Benutzt da einer meinen Mailserver ?

[bobo]

Hi,

ich hab nich die Ahnung bin aber bereit dazuzulernen.
Habe nur einen simple Frage, misbraucht da einer meinen Mailserver ?

Das kommt so ca. 100x vor, habs jetzt erst gemerkt

Apr 28 17:27:38 echo102 postfix/smtp[6177]: 92D5510DC1F2: to=<chrisclark781@hotmail.com>, relay=mx4.hotmail.com[65.54.245.104], delay=1, status=sent (250 <20060428152737.92D5510DC1F2@echo102.server4you.de> Queued mail for delivery)
Apr 28 17:27:37 echo102 postfix/qmgr[4837]: 1CE7E10DC1E6: removed
Apr 28 17:27:37 echo102 postfix/pickup[6053]: 92D5510DC1F2: uid=30 from=<wwwrun>
Apr 28 17:27:37 echo301 postfix/cleanup[6175]: 92D5510DC1F2:

danke und Gruß
bobo

[Roger Wilco]

Habe nur einen simple Frage, misbraucht da einer meinen Mailserver ?

Ja, und zwar durch ein unsicheres Skript auf irgendeiner deiner Webseiten.

[bobo]

Ach herrje :?

Wie kann ich das Problem lösen ?

Gruß
bobo

[duergner]

Mailserver runterfahren, unsicheres Script an Hand der Logfiles finden, unsicheres Script entfernen, sicherstellen dass unsicheres Script nicht wieder drauf kommt, u.U. mailqueue von angestauten Spam Mails befreien, Mailserver starten.

[bobo]

Will ich gerne tun, wie fahre ich den mailserver runter.
Wie muß ich vorgehen um das scirpt zu finden und wo finde die mailqueue.

Da ich Anfänger bin habe ich mit der Firewall zunächst erst Mal die Ports blockiert bis ich den Mailserver runtergefahren habe.
Was passiert denn da ?

stoppt man so den Mailserver: /etc/init.d/postfix stop

Das logfile wird immer größer

[duergner]

Am sichersten kannst du as Problem erst mal durch ein

Code: Select all

shutdown -h now

eindämmen.

[bobo]

ich will nicht den Server beenden da auf diesem Gameserver und Forum laufen.
Ich habe die Ports zugemacht und den Mailserver beendet und wie finde ich nun diese besagte script ?
Danke für die Superhilfe hier. Ich bin zwar Anfänger aber nicht blöd. :?

[flo]

Da gab es schon etliche Threads zum Thema . das ist fieseste Handarbeit, nämlich Checken der Apache-Logs und der Mailserver-Logs. Irgendjemand hat IMHO ein Script dafür verfaßt, aber nagel mich darauf nicht fest.

Wenn Du den SMTP runtergefahren hast, ist das ja schon mal gut - prophylaktische Updates aller relevanten Software - speziell Foren - halte ich für angebracht.

mod_proxy hast Du aber nicht geladen, oder?

flo.

[bobo]

Sagt mir überhaupt nichts.

Das phpBB2 Forum ist auf dem aktuellen Stand

Ich habe in /var/spool/postfix/maildrop folgendes gefunden

hört aber mit beenden von postfix auf

FWWW daemon apacheSwwwrunM NTo: adamwatson17@hotmail.comNSubject: DOUCHENFrom: <staff@hotmail.com>N NAYOU ARE A JERK, REMOOVE YOUR GAY TUNES AND HAX FROM UR SERVER BAIX Radamwatson17@hotmail.comE

Ich vermute mal stark das mein Mailserver zum spamen misbraucht wurde.
Was ich nicht in den Kopf bekomme wie kann jemand fremdes mein Mailsystem benutzen. Wenn ich ne Mail versende und die Authentifizierung nicht anhabe geht die Mail nicht raus. :?

Soweit ich das bis jetzt checke hat das wohl irgendwas mit meinem Apache zu tun.

Gibts da ein Tool um den Fehler zu beheben oder muß ich das von Hand bereinigen ?

Kann ich die Mails in maildrop alle löschen bzw. soll ich das tun

Ich glaube das hier trifft auf mich zu.
Wenn ich das versenden via Apache abschalten ?

http://www.rootforum.org/forum/viewtopic.php?t=40039

Hat der Angreifer was bei mir installiert oder nun er nur eine Schwachstelle aus ?


danke und Gruß
bobo

[bobo]

Also ich habe das böse script gefunden..
Die Datei ist bei mir in einem uploadOrdner gewesen.
Mir ist ein Raetsel wie die Datei da rein kommt.
Damit habe ich die Datei gefunden:

find . -name *php -exec grep -rl "mail" {} ;

imgk.php

<?php
$Title = "K. Script v0.6 (Editing): ";
$GraphicHeader = '<meta http-equiv="Content-Type"

Kennt das jemand ?
Ich hab auch den Uploader, laut whois wohnt der in einem Hotel in Pakistan, aber das kann ich wahrscheinlich vergessen.


Ich habe einige Ordner die auf 777 gesetzt sind, dort hat derjenige die Datei reingeladen und gestartet.
Was kann ich tun, das man in diese Ordner keine php Dateien laden kann, oder das die Dateien dann nicht ausführbar sind ?



Gruß
bobo

[lord_pinhead]

Würde ich ganz einfach sagen da hat jemand Dateien hochgeladen und ausgeführt. Dein Problem liegt also an einem anderen Script, such nach wget bzw. curl anfragen.

[timeless2]

chmod 777 solltest du tunlichst vermeiden und deine Rechte ordentlich setzen.

[bobo]

Wenn ich im Forum den Avatarordner nicht auf 777 setze dann bekomme ich kein Avatar angezeigt ? :?

Ich habe auch einige Statistiktools wo Dateienrein geladen werden wenn der Ordner nitcht auf 777 steht geht da nix, was mach ich dann.
Gibts ne Möglichkeit mit htaccess das ganze zu schützen ?

[timeless2]

Wenn ich im Forum den Avatarordner nicht auf 777 setze dann bekomme ich kein Avatar angezeigt ? :?

Zum Anzeigen kannst du den Ordner auf 755 stellen und die Dateien auf 644.

Ich habe auch einige Statistiktools wo Dateienrein geladen werden wenn der Ordner nitcht auf 777 steht geht da nix, was mach ich dann.
Gibts ne Möglichkeit mit htaccess das ganze zu schützen ?

Der Benutzer, der in die Ordner schreibt, braucht Schreibrechte (entweder selbst als Besitzer oder über die Gruppenrechte). htaccess bringt nur für die Apachezugriffe was (da auch nicht, wenn man irgendetwas über ein Skript einbindet).