PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Was tun, wenn über den eigenen Webserver gespammt wurde?



Slyfox1972
14.04.2009, 14:38
Hallo!

Soeben erreichte mich eine Mail, dass unser Webserver herunter gefahren wurde, weil darüber gespammt wurde. Da liegen so ca. 10 Domains, darunter auch meine eigene.

Irgendwo wurde ein Passwort geknackt, über das Spammer ihre Mails versenden.

Ich hab mal den Server neu gestartet und Apache sicherheitshalber beendet...

Es gilt jetzt, herauszufinden, wo welches Passwort geknackt wurde, also Durchsuchen der Log-Dateien und nach geänderten Dateien...

Im Prinzip reicht es, wenn ein Hacker es geschafft hat, einen FTP-Account zu knacken, da PHP-Skripte hochzuladen, über das sie ihre Spams versenden können, oder einen Webmail-Account, einen Mail-Account, Möglichkeiten gibt es sehr viele....

Gibt es auch irgendwelche rechtlichen Folgen zu befürchten? Spams sind ja verboten und somit strafbar, andererseits konnten wir es auch nicht viel dagegen tun, wenn ein Hacker es schafft, ein Passwort zu knacken, war nur eine Frage der Zeit...

exe
14.04.2009, 15:02
Ich hab mal den Server neu gestartet und Apache sicherheitshalber beendet...
Sicher nicht schlecht, aber ich würde die Kiste vielleicht doch neu aufsetzen, man weiß ja nie was der Angreifer auf der Maschine alles angerichtet hat.

Slyfox1972
14.04.2009, 16:12
Interessante Messages:

Unter /var/log/messages stehene Tausende solcher Einträge:


Apr 14 xx:xx:xx lvps87-230-15-142 sshd[10056]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[10103]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[10132]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[10206]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11280]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11362]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11450]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11474]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11510]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11555]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11580]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11637]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11675]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11758]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11831]: InvalID: [ID filtered]
Apr 14 xx:xx:xx lvps87-230-15-142 sshd[11861]: InvalID: [ID filtered]

Alle 2-3 kommt ein Login-Versuch per ssh, und fast immer von der IP 61.19.254.3 ...

exe
14.04.2009, 16:28
Da versucht einer per Brute Force mittels SSH bei dem Server einzusteigen. Es kann helfen den Port zu verschieben, das Login auf SSH-Keys umzustellen und fail2ban zu installieren.

Slyfox1972
14.04.2009, 16:32
Ich hab Port 22 auf 'nen Geheim-Port geändert.

Slyfox1972
14.04.2009, 16:43
Die Datei /var/log/mail.warn brachte auch ständig neue Einträge, bis ich qmail gestoppt hatte:


Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26322]: Handlers Filter before-remote for qmail started ...
Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26322]: from=aw-update [at] paypal.com
Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26322]: to=sardinia6801 [at] yahoo.com
Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26335]: Handlers Filter before-remote for qmail started ...
Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26335]: from=aw-update [at] paypal.com
Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26335]: to=sardley [at] netscapeonline.co.uk
Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26338]: Handlers Filter before-remote for qmail started ...
Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26338]: from=aw-update [at] paypal.com
Apr 14 xx:xx:xx lvps87-230-15-142 qmail-remote-handlers[26338]: to=saredneckchik69 [at] yahoo.com

Die Statistik-Dateien vom Apache scheinen sauber zu sein, den starte ich wieder. So funktionieren wenigstens die Webseiten wieder, nur Mail geht halt nicht.

alariel
14.04.2009, 18:43
Versenden dürfen aber nur Sender, die authentifiziert sind, oder?
Nicht, dass da einfach eine Adresse á beliebig [at] example.com ausreicht um Mails versenden zu dürfen.

Mailannahme unauthentifiziert -> Nur wenn Empfänger vorhanden und Mailhost auch zuständig, sonst:

2009-03-22 xx:xx:xx H=92-234-177-241.cable.ubr23.live.blueyonder.co.uk [92.234.177.241] F=<rinkingfu9 [at] scannermanual.com> rejected RCPT <kristynichols_kw [at] meinhost.de>: Unknown User: route: Unrouteable address
Mailannahme authentifiziert -> wird auch nach "draussen" gesendet.


Ich weiss ja nicht, wie schwierig es ist, Deinen Kunden beizubiegen, SMTP-AUTH und TLS anzukreuzen ;)

Edit: Hat man Dir die Header der Mails zukommen lassen? Anhand dessen könnte man am leichtesten feststellen, ob da ein Script seine Bytes im Spiel hat, oder ob ggf. der Mailserver relayed (oder dort ein unsicheres PW existiert).

Slyfox1972
15.04.2009, 10:25
Die Log-Recherchen haben ergeben, dass ein E-Mail-Konto mit dem User "test" geknackt wurde, der Rechner war in Japan:


Mar 23 xx:xx:xx lvps87-230-15-142 pop3d:
Mar 23 xx:xx:xx lvps87-230-15-142 pop3d: IMAP connect from @ [219.94.153.181]checkmailpasswd: FAILED: info - password incorrect from @ [219.94.153.181]ERR: LOGIN FAILED, ip=[219.94.153.181]
Mar 23 xx:xx:xx lvps87-230-15-142 last message repeated 4 times
Mar 23 xx:xx:xx lvps87-230-15-142 pop3d: IMAP connect from @ [219.94.153.181]checkmailpasswd: FAILED: info - password incorrect from @ [219.94.153.181]ERR: LOGIN FAILED, ip=[219.94.153.181]
Mar 23 xx:xx:xx lvps87-230-15-142 pop3d: IMAP connect from @ [219.94.153.181]checkmailpasswd: FAILED: test - password incorrect from @ [219.94.153.181]ERR: LOGIN FAILED, ip=[219.94.153.181]
Mar 23 xx:xx:xx lvps87-230-15-142 last message repeated 3 times
Mar 23 xx:xx:xx lvps87-230-15-142 pop3d: IMAP connect from @ [219.94.153.181]INFO: LOGIN, user=test, ip=[219.94.153.181]

Spätere Einträge haben ergeben, das mit diesem E-Mail-Konto die ganzen Spams versandt wurden, und zwar von mail.rocket-media.net .

Die soll eine Warnung sein an alle, keine einfachen, zu erratenden oder knackenden Passwörter zu verwenden.

alariel
15.04.2009, 10:43
...und ein "Test"-Konto nach dem Test auch wirklich wieder zu löschen! ;)

jens69
15.04.2009, 21:34
Alle 2-3 kommt ein Login-Versuch per ssh, und fast immer von der IP 61.19.254.3 ...

Ja ist leider normal. Mann kann die IP in die Firerwall eintragen, dann kommen die Versuche recht fix von einem anderen Server. Ist erstmal ein passender user gefunden, werden schön die schwachen Paßwörter durchprobiert. Da hilft nur sichere Paßwörter zu verwenden!

Ich hab ne VM und kann über Plesk den SSH-zugang ausschalten. Wenn ich nicht gerade was darauf machen muß, ist SSH deaktiviert, dann kann auch keiner darüber einbrechen.




Die soll eine Warnung sein an alle, keine einfachen, zu erratenden oder knackenden Passwörter zu verwenden.

Was schwache Paßwörter sind, siehst Du an den SSH-Versuchen, wenn erstmal ein User gefunden wurde. Sichere Paßwörter werden auch gut ergänzt durch nicht so einfache Mailadressen. Test@ ist zu häufig verwende, test11242345@ eher selten und wird deshalb nicht so häufig versucht zu knacken.

spamer
16.04.2009, 00:49
Ich verwende auf meinen Servern auch noch fail2ban welches z.B. nach dem 5 Fehl-Login die IP für 10 Minuten sperrt.
Das bremst die Shell-Bots der anderen Server gut aus und sie können so nur wenige Accounts von aladin bis aletom ausprobieren ;-)
Darüber werd ich per Mail informiert und ein anderes Skript parst die Whois-Infos aus der Mail und informiert gleich noch den Provider über die Angriffsversuche (ausser es war mein Account, dann wird die Firewallregel sofort wieder gelöscht).

Dies schützt natürlich nicht gegen schwache Passwörter, bremst aber die Bots aus und der andere Provider, wird informiert, das sein Server/DSL-User infiziert/gehackt ist.

actro
16.04.2009, 07:51
denyhosts mal probiert? Das fängt auch ne Menge ab, wenn man es synct.
Ich habe zusätzlich noch die "gefährlichen" Länder (http://tools.sistrix.com/downloads/geo/country/) direkt auf Kernelebene geerdet.