuft dovecot weil imap Postfächer vorhanden sind, Webmin ist sicher mit PW. DEr nutzer kann sich einloggen bekommt aber keine root rechte mit seinem PW muss er erst SU und PW. Derweilen schrieb mein Provider folgendes:
    es gab in der Tat größere Unregelmäßigkeiten auf dem gesamten Server, nicht nur Sie sind betroffen gewesen.Wir bekommen im Moment eine erweiterts Überwachungsprogramm auf alle unserer Server installiert.Es gibt Hacker, die nehmen die Haupt IP Adresse um SPAM zu versenden, diese
    wird dann auf die einzelnen VPS verteilt.
    USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
    root 1 0.0 0.0 10316 716 ? Ss 10:07 0:00 init [2]
    root 29 0.0 0.0 100 16 ? S 10:07 0:00 [init-logger]
    daemon 248 0.0 0.0 8024 484 ? Ss 10:07 0:00 /sbin/portmap
    root 319 0.0 0.0 121580 1304 ? Sl 10:07 0:00 /usr/sbin/rsysl
    bind 332 0.0 0.8 130188 10824 ? Ssl 10:07 0:00 /usr/sbin/named
    root 377 0.0 0.1 17316 1444 ? S 10:08 0:00 /bin/sh /usr/bi
    mysql 414 0.0 1.9 235944 25272 ? Sl 10:08 0:05 /usr/sbin/mysql
    root 415 0.0 0.0 3784 592 ? S 10:08 0:00 logger -p daemo
    root 490 0.0 3.2 105816 42880 ? Ss 10:08 0:02 /usr/sbin/spamd
    clamav 587 0.0 0.1 43144 2000 ? Ss 10:08 0:04 /usr/bin/freshc
    root 591 0.0 0.0 6064 456 ? S 10:08 0:00 /usr/sbin/couri
    root 592 0.0 0.0 29600 1228 ? S 10:08 0:00 /usr/lib/courie
    root 596 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
    root 597 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
    root 598 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
    root 599 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
    root 600 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
    root 602 0.0 0.1 143680 2048 ? Ssl 10:08 0:00 /usr/sbin/nscd
    root 678 0.0 0.0 16440 540 ? Ss 10:08 0:00 /usr/sbin/famd
    root 689 0.0 0.0 4392 648 ? Ss 10:08 0:00 /usr/sbin/dovec
    root 691 0.0 0.2 65636 3140 ? S 10:08 0:00 dovecot-auth
    vmail 697 0.0 3.1 105816 41560 ? S 10:08 0:00 spamd child
    vmail 698 0.0 3.1 105816 41560 ? S 10:08 0:00 spamd child
    dovecot 700 0.0 0.1 14332 2004 ? S 10:08 0:00 managesieve-log
    dovecot 701 0.0 0.1 14332 2004 ? S 10:08 0:00 managesieve-log
    dovecot 702 0.0 0.1 14332 2004 ? S 10:08 0:00 managesieve-log
    proftpd 709 0.0 0.1 77636 1764 ? Ss 10:08 0:00 proftpd: (accep
    root 724 0.0 0.0 15780 872 ? Ss 10:08 0:00 /usr/sbin/cron
    root 739 0.0 0.3 127968 4568 ? Ss 10:09 0:00 /usr/sbin/apach
    root 755 0.4 0.5 227464 6996 ? Sl 10:09 1:32 /usr/bin/python
    root 1318 0.0 1.1 71244 15032 ? Ss 10:09 0:00 /usr/bin/perl /
    www-data 3060 0.0 0.2 127968 2984 ? S 12:55 0:00 /usr/sbin/apach
    10002 3066 0.0 2.8 214724 36900 ? S 12:55 0:03 /usr/bin/php-cg
    9999 3069 0.0 2.4 213768 32180 ? S 12:55 0:02 /usr/bin/php5-c
    10002 3071 0.0 1.0 191488 13232 ? S 12:55 0:01 /usr/bin/php-cg
    10002 3073 0.0 0.8 188320 11040 ? S 12:55 0:00 /usr/bin/php-cg
    10002 3075 0.0 0.8 188320 11040 ? S 12:55 0:00 /usr/bin/php-cg
    10001 3084 0.0 1.0 192552 14104 ? S 12:55 0:00 /usr/bin/php-cg
    www-data 3195 0.0 0.2 128152 3848 ? S 12:59 0:00 /usr/sbin/apach
    www-data 3579 0.0 0.3 128200 4060 ? S 13:05 0:00 /usr/sbin/apach
    10002 3583 0.0 0.9 188780 12088 ? S 13:06 0:00 /usr/bin/php-cg
    10002 4062 0.0 2.8 215004 37192 ? S 13:12 0:00 /usr/bin/php-cg
    dovecot 4126 0.0 0.1 14224 1988 ? S 13:24 0:00 imap-login
    dovecot 4288 0.0 0.1 14224 1988 ? S 13:32 0:00 imap-login
    dovecot 4296 0.0 0.1 14216 1976 ? S 13:32 0:00 pop3-login
    www-data 4316 0.0 0.3 128192 3956 ? S 13:37 0:00 /usr/sbin/apach
    www-data 4538 0.0 0.3 128332 4184 ? S 13:43 0:00 /usr/sbin/apach
    www-data 4540 0.0 0.2 128176 3864 ? S 13:44 0:00 /usr/sbin/apach
    www-data 4582 0.0 0.3 128260 4100 ? S 13:52 0:00 /usr/sbin/apach
    www-data 4583 0.0 0.2 128116 3744 ? S 13:52 0:00 /usr/sbin/apach
    www-data 4919 0.0 0.2 128152 3812 ? S 15:01 0:00 /usr/sbin/apach
    www-data 4921 0.0 0.3 128264 4040 ? S 15:01 0:00 /usr/sbin/apach
    10002 4999 0.0 0.8 188320 10824 ? S 15:24 0:00 /usr/bin/php-cg
    root 5242 0.0 0.2 65424 3448 ? S 16:20 0:00 dovecot-auth -w
    dovecot 5244 0.0 0.1 14224 1992 ? S 16:20 0:00 imap-login
    dovecot 5249 0.0 0.1 14216 1980 ? S 16:20 0:00 pop3-login
    dovecot 5250 0.0 0.1 14216 1976 ? S 16:20 0:00 pop3-login
    www-data 5308 0.0 0.2 128196 3932 ? S 16:23 0:00 /usr/sbin/apach
    root 5373 0.0 0.0 42812 1172 ? Ss 16:26 0:00 /usr/sbin/sshd
    root 5381 0.0 0.2 66356 3020 ? Ss 16:27 0:00 sshd: carsten [
    carsten 5384 0.0 0.1 66492 1632 ? S 16:27 0:00 sshd: carsten@p
    carsten 5385 0.0 0.1 15200 1960 pts/0 Ss 16:27 0:00 -sh
    root 5421 0.0 0.0 37060 1288 pts/0 S 16:28 0:00 su
    root 5422 0.0 0.1 14736 1724 pts/0 S 16:28 0:00 bash
    root 5423 0.0 0.0 9872 900 pts/0 R+ 16:28 0:00 ps -e u

  5. #15
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.486

    Standard

    Ok, dovecot macht IMAP, was macht dann der Courier?

    Auf jeden Fall haben Courier und Dovecot für meinen Geschmack zu viele Prozesse mit root laufen, das lässt sich sicherer konfigurieren. Ist aber andererseits auch nicht die riesige Sicherheitslücke.

    Aber die Aussage vom Provider klingt fast so, als sei der Angriff auf Providerseite erfolgt und nicht bei dir...
    Aber der Argumentation des Providers kann ich nicht folgen, dass Mails vom Host-Server auf die VPS verteilt werden... Das klingt irgendwie komisch.

  6. #16
    Chinchilla
    Gast

    Standard

    Zitat Zitat von TillP Beitrag anzeigen
    Aber die Aussage vom Provider klingt fast so, als sei der Angriff auf Providerseite erfolgt und nicht bei dir...
    Aber der Argumentation des Providers kann ich nicht folgen, dass Mails vom Host-Server auf die VPS verteilt werden... Das klingt irgendwie komisch.
    Das würde bedeuten, daß ein Hacker an einen Super-Admin-User gekommen ist und damit root-Rechte auf den einzelnen VPS hat. Ich bin zwar kein Spezialist in den Dingen, aber bei dem Gedanken bekomme ich Bauchschmerzen.

    Bei dem folgenden Prozeß bin ich mir nicht sicher, ob der wirklich unter root laufen muß:
    root 739 0.0 0.3 127968 4568 ? Ss 10:09 0:00 /usr/sbin/apach

  7. #17
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.486

    Standard

    Zitat Zitat von Chinchilla Beitrag anzeigen
    Bei dem folgenden Prozeß bin ich mir nicht sicher, ob der wirklich unter root laufen muß:
    root 739 0.0 0.3 127968 4568 ? Ss 10:09 0:00 /usr/sbin/apach
    Das ist der Hauptprozess, der läuft als root und startet die anderen Prozesse mit eingeschränkten Rechten. Das ist kein Problem.

  8. #18
    Chinchilla
    Gast

    Standard

    Danke, sowas hatte ich schon vermutet und auch mit meinem Server abgeglichen.

  9. #19
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    Hallo hat sich erledigt Server geht mich nichts mehr an mein Chef hat von nichts ne Ahnung alles gelöscht und gekündigt da. Er meinte auch ich hatte den FTP gepacht und solche Sachen. Ja als Studierter EDV hat man schon Plan davon.... mir wird nur noch schlecht die Firma hat einen neuen Server bestellt den ich nicht administrieren werden
    Das will Chef selber machen na da freu ich mich schon drauf
    Manche müssen es auf die Harte Tour lernen.... man man

Seite 2 von 2 ErsteErste 12

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen