Server kompromitiert - Suse 10.1 OSS & Plesk 8 - Ein paar Fragen

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

Server kompromitiert - Suse 10.1 OSS & Plesk 8 - Ein paar Fragen

Post by Anonymous » 2007-03-01 08:33

Hallo Root-Forum,


ich habe seit Oktober einen Root-Server bei Strato, bisher lief auch alles ganz gut, nun habe ich Heute von Strato eine Mail bekommen dass mein Server als Spam-Relay genutzt wird und ich mich schleunigst drum kümmern soll. Ist klar, bin ich auch schon dran. Laut chkrootkit und rootkithunter ist zumindest kein Rootkit zu finden, die Plesk-Sicherheitsupdates sind auch alle installiert.

Jetzt habe ich mal geschaut was für User es so auf meinem Server gibt. Da ist mir ein etwas ins Auge gestochen, es gibt 7 Qmail-User (qmaild, alias, qmaill, qmailp, qmailq, qmailr, qmails)

Ist das so richtig oder hat da jemand User Angelegt um den Server als SpamReleay zu nutzen?

Die User sind entsprechend auch in der Qmail-Gruppe zu finden.


Vielen dank für eure Antworten.

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Server kompromitiert - Suse 10.1 OSS & Plesk 8 - Ein paar Fragen

Post by flo » 2007-03-01 08:43

Ich glaube, Du suchst falsch und der Mist wird nicht über den Mailer ins System gebracht, sondern über Apache/PHP - einer der Klassiker.

Melde Dich doch mal per Telnet auf Port 25 an Deinem Rechner an und versuche, eine Mail extern --> extern zu verschicken - wenn er das zuläßt, ist es der Mailer, ansonsten suche in den Applikationen.

Ausführlicher hilft evtl. noch http://wiki.hetzner.de/index.php/Mailserver_Relaytest

Speziell mit dem Befehl "telnet relay-test.mail-abuse.org" - vom Server aus gestartet - kriegst Du schon mal einen Überblick über die gängigen Lücken in SMTP und deren Ausnutzung.

flo.

Anonymous

Re: Server kompromitiert - Suse 10.1 OSS & Plesk 8 - Ein paar Fragen

Post by Anonymous » 2007-03-01 09:00

telnet relay-test.mail-abuse.org
sagt mir am SMTP-Server liegt es nicht.


Wie komme ich jetzt hinter das Problem? Apache-Logs checken? Wenn ja, wie kann man das bequem machen? ;)


Grüße

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Server kompromitiert - Suse 10.1 OSS & Plesk 8 - Ein paar Fragen

Post by timeless2 » 2007-03-01 10:24

Du kannst in deinen Logdateien schauen, wann die vielen E-Mails eingeliefert wurden und dann mit den Apache-Logs gegenchecken, welche Skripte zu dieser Zeit aufgerufen wurden. Kontaktformulare sind beliebte Opfer.