Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 12

Thema: Was tun, wenn über den eigenen Webserver gespammt wurde?

  1. #1
    Neues Mitglied
    Registriert seit
    21.06.2008
    Ort
    Heute hier, morgen da, viel im Internet unterwegs
    Beiträge
    38

    Standard Was tun, wenn über den eigenen Webserver gespammt wurde?

    Hallo!

    Soeben erreichte mich eine Mail, dass unser Webserver herunter gefahren wurde, weil darüber gespammt wurde. Da liegen so ca. 10 Domains, darunter auch meine eigene.

    Irgendwo wurde ein Passwort geknackt, über das Spammer ihre Mails versenden.

    Ich hab mal den Server neu gestartet und Apache sicherheitshalber beendet...

    Es gilt jetzt, herauszufinden, wo welches Passwort geknackt wurde, also Durchsuchen der Log-Dateien und nach geänderten Dateien...

    Im Prinzip reicht es, wenn ein Hacker es geschafft hat, einen FTP-Account zu knacken, da PHP-Skripte hochzuladen, über das sie ihre Spams versenden können, oder einen Webmail-Account, einen Mail-Account, Möglichkeiten gibt es sehr viele....

    Gibt es auch irgendwelche rechtlichen Folgen zu befürchten? Spams sind ja verboten und somit strafbar, andererseits konnten wir es auch nicht viel dagegen tun, wenn ein Hacker es schafft, ein Passwort zu knacken, war nur eine Frage der Zeit...

  2. #2
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Zitat Zitat von Slyfox1972 Beitrag anzeigen
    Ich hab mal den Server neu gestartet und Apache sicherheitshalber beendet...
    Sicher nicht schlecht, aber ich würde die Kiste vielleicht doch neu aufsetzen, man weiß ja nie was der Angreifer auf der Maschine alles angerichtet hat.
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  3. #3
    Neues Mitglied
    Registriert seit
    21.06.2008
    Ort
    Heute hier, morgen da, viel im Internet unterwegs
    Beiträge
    38

    Standard

    Interessante Messages:

    Unter /var/log/messages stehene Tausende solcher Einträge:

    Apr 14 10:57:26 lvps87-230-15-142 sshd[10056]: Invalid user modem from 61.19.254.3
    Apr 14 10:57:28 lvps87-230-15-142 sshd[10103]: Invalid user song from 61.19.254.3
    Apr 14 10:57:31 lvps87-230-15-142 sshd[10132]: Invalid user songs from 61.19.254.3
    Apr 14 10:57:34 lvps87-230-15-142 sshd[10206]: Invalid user helen from 61.19.254.3
    Apr 14 10:57:36 lvps87-230-15-142 sshd[11280]: Invalid user edward from 61.19.254.3
    Apr 14 10:57:39 lvps87-230-15-142 sshd[11362]: Invalid user eugenie from 61.19.254.3
    Apr 14 10:57:42 lvps87-230-15-142 sshd[11450]: Invalid user christina from 61.19.254.3
    Apr 14 10:57:44 lvps87-230-15-142 sshd[11474]: Invalid user sydney from 61.19.254.3
    Apr 14 10:57:47 lvps87-230-15-142 sshd[11510]: Invalid user christie from 61.19.254.3
    Apr 14 10:57:50 lvps87-230-15-142 sshd[11555]: Invalid user evan from 61.19.254.3
    Apr 14 10:57:52 lvps87-230-15-142 sshd[11580]: Invalid user robby from 61.19.254.3
    Apr 14 10:57:55 lvps87-230-15-142 sshd[11637]: Invalid user thom from 61.19.254.3
    Apr 14 10:57:58 lvps87-230-15-142 sshd[11675]: Invalid user valerie from 61.19.254.3
    Apr 14 10:58:00 lvps87-230-15-142 sshd[11758]: Invalid user carl from 61.19.254.3
    Apr 14 10:58:03 lvps87-230-15-142 sshd[11831]: Invalid user stuart from 61.19.254.3
    Apr 14 10:58:06 lvps87-230-15-142 sshd[11861]: Invalid user joon from 61.19.254.3
    Alle 2-3 kommt ein Login-Versuch per ssh, und fast immer von der IP 61.19.254.3 ...

  4. #4
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Da versucht einer per Brute Force mittels SSH bei dem Server einzusteigen. Es kann helfen den Port zu verschieben, das Login auf SSH-Keys umzustellen und fail2ban zu installieren.
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  5. #5
    Neues Mitglied
    Registriert seit
    21.06.2008
    Ort
    Heute hier, morgen da, viel im Internet unterwegs
    Beiträge
    38

    Standard

    Ich hab Port 22 auf 'nen Geheim-Port geändert.

  6. #6
    Neues Mitglied
    Registriert seit
    21.06.2008
    Ort
    Heute hier, morgen da, viel im Internet unterwegs
    Beiträge
    38

    Standard

    Die Datei /var/log/mail.warn brachte auch ständig neue Einträge, bis ich qmail gestoppt hatte:

    Apr 14 16:37:55 lvps87-230-15-142 qmail-remote-handlers[26322]: Handlers Filter before-remote for qmail started ...
    Apr 14 16:37:55 lvps87-230-15-142 qmail-remote-handlers[26322]: from= [Link nur für registrierte Mitglieder sichtbar. ]
    Apr 14 16:37:55 lvps87-230-15-142 qmail-remote-handlers[26322]: to= [Link nur für registrierte Mitglieder sichtbar. ]
    Apr 14 16:38:03 lvps87-230-15-142 qmail-remote-handlers[26335]: Handlers Filter before-remote for qmail started ...
    Apr 14 16:38:03 lvps87-230-15-142 qmail-remote-handlers[26335]: from= [Link nur für registrierte Mitglieder sichtbar. ]
    Apr 14 16:38:03 lvps87-230-15-142 qmail-remote-handlers[26335]: to= [Link nur für registrierte Mitglieder sichtbar. ].uk
    Apr 14 16:38:04 lvps87-230-15-142 qmail-remote-handlers[26338]: Handlers Filter before-remote for qmail started ...
    Apr 14 16:38:04 lvps87-230-15-142 qmail-remote-handlers[26338]: from= [Link nur für registrierte Mitglieder sichtbar. ]
    Apr 14 16:38:04 lvps87-230-15-142 qmail-remote-handlers[26338]: to= [Link nur für registrierte Mitglieder sichtbar. ]
    Die Statistik-Dateien vom Apache scheinen sauber zu sein, den starte ich wieder. So funktionieren wenigstens die Webseiten wieder, nur Mail geht halt nicht.

  7. #7
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Versenden dürfen aber nur Sender, die authentifiziert sind, oder?
    Nicht, dass da einfach eine Adresse á [Link nur für registrierte Mitglieder sichtbar. ] ausreicht um Mails versenden zu dürfen.

    Mailannahme unauthentifiziert -> Nur wenn Empfänger vorhanden und Mailhost auch zuständig, sonst:
    Code:
    2009-03-22 12:40:59 H=92-234-177-241.cable.ubr23.live.blueyonder.co.uk [92.234.177.241] F=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]> rejected RCPT <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Unknown User: route: Unrouteable address
    Mailannahme authentifiziert -> wird auch nach "draussen" gesendet.


    Ich weiss ja nicht, wie schwierig es ist, Deinen Kunden beizubiegen, SMTP-AUTH und TLS anzukreuzen

    Edit: Hat man Dir die Header der Mails zukommen lassen? Anhand dessen könnte man am leichtesten feststellen, ob da ein Script seine Bytes im Spiel hat, oder ob ggf. der Mailserver relayed (oder dort ein unsicheres PW existiert).
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  8. #8
    Neues Mitglied
    Registriert seit
    21.06.2008
    Ort
    Heute hier, morgen da, viel im Internet unterwegs
    Beiträge
    38

    Standard

    Die Log-Recherchen haben ergeben, dass ein E-Mail-Konto mit dem User "test" geknackt wurde, der Rechner war in Japan:

    Mar 23 16:18:49 lvps87-230-15-142 pop3d:
    Mar 23 16:18:56 lvps87-230-15-142 pop3d: IMAP connect from @ [219.94.153.181]checkmailpasswd: FAILED: info - password incorrect from @ [219.94.153.181]ERR: LOGIN FAILED, ip=[219.94.153.181]
    Mar 23 16:19:29 lvps87-230-15-142 last message repeated 4 times
    Mar 23 16:19:37 lvps87-230-15-142 pop3d: IMAP connect from @ [219.94.153.181]checkmailpasswd: FAILED: info - password incorrect from @ [219.94.153.181]ERR: LOGIN FAILED, ip=[219.94.153.181]
    Mar 23 16:19:46 lvps87-230-15-142 pop3d: IMAP connect from @ [219.94.153.181]checkmailpasswd: FAILED: test - password incorrect from @ [219.94.153.181]ERR: LOGIN FAILED, ip=[219.94.153.181]
    Mar 23 16:20:10 lvps87-230-15-142 last message repeated 3 times
    Mar 23 16:20:11 lvps87-230-15-142 pop3d: IMAP connect from @ [219.94.153.181]INFO: LOGIN, user=test, ip=[219.94.153.181]
    Spätere Einträge haben ergeben, das mit diesem E-Mail-Konto die ganzen Spams versandt wurden, und zwar von mail.rocket-media.net .

    Die soll eine Warnung sein an alle, keine einfachen, zu erratenden oder knackenden Passwörter zu verwenden.

  9. #9
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    ...und ein "Test"-Konto nach dem Test auch wirklich wieder zu löschen!
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  10. #10
    jens69
    Gast

    Standard

    Zitat Zitat von Slyfox1972 Beitrag anzeigen

    Alle 2-3 kommt ein Login-Versuch per ssh, und fast immer von der IP 61.19.254.3 ...
    Ja ist leider normal. Mann kann die IP in die Firerwall eintragen, dann kommen die Versuche recht fix von einem anderen Server. Ist erstmal ein passender user gefunden, werden schön die schwachen Paßwörter durchprobiert. Da hilft nur sichere Paßwörter zu verwenden!

    Ich hab ne VM und kann über Plesk den SSH-zugang ausschalten. Wenn ich nicht gerade was darauf machen muß, ist SSH deaktiviert, dann kann auch keiner darüber einbrechen.


    Zitat Zitat von Slyfox1972 Beitrag anzeigen
    Die soll eine Warnung sein an alle, keine einfachen, zu erratenden oder knackenden Passwörter zu verwenden.
    Was schwache Paßwörter sind, siehst Du an den SSH-Versuchen, wenn erstmal ein User gefunden wurde. Sichere Paßwörter werden auch gut ergänzt durch nicht so einfache Mailadressen. Test@ ist zu häufig verwende, test11242345@ eher selten und wird deshalb nicht so häufig versucht zu knacken.

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 30.05.2008, 19:16
  2. [SPAM]Über eigenen Arcor-DSL an "alle ebay-Kunden"
    Von SpamRam im Forum 1.1 deutschsprachig
    Antworten: 0
    Letzter Beitrag: 15.11.2006, 18:54
  3. Antworten: 4
    Letzter Beitrag: 03.06.2006, 19:55
  4. Antworten: 3
    Letzter Beitrag: 18.05.2005, 16:18
  5. Webserver Apache-Hack von Spamer
    Von Houser im Forum 4.1 Vorbeuge gegen Spam
    Antworten: 0
    Letzter Beitrag: 27.05.2003, 14:32

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen