Server gehackt? Was tuhen!

[ratman2000]

Hallo,

und zwar habe ich heute bei meinem 1&1 Root Server festgestellt, das jemand evtl in meinem Server war...

Auf jeden fall, wurde mir mitgeteilt, das ich nun auf einer Spam Server Blacklist stehen würde mit dem server und wenn ich mir in
/var/log
die Messages ansehe finde ich folgendes:

Code: Select all

Jul  6 04:47:11 p15160191 sshd[30739]: Failed password for root from ::ffff:200.123.163.201 port 3289 ssh2
Jul  6 04:47:14 p15160191 sshd[30741]: reverse mapping checking getaddrinfo for customer123-163-201.iplannetworks.net failed - POSSIBLE BREAKIN ATTEMPT!
Jul  6 04:47:14 p15160191 sshd[30741]: Failed password for root from ::ffff:200.123.163.201 port 3374 ssh2
Jul  6 04:47:16 p15160191 sshd[30743]: reverse mapping checking getaddrinfo for customer123-163-201.iplannetworks.net failed - POSSIBLE BREAKIN ATTEMPT!
Jul  6 04:47:16 p15160191 sshd[30743]: Failed password for root from ::ffff:200.123.163.201 port 3452 ssh2
Jul  6 04:47:19 p15160191 sshd[30745]: reverse mapping checking getaddrinfo for customer123-163-201.iplannetworks.net failed - POSSIBLE BREAKIN ATTEMPT!

Könnt ihr mir sagen / helfen, was ich zu tuhen habe um meinen Server gegen soetwas abzusichern?

Vielen Dank für eure Hilfe!!!

MFG

Ratman2000

[wgot]

Hallo,

wenn der Server tatsächlich gehackt wurde:
http://www.rootforum.org/forum/viewtopic.php?t=7801

Spamversand ist allerdings auch ohne Einbruch möglich, für die Analyse sind die Mail-Logs erforderlich.

Die geposteten Logzeilen sagen nur aus, daß jemand vergeblich versucht hat sich als Root einzuloggen (Passwörter durchprobiert).

Auf jeden Fall solltest Du den Mailserver bis zur Klärung herunterfahren, bei Verdacht auf Hackereinbruch den ganzen Server.

Gruß, Wolfgang

[adjustman]

Auf jeden fall, wurde mir mitgeteilt, das ich nun auf einer Spam Server Blacklist stehen würde

auf welcher denn? Auf Sorbs? Vergiss es, ist völlig egal. Diese Liste ist nicht grad seriös.

Code: Select all

Jul  6 04:47:11 p15160191 sshd[30739]: Failed password for root from ::ffff:200.123.163.201 port 3289 ssh2
Jul  6 04:47:14 p15160191 sshd[30741]: reverse mapping checking getaddrinfo for customer123-163-201.iplannetworks.net failed - POSSIBLE BREAKIN ATTEMPT!

Das sagt erstmal gar nix. Versuche, als root einzudringen, sind normal.

[thorsten]

Lass deinen sshd auf einem anderen Port lauschen und solche automatisierten 'Einbruchsversuche' hören auf.
Darüberhinaus solltest du eh keinen root-login bzw. login über pam erlauben.

[timeless2]

Hast du schon rkhunter oder chrootkit laufen lassen? Gibt es sonst irgendwelche Auffälligkeiten (hoher Traffic)?

Mit den Spam-Mails brauchst du im Prinzip nur mal deine Mail-Logs durchgehen und dort siehst du ja, ob über den Mailserver etwas verschickt wurde.

[semaphore]

Auf jeden fall, wurde mir mitgeteilt, das ich nun auf einer Spam Server Blacklist stehen würde

Er ist nur bei http://tqmcube.com/cgi-bin/rbltqm?ip=217.160.110.21 gelistet, wegen des Standard-Reverse-Eintrags von 1&1

Auf allen anderen Listen ist die IP nicht zu finden: http://www.dnsstuff.com/tools/ip4r.ch?ip=217.160.110.21

Gruß,

Sem

[adjustman]

Er ist nur bei http://tqmcube.com/cgi-bin/rbltqm?ip=217.160.110.21 gelistet

tja, kann man nicht ändern

[semaphore]

Er ist nur bei http://tqmcube.com/cgi-bin/rbltqm?ip=217.160.110.21 gelistet

tja, kann man nicht ändern

Sicher? Ich bin zwar nicht mehr bei 1&1, aber früher konnte man den Reverse-Eintrag zu jeder seiner IP´s ändern.
Würde mich wundern, wenn das nichtmehr gehen würde.

Sehe das aber eher unkritisch, das die o.g. Blacklist wohl nicht sehr bekannt ist.

Gruß,

Sem

[Roger Wilco]

tja, kann man nicht ändern

Doch, indem man den PTR RR entsprechend ändert...

[adjustman]

tja, kann man nicht ändern

Doch, indem man den PTR RR entsprechend ändert...

ja :-D natürlich. Ob das 1&1 macht?

Sehe das aber eher unkritisch, das die o.g. Blacklist wohl nicht sehr bekannt ist

genau

[Roger Wilco]

ja :-D natürlich. Ob das 1&1 macht?

Das macht der geneigte Benutzer selbst über sein Konfigurationsmenü.

[adjustman]

Das macht der geneigte Benutzer selbst über sein Konfigurationsmenü.

is ja toll

[ratman2000]

Hallo,

vielen Dank für all eure Antworten!

Wo finde ich den die Mail logs bzw. wie kann ich da herausfinden ob jemand Spam Mails versendet hat? Und wenn, wie kann ich das verhindern?

Vielen Dank!


MFG

Michael

[wgot]

Hallo,

/var/log/mail.* oder /var/log/mail/mail.*

Das Format hängt vom MTA ab (Postfix).

Absender und Empfänger der versendeten Mails ansehen, Spam erkennt man häufig schon an Adressen-Unfug wie f76fj448@_domain_.de.

Absender sind entweder wirre oder fremde Adressen oder der Webserver (www/wwwun/www-run). Such mal ein paar passende Zeilen raus die nicht reject sind und zeig sie im Forum.

:!: Und schalt endlich den Mailserver ab bis das Problem behoben ist. :!:

Welche PHP-Anwendungen sind installiert (*BB *nuke *gallery usw)?

Gruß, Wolfgang

[ratman2000]

Hallo,

hier mal ein Auszug aus der /var/log/mail:
(Die Domain so wie den Servernamen habe ich sicherheitshalber mal unkentlich gemacht!)

Code: Select all

Jul 10 04:20:19 SERVERNAME postfix/smtpd[25632]: NOQUEUE: reject: RCPT from unknown[67.36.224.189]: 554 <guest@DOMAIN.org>: Relay access denied; from=<guest@DOMAIN.org> to=<guest@DOMAIN.org> proto=SMTP helo=<67-36-224-189.shelton.com>
Jul 10 04:20:21 SERVERNAME postfix/smtpd[25632]: disconnect from unknown[67.36.224.189]
Jul 10 04:21:39 SERVERNAME postfix/smtpd[25632]: connect from moutng.kundenserver.de[212.227.126.188]
Jul 10 04:21:39 SERVERNAME postfix/smtpd[25632]: NOQUEUE: reject: RCPT from moutng.kundenserver.de[212.227.126.188]: 554 <postmaster@DOMAIN.com>: Relay access denied; from=<postmaster@DOMAIN.com> to=<postmaster@DOMAIN.com> proto=ESMTP helo=<moutng.kundenserver.de>
Jul 10 04:21:41 SERVERNAME postfix/smtpd[25632]: disconnect from moutng.kundenserver.de[212.227.126.188]
Jul 10 04:22:00 SERVERNAME postfix/pickup[25224]: E20F180DA1C: uid=0 from=<root>
Jul 10 04:22:00 SERVERNAME postfix/cleanup[25644]: E20F180DA1C: message-id=<20060710022200.E20F180DA1C@SERVERNAME.pureserver.info>
Jul 10 04:22:00 SERVERNAME postfix/qmgr[1489]: E20F180DA1C: from=<root@SERVERNAME.pureserver.info>, size=545, nrcpt=1 (queue active)
Jul 10 04:22:00 SERVERNAME spamd[1363]: connection from localhost.localdomain [127.0.0.1] at port 55189
Jul 10 04:22:01 SERVERNAME spamd[25649]: processing message <20060710022200.E20F180DA1C@SERVERNAME.pureserver.info> for web0p1:104.
Jul 10 04:22:01 SERVERNAME spamd[25649]: clean message (-4.6/5.0) for web0p1:104 in 1.0 seconds, 706 bytes.
Jul 10 04:22:02 SERVERNAME postfix/local[25645]: E20F180DA1C: to=<web0p1@SERVERNAME.pureserver.info>, orig_to=<root>, relay=local, delay=2, status=sent (delivered to command: /usr/bin/procmail)
Jul 10 04:22:02 SERVERNAME postfix/qmgr[1489]: E20F180DA1C: removed
Jul 10 04:22:41 SERVERNAME postfix/smtpd[25632]: connect from mout-bounce.kundenserver.de[212.227.15.22]
Jul 10 04:22:41 SERVERNAME postfix/smtpd[25632]: NOQUEUE: reject: RCPT from mout-bounce.kundenserver.de[212.227.15.22]: 554 <postmaster@DOMAIN.com>: Relay access denied; from=<> to=<postmaster@DOMAIN.com> proto=ESMTP helo=<mout-bounce.kundenserver.de>
Jul 10 04:22:43 SERVERNAME postfix/smtpd[25632]: disconnect from mout-bounce.kundenserver.de[212.227.15.22]
Jul 10 04:24:00 SERVERNAME postfix/pickup[25224]: E4E3180DA1C: uid=0 from=<root>
Jul 10 04:24:00 SERVERNAME postfix/cleanup[25664]: E4E3180DA1C: message-id=<20060710022400.E4E3180DA1C@SERVERNAME.pureserver.info>
Jul 10 04:24:00 SERVERNAME postfix/qmgr[1489]: E4E3180DA1C: from=<root@SERVERNAME.pureserver.info>, size=545, nrcpt=1 (queue active)
Jul 10 04:24:00 SERVERNAME spamd[1363]: connection from localhost.localdomain [127.0.0.1] at port 55191
Jul 10 04:24:01 SERVERNAME spamd[25670]: processing message <20060710022400.E4E3180DA1C@SERVERNAME.pureserver.info> for web0p1:104.
Jul 10 04:24:02 SERVERNAME spamd[25670]: clean message (-4.6/5.0) for web0p1:104 in 1.5 seconds, 706 bytes.
Jul 10 04:24:02 SERVERNAME postfix/local[25666]: E4E3180DA1C: to=<web0p1@SERVERNAME.pureserver.info>, orig_to=<root>, relay=local, delay=2, status=sent (delivered to command: /usr/bin/procmail)
Jul 10 04:24:02 SERVERNAME postfix/qmgr[1489]: E4E3180DA1C: removed
Jul 10 04:26:00 SERVERNAME postfix/pickup[25224]: E563D80DA1C: uid=0 from=<root>
Jul 10 04:26:00 SERVERNAME postfix/cleanup[25681]: E563D80DA1C: message-id=<20060710022600.E563D80DA1C@SERVERNAME.pureserver.info>

Ich hoffe ihr könnt mir helfen!

Abschalten kann ich den Mailserver auf keinen Fall da auf dem Server auch geschäfts mails (ca 2000 Stück täglich) laufen!

Ich hoffe ihr helft mir trotzdem!

MFG

Michael

[adjustman]

Abschalten kann ich den Mailserver auf keinen Fall

so wie es aussieht, brauchst du das auch nicht. Sieht ok aus.

[ratman2000]

Hallo,

wenn alles ok ist,
wieso bin ich dann in den Spam listen? :/
Mir wurde von jemanden mein System stark bemängelt und angäblich wäre mein Server in ca 23 Spam Listen eingetragen :/

Kann man das selbst herrausfinden ob man in den Spam listen steht?

Vielen Dank für eure Hilfen!!!

MFG

Michael

[adjustman]

wieso bin ich dann in den Spam listen?

woher willst du das denn wissen? Oder der "Bemängler"?
Siehe auch hier:

Er ist nur bei http://tqmcube.com/cgi-bin/rbltqm?ip=217.160.110.21 gelistet, wegen des Standard-Reverse-Eintrags von 1&1
Auf allen anderen Listen ist die IP nicht zu finden: http://www.dnsstuff.com/tools/ip4r.ch?ip=217.160.110.21

Lies einfach den Thread nochmal von Anfang an. UND
du solltest dir nen Admin anschaffen. Is nicht bös gemeint, aber
du bist evtl. etwas überfordert.

[ratman2000]

Hallo,

überfordert nicht... Nur sehr geschockt...

Ich hatte den Server nach bestem Wissen eingerichtet...
Und dann kommt jemand und sagt mir, der Server wäre angeblich ein offener Relay Server obwohl ich das genau blockiere... (Also ist er definitif nicht)

Naja und da ich mich noch nie mit den Blacklists für Spam Server beschäftigt habe wuste ich nun damit nichts anzufangen...

Das letzte mal wo ich aktiv was damit zutuhen hatte war in der Berufsschule bei meiner Ausbildung zum Fachinformatiker...

Naja und seit dem war nichts mehr mit Linux :)
Einrichten ging noch aber dann war schluss *g*

Der, der meinte das der Server so unsicher sei, wollte mir auch promt nen Update Vertrag verkaufen^^ Also gehe ich mal von Blödsinn aus!

Was denkt ihr, soll ich den Server einfach so laufen lassen, oder sollte ich mir Sorgen machen?

Vielen Dank für eure Hilfe!

MFG

Michael

[adjustman]

und sagt mir, der Server wäre angeblich ein offener Relay Server

nein
http://www.abuse.net/relay.html

[rootsvr]

Also setz dir nen Reverse DNS Eintrag, dann klappt auch der Versand zu Yahoo/AOL ohne das man im Spam landet und lern ein bischen deutsch.. auch nach neuer Rechtschreibung tut "tuhen" oder "definitf" definitiv nicht richtig aussehen.

Ansonsten würde ich den Server laufen lassen auch wenn Du vielleicht ein bischen an besten Wissen und Gewissen arbeiten solltest, dann weißt Du vielleicht irgendwann welche Einträge in Logfiles relevant sind oder nicht..