RootForum Community

Einer meiner Useraccounts auf meinem Rootserver wird als MailRelay von Außerhalb genutzt.
Sobald ich den Apache stoppe ist Ruhe, doch sobald ich ihn wieder starte gehts wieder los. Ich habe keinerlei Scripte in diesem Account gefunden, welche darauf hindeuten könnten.

Wie stoppe ich diese Sch****?

Hallo,

Stichwort für die Suchfunktion: mod_proxy

Proxy-Schnelltest: Deine IP im Browser als Proxy eintragen, wenn Du dann Seiten außerhalb Deines Servers aufrufen kannst, läuft ein Proxy.

Sonst ist es vermutlich doch ein Script, Apache-Logs lesen.

Gruß, Wolfgang

Bin sämtliche Logs durchgegangen und mußte mit Erschrecken feststellen, daß ein CGI-Script meines Kunden von außerhalb für Spamaktivitäten mißbraucht wird.
Was kann zur Sicherheit dagegen tun?

rm -f /pfad/zum/script

oder BOFH-Style: rm -rf $KUNDE

Hallo,

den Kunden dran hindern, unsichere Scripts zu installieren. Das ist allerdings kein technisches, sondern ein pädagogisches bzw juristisches Problem.

Technisch kannst Du dem Kunden die Scriptausführung komplett sperren, könnte aber auch ein juristisches Problem werden. :oops:

Falls Du mit Kunde echte zahlende Kundschaft meinst, hast Du Dir sicher vorher Gedanken über dieses Problem gemacht und Deine Verträge entsprechend gestaltet.

Gruß, Wolfgang

CaptainCrunch wrote:rm -f /pfad/zum/script

oder BOFH-Style: rm -rf $KUNDE

Ist mir auch in den Sinn gekommen, doch hierbei handelt es sich um Kundendaten, die ich als Admin unberührt lassen muß. Ich kann nicht so einfach sensible Daten, die nicht einmal mir gehören, löschen.

Ich habe dem Skript erstmal sämtliche Rechte entzogen und jetzt ist erstmal Ruhe.

Das Problem dabei ist, das man das Skript mit Parametern aufrufen kann und keinerlei Ã?berprüfung innerhalb des Skriptes stattfindet. Ich frag mich bloß, wer solche Gülle programmiert hat.

Durch diesen Scheiß ist mein Maillog und einige andere Logs auf 160 MB angestiegen.

eGo wrote: Durch diesen Scheiß ist mein Maillog und einige andere Logs auf 160 MB angestiegen.

Vermutlich war das noch nicht alles; Stichwort RBL

Ich filtere schon mittels RBL-Domains und SA, aber ich sehe hier Confixx als Schwachstelle im System. Mal schauen, ob ich das alles ohne Confixx aufsetzen kann.

nun, er meinte sicher, daß du damit wahrscheinlich auf einer RBL landen könntest.

Hallo,

Ich frag mich bloß, wer solche Gülle programmiert hat.

vermutlich eines der wohlbekannten Freewarescripts in einer älteren Version. Solange das Inet voller offener Relays war, hat sich keiner für die Scripts interessiert und eine Absicherung war nicht nötig. Aber auch die aktuellen Versionen muß man aktiv individuell absichern und je nach Anwendung ist eine vollständige Absicherung auch garnicht möglich.

aber ich sehe hier Confixx als Schwachstelle im System.

Warum? Confixx bringt keine unsicheren Mailscripts mit, und Perl/PHP für den Kunden sperren kann man in Confixx.

Ich seh hier eine ganz andere Schwachstelle: Provider werden ist nicht schwer, Provider sein dagegen sehr.

Gruß, Wolfgang

So...jetzt läuft wieder alles.
Ein kleines Problem hab ich aber noch. Ich habe sämtliche übergroßen Logfiles gelöscht. Nun wird aber das Maillog nicht wieder erzeugt bzw. wird nicht hineingeschrieben, wenn ich es von Hand erzeugt habe. Rechte sind als Root darauf gesetzt.

zu deinen logs schau dir in zukunft logrotate an und benutze die Suche, das Problem hatten schon viele. Logfiles löscht man nicht von Hand :)

GRuß Christian

Warum löscht man Logfiles nicht von Hand? Kann man, macht man und dann und es gibt keine Probleme