Hallo,
über unseren Rootserver lief am Wochenende eine Spamattacke (höchstwahrscheinlich). Dazu kam es mit hoher Wahrscheinlichkeit über ein unsicheres php-Script. Der ausgehende Traffic ist stark gestiegen und es wurden seltsame Logeinträge gefunden (access.log). Ebenso wurde versucht das Root-Passwort zu knacken (auth.log).
Passende Ausschnitte kann ich leider nicht liefern, sitze am falschen PC.
Wir haben daraufhin direkt alle Webs über Plesk/Virturozzo offline genommen. Trotzdem liegt die Memoryauslastung immer noch bei 94%. Woran kann das liegen?
Die Mails wurden wenn wahrscheinlich mit phpMail über den Apache versand? Gibt es eine Möglichkeit das nachzuprüfen?
Grüße,
ven
Spamattacke über Rootserver? Memory-Auslastung?
Re: Spamattacke über Rootserver? Memory-Auslastung?
Sehr viel "wahrscheinlich" und "möglicherweise" und "seltsam" in deinem Text, aber keinerlei konkrete logs/Aussagen.
Also mal als Antwort:
Es kann sein das phpmail schuld ist. Dies kann man vermutlich nachprüfen.
Die Memoryauslastung ist wahrscheinlich nicht problematisch, die Ursache sieht man möglicherweise in einer Ausgabe von "top" oder "htop".
Die auth.log einträge sind höchstwahrscheinlich normaler Skript-Scan und haben vermutlich nichts mit den vermuteten Spams zu tun.
Ernsthaft: Ohne auf die Kiste zu gucken was grade Speicher/CPU frisst und die entsprechenden Logfiles ist alles nur blabla..
Also mal als Antwort:
Es kann sein das phpmail schuld ist. Dies kann man vermutlich nachprüfen.
Die Memoryauslastung ist wahrscheinlich nicht problematisch, die Ursache sieht man möglicherweise in einer Ausgabe von "top" oder "htop".
Die auth.log einträge sind höchstwahrscheinlich normaler Skript-Scan und haben vermutlich nichts mit den vermuteten Spams zu tun.
Ernsthaft: Ohne auf die Kiste zu gucken was grade Speicher/CPU frisst und die entsprechenden Logfiles ist alles nur blabla..
Re: Spamattacke über Rootserver? Memory-Auslastung?
Der Speicher ist bei Linux immer kurz vor voll ist euch das bis dahin noch nie aufgefallen und das ist normal weil Linux mit Speicher umgehen kann. Leeres RAM ist nutzloses RAM.
Windows kann nicht mit Speicher umgehen und lagert aus bevor es da zu eng wird.
Alle weiteren Sachen verkneife ich mir gerade. :roll:
Windows kann nicht mit Speicher umgehen und lagert aus bevor es da zu eng wird.
Alle weiteren Sachen verkneife ich mir gerade. :roll:
-
khark
Re: Spamattacke über Rootserver? Memory-Auslastung?
Mem:1003M used:155M buffers:58M cache:265Mcodc wrote:Der Speicher ist bei Linux immer kurz vor voll ist euch das bis dahin noch nie aufgefallen und das ist normal weil Linux mit Speicher umgehen kann. Leeres RAM ist nutzloses RAM.
Windows kann nicht mit Speicher umgehen und lagert aus bevor es da zu eng wird.
Alle weiteren Sachen verkneife ich mir gerade. :roll:
Swp:2047M used:0k
Uptime: 137 days
Halte ich für ein Gerücht :P
@ven: Schau dir mal mit top oder htop (Ich empfehle htop) an, was genau da den RAM verbraucht.
Tipp ins blaue: Ihr habt noch jede Menge Mails in der Queue die euer Mailserver rausschicken will und dies klappt aus irgendwelchen Gründen nicht.
Und das versucht wird den SSH zu knacken: Das ist nur das normale tägliche Hintergrundrauschen. Solange du keinen Rootlogin erlaubst und die Usernamen/Passwörter nicht leicht zu erraten sind hast du nicht viel zu befürchten.
Tipp: AllowUsers oder AllowGroups in der sshd_config.
Ja, schau in die entsprechende access.log des/der Webauftritts/-e wo PHPMail eingesetzt wurde und gucke wie oft das Skript aufgerufen wurde.ven wrote:Die Mails wurden wenn wahrscheinlich mit phpMail über den Apache versand? Gibt es eine Möglichkeit das nachzuprüfen?
Du wirst ja sicherlich ab und zu einen Blick in die Logs geworfen haben und kannst sagen, wie oft das Skript im Durchschnitt aufgerufen wurde.