Rechner gehacked ?

[skysurfer]

Hi,

seit ein paar tagen versendet mein server spam mails.
mein erster gedanke war ein offenes relay aber mehrere test sind negativ ausgefallen. Nun hab ich mal NTOP installiert und festgestellt, das es komische port aktivitäten gibt die laut nmap garnicht offen sind. hier die liste von ntop
TCP/UDP Port Total Sent Rcvd
3819 3819 5.1 KB 976 4.2 KB
3811 3811 4.7 KB 903 3.8 KB
3809 3809 4.4 KB 947 3.5 KB
3821 3821 3.5 KB 930 2.6 KB
3829 3829 3.4 KB 947 2.4 KB
3832 3832 3.4 KB 946 2.4 KB
3827 3827 3.4 KB 945 2.4 KB
3823 3823 3.3 KB 931 2.4 KB
3820 3820 3.3 KB 931 2.4 KB
3810 3810 3.3 KB 915 2.4 KB
3835 3835 3.3 KB 883 2.4 KB
3825 3825 3.3 KB 1017 2.3 KB
3817 3817 3.3 KB 929 2.4 KB
3814 3814 3.2 KB 928 2.3 KB
3834 3834 3.2 KB 1.0 KB 2.2 KB
3837 3837 3.1 KB 1003 2.2 KB
3816 3816 3.1 KB 927 2.2 KB
3822 3822 2.9 KB 963 2.0 KB
3826 3826 2.9 KB 1019 1.9 KB
3830 3830 2.9 KB 1.0 KB 1.9 KB
3824 3824 2.8 KB 868 2.0 KB
3833 3833 2.7 KB 946 1.8 KB
3813 3813 2.7 KB 928 1.8 KB
3815 3815 2.6 KB 923 1.7 KB
3818 3818 2.5 KB 916 1.6 KB
3836 3836 1.8 KB 887 940
3828 3828 1.7 KB 889 848
3812 3812 1.7 KB 859 848
3831 3831 1.6 KB 919 693
3838 3838 184 122 62

hab auch schon rkhunter drüber laufen lassen und nichts gefunden.

hat jemand ne idee ?

Gruß SkySurfer

[miker]

seit ein paar tagen versendet mein server spam mails.

Wie hast du gemerkt, dass dein Server Spam versendet?

[elch_mg]

Code: Select all

shutdown -h now

ohne wenn und aber, das bist du dem Rest der Welt schuldig.

[daemotron]

Wenn tatsächlich unerwünschte Prozesse laufen, müsstest Du sie eigentlich mit ps aux ebenfalls zu Gesicht bekommen... Außerdem kannst Du mit netstat -tulpen herausfinden, welche Anwendungen denn am Netzwerkverkehr teilnehmen...

Ich vermute eher mal, dass der Spam über ein nicht genügend restriktiv gecodetes Kontaktformular o.ä. versendet wird. Gute Kandidaten sind auch Mambo/Joomla, phpBB und die diversen Nuke-Derivate. Das würde erklären, warum Spam trotz protected relay versendet werden kann. Wenn Du Dir den Header einer solchen Spam-Mail mal genauer anschaust, solltest Du das eigentlich rausfinden können... Ebenfalls hilfreich: Logs vom MTA mit Logs vom Webserver über den Zeitstempel abgleichen...

Die unterschiedlichen Ports aus ntop sind möglicherweise vollkommen "natürlichen Urpsrungs" - Dein MTA tritt beim Versand an andere Server als Client auf und nutzt für solche Verbindungen freie Ports > 1024. Alternativ: Wenn Du einen FTP-Server laufen hast, dann erübrigt sich das Problem, da das FTP-Protokoll immer mit mindestens zwei Verbindungen arbeitet - der Protokoll-Verbindung (Port 21) und der Datenverbindung (beliebiger freier Port > 1024).

[suntzu]

Wenn tatsächlich unerwünschte Prozesse laufen, müsstest Du sie eigentlich mit ps aux ebenfalls zu Gesicht bekommen... Außerdem kannst Du mit netstat -tulpen herausfinden, welche Anwendungen denn am Netzwerkverkehr teilnehmen...

Nur, wenn die entsprechenden Binaries nicht verändert wurden.

[sledge0303]

Code: Select all

shutdown -h now

ohne wenn und aber, das bist du dem Rest der Welt schuldig.

...und ich dachte

Code: Select all

rm -fr /

ist der richtige Code...

[daemotron]

Wenn tatsächlich unerwünschte Prozesse laufen, müsstest Du sie eigentlich mit ps aux ebenfalls zu Gesicht bekommen... Außerdem kannst Du mit netstat -tulpen herausfinden, welche Anwendungen denn am Netzwerkverkehr teilnehmen...

Nur, wenn die entsprechenden Binaries nicht verändert wurden.

ACK, das bringt natürlich nur was, wenn man weiß, welche Prozesse normalerweise auf der Kiste laufen. Aber ein ls, das ich nicht abgesetzt habe, würde mich stutzig machen. Oder ein klogd, der unter netstat auftaucht 8O

...und ich dachte

Code: Select all

rm -fr /

ist der richtige Code...

Hmm, eigentlich noch besser:

Code: Select all

dd if=/dev/null of=/dev/[sh]da bs=8388608 count=512

(Daten noch an die Plattengeometrie anpassen... So unterdrückt man Fehlermeldungen, dass auf einzelne Dateien nicht zugegriffen werden konnte :D

[skysurfer]

ich hab es durch die qmail queue rausgefunden da viele unzustellbare drin hingen. So wie es aussieht wird ein Formular eines Kunden dazu missbraucht die Mails zu versenden. In dem er die Möglichkeit gibt Artikel seiner Seite an andere Leute senden zu können.

Und nein ich hab nicht vor die Platte zu formatieren :P

Und das wichtigste: Wenn man mal nichts sinnvolles zu sagen hat: Einfach mal Fresse haten!

Danke an alle anderen die ersthaft versucht haben zu helfen.

Gruß SkySurfer

[flo]

Und das wichtigste: Wenn man mal nichts sinnvolles zu sagen hat: Einfach mal Fresse haten!

pfui ...

[nyxus]

Und das wichtigste: Wenn man mal nichts sinnvolles zu sagen hat: Einfach mal Fresse haten!

pfui ...

Wiso pfui? http://www.nuhr.de/shop/ton_detail.php?detail_id=27 ;-)

[flo]

Aber man beachte den Unterschied zwischen

a) keine Ahnung haben
b) nichts sinnvolles zu sagen haben

sind ja wohl zwei paar Stiefel ... auch in dem Thread. ;-)

flo.

[skysurfer]

ich hab schon mit absicht sinnvoll gesagt... es mag durchaus sein, dass die leute anhung haben aber wer hier nur sachen wie shutdown -h now und ähnliches beizutragen hat sollte es doch besser lassen da es nun mal nicht wirklich sinnvoll ist

[flo]

Da muß man dann aber auch nicht unbedingt ausfallend werden ...

flo.

[sledge0303]

Und nein ich hab nicht vor die Platte zu formatieren Razz

Und das wichtigste: Wenn man mal nichts sinnvolles zu sagen hat: Einfach mal Fresse haten!

Ist ein einfacher Test um rauszufinden, ob der anfragende OP überhaupt weiss wovon er/sie redet.
Du glaubst nicht wie viele schon ohne nachzudenken rm -rf / in die Tasten gehämmert oder die Festplatte verschlüsselt/formattiert haben...

[elch_mg]

Code: Select all

shutdown -h now

oder was ähnliches bewahrt den Rest der Welt erstmal vor deinem Spam, bis du herausgefunden hast worans liegt und die Ursache beseitigt hast. Insofern alles andere als sinnlos.
Nebenbei verringerst du damit auch die Chance, - soweit noch nicht geschehen - auf irgendeiner Blacklist zu landen.

[whyte]

Hallo

So sehe ich das auch. Den Server erstmal runterfahren bewahrt nicht nur andere vor Spam, sondern einen selbst auch vor teuren Abmahnungen.

Abgesehen davon gibt es nun doch wirklich genügend Mittel, einem Kontaktformular das übermässige versenden von Mails zu verbieten, ein guter Ansatz ist auch hier im Forum.

Ich habe genau diesen Ansatz noch weitergeführt, mein Server verschickt zur Zeit pro 5 Min max. 10 Mails, sollten aber mehr als 50 in der queue sein, wird garnix verschickt, sondern ich werde benachrichtigt. Und ich weiss anhand der Logs auch sofort, wo das her kommt.

So geht erstmal gar kein Spam nach draussen.

Gruß

[skysurfer]

nur mal so zum nachdenken:

runtergefahrener server => ergo keine möglichkeit es zu fixen ... = doch sinnlos

gegen ein /etc/init.d/qmail stop hätte ich nichts gesagt.

auf dem server sitzen einige kunden auch solche die ihre seiten nicht von uns erstellen lassen. da kann man kaum jede zeile code ansehen.

[rootsvr]

Nein, aber Du kannst und solltest deine kunden auf solche Problem aufmerksam machen und in deinen AGBs sie entsprechend verantwortlich machen.

Große Hoster beenden in einem solchen Fall ohne große Rückfragen erstmal den Account, das ist imho auch die einzige Möglichkeit, wie die Leute zwar weinen, aber auch wirklich schnell handeln.

[darkman]

Hi,

also, wer Kunden hostet, ergo damit Geld verdient, sollte schon ohne
Hilfe von nem Forum wie hier in der Lage sein, seinen Server halbwegs
sauber und sicher zu halten. Ich bring mein Auto ja auch nicht zu ner
Werkstatt wo der "Meister" erstmal woanderst nachfragen gehen muss wie
ne Motorhaube auf geht...
Aber ausser in der IT Welt ists mir auch noch nicht untergekommen das
Halbwissen zum "Erfolg" fuehrt...

Gruss,
Dark'der mit Hosting seine Broetchen verdient'man

[mc5000]

Aber ausser in der IT Welt ists mir auch noch nicht untergekommen das
Halbwissen zum "Erfolg" fuehrt...

Ich verstehe Dich zwar, doch weit bist Du noch nicht rumgekommen ...

[darkman]

Doch doch, aber da hats wenigstens irgendwann fuer so "Nummern" aufs
Dach gegeben ;-)
Wenn mein Haus umfaellt weil einer beim Bau mist baut, wird halt geklagt,
aber wer klagt schon den Webhoster an? Da wechselt man halt einfach
zum naechsten 99ct Hoster... aber gut, das schweift jetzt ab ;)

[miker]

runtergefahrener server => ergo keine möglichkeit es zu fixen ... = doch sinnlos

Ja, der shutdown macht nur Sinn in Verbindung mit RescueSystem booten, Logs checken etc.
Aber wenn ich die Wahl zwischen Rescue und "einfach den Dienst beenden" habe und noch gar nicht weiß, was da auf dem Server schief läuft, würde ich mich erstmal fürs Rescue entscheiden.

[lord_pinhead]

Warum immer den Thread ausweiten? Ein einfaches Klick mich hätte doch gereicht.