Hi Leuts,
hab ein Problem. Mein Server wurde gehackt. Jedesmal wenn ich den qmail starte sendet das Programm automatisch fishing-mails.
Wie kann ich es unterbinden?
Muss noch dazu sagen dass ein ziemliche Rookie in solche Sachen bin :oops:
Irgendwelche Ideen?
Hilfe mein Server ist ein Zombie
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Hilfe mein Server ist ein Zombie
1. MTA abschalten.
2. Mailqueue löschen.
3. Nutzdaten und Logdateien sichern.
3a. Einbruch analysieren
4. System neu installieren.
http://www.rootforum.org/faq/14_104_de.html
http://www.rootforum.org/faq/14_183_de.html
2. Mailqueue löschen.
3. Nutzdaten und Logdateien sichern.
3a. Einbruch analysieren
4. System neu installieren.
http://www.rootforum.org/faq/14_104_de.html
http://www.rootforum.org/faq/14_183_de.html
-
magic_ma
- Posts: 10
- Joined: 2006-10-14 17:04
Re: Hilfe mein Server ist ein Zombie
das ging ja fix.
ich meld mich wenn ich das alles gemacht habe.
thx
ich meld mich wenn ich das alles gemacht habe.
thx
-
magic_ma
- Posts: 10
- Joined: 2006-10-14 17:04
Re: Hilfe mein Server ist ein Zombie
klingt dumm aber wie lösche ich die Mailqueue?
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Hilfe mein Server ist ein Zombie
Code: Select all
# Verzeichnis anpassen!
cd /var/qmail/queue/
/usr/bin/find intd todo local remote mess info bounce -type f -print |xargs rm-
magic_ma
- Posts: 10
- Joined: 2006-10-14 17:04
Re: Hilfe mein Server ist ein Zombie
thx. habs gemacht und den server neu gestartet.
jetzt bekomme ich wenn ich die dienste anschaue habe ich haufen "[qmail-send <defunct>]".
hab auch schon hier in forum was gefunden http://www.rootforum.org/forum/viewtopic.php?t=12957
meine frage: heisst das jetzt dass der server weiterhin fishing-mails sendet oder heisst es dass der dienst seine eltern nicht findet?
jetzt bekomme ich wenn ich die dienste anschaue habe ich haufen "[qmail-send <defunct>]".
hab auch schon hier in forum was gefunden http://www.rootforum.org/forum/viewtopic.php?t=12957
meine frage: heisst das jetzt dass der server weiterhin fishing-mails sendet oder heisst es dass der dienst seine eltern nicht findet?
-
magic_ma
- Posts: 10
- Joined: 2006-10-14 17:04
Re: Hilfe mein Server ist ein Zombie
hab alle "[qmail-send <defunct>]" dienste gekillt.
jetzt kommt auch nichts neues, also scheint geklappt zu haben. naja weiterhin beobachten.
ach übrigens das sicherheitsleck wurde auch gefunden und beseitigt.
auf jeden fall vielen vielen dank Roger. hast mir echt geholfen.
jetzt kommt auch nichts neues, also scheint geklappt zu haben. naja weiterhin beobachten.
ach übrigens das sicherheitsleck wurde auch gefunden und beseitigt.
auf jeden fall vielen vielen dank Roger. hast mir echt geholfen.
-
adjustman
- Posts: 1132
- Joined: 2003-03-26 23:29
- Location: SA
Re: Hilfe mein Server ist ein Zombie
das da war?magic_ma wrote:das sicherheitsleck wurde auch gefunden und beseitigt.
-
zg0re
- Posts: 104
- Joined: 2003-06-04 15:33
Re: Hilfe mein Server ist ein Zombie
Und was ist, wenn der Angreifer noch ne Hintertür eingebaut hat z.B.? Das einzig richtige ist, den Server neu aufzusetzen, sonst kommst du schnell in Teufels Küche.
-
timeless2
- Posts: 415
- Joined: 2005-03-04 14:45
- Location: Paris
Re: Hilfe mein Server ist ein Zombie
Wenn es ein Kontaktformular war, bei dem die Übergabevariablen nur unzureichend geprüft wurden, hatte der Angreifer ja nicht direkt Zugriff.zg0re wrote:Und was ist, wenn der Angreifer noch ne Hintertür eingebaut hat z.B.? Das einzig richtige ist, den Server neu aufzusetzen, sonst kommst du schnell in Teufels Küche.