Server kompromitiert - Suse 10.1 OSS & Plesk 8 - Ein paar Fragen

[Anonymous]

Hallo Root-Forum,


ich habe seit Oktober einen Root-Server bei Strato, bisher lief auch alles ganz gut, nun habe ich Heute von Strato eine Mail bekommen dass mein Server als Spam-Relay genutzt wird und ich mich schleunigst drum kümmern soll. Ist klar, bin ich auch schon dran. Laut chkrootkit und rootkithunter ist zumindest kein Rootkit zu finden, die Plesk-Sicherheitsupdates sind auch alle installiert.

Jetzt habe ich mal geschaut was für User es so auf meinem Server gibt. Da ist mir ein etwas ins Auge gestochen, es gibt 7 Qmail-User (qmaild, alias, qmaill, qmailp, qmailq, qmailr, qmails)

Ist das so richtig oder hat da jemand User Angelegt um den Server als SpamReleay zu nutzen?

Die User sind entsprechend auch in der Qmail-Gruppe zu finden.


Vielen dank für eure Antworten.

[flo]

Ich glaube, Du suchst falsch und der Mist wird nicht über den Mailer ins System gebracht, sondern über Apache/PHP - einer der Klassiker.

Melde Dich doch mal per Telnet auf Port 25 an Deinem Rechner an und versuche, eine Mail extern --> extern zu verschicken - wenn er das zuläßt, ist es der Mailer, ansonsten suche in den Applikationen.

Ausführlicher hilft evtl. noch http://wiki.hetzner.de/index.php/Mailserver_Relaytest

Speziell mit dem Befehl "telnet relay-test.mail-abuse.org" - vom Server aus gestartet - kriegst Du schon mal einen Überblick über die gängigen Lücken in SMTP und deren Ausnutzung.

flo.

[Anonymous]

telnet relay-test.mail-abuse.org

sagt mir am SMTP-Server liegt es nicht.


Wie komme ich jetzt hinter das Problem? Apache-Logs checken? Wenn ja, wie kann man das bequem machen? ;)


Grüße

[timeless2]

Du kannst in deinen Logdateien schauen, wann die vielen E-Mails eingeliefert wurden und dann mit den Apache-Logs gegenchecken, welche Skripte zu dieser Zeit aufgerufen wurden. Kontaktformulare sind beliebte Opfer.