Sicherheitslecks/Codeinjection ausfindig machen

[chris_cross]

Liebe Gemeinschaft,

ich habe folgendes Problem:

Ich nutze einen Server mit Debian Sarge und Plesk 8.6.4 zu Entwicklungszwecken. Auf dem Server laufen diverse Installationen von Joomla, Typo3, Redaxo, osCommerce, Wordpress... Nun wurde mir vom Serveranbieter berichtet, dass vom Server aus Spam verbreitet wird.
Den Mailserver konnte ich als direkte Ursache schon auschließen. (kein offenes Relay)

Dies war die Benachrichtigung:

Code: Select all

Return-Path: <update@pay-pal.com>
Delivered-To: spam-cong-reptxturner@spam.iecc.com
Received: (qmail 3767 invoked by alias); 21 Sep 2009 11:35:31 -0000
Delivered-To: reptxturner@iecc.com
Received: (qmail 3763 invoked from network); 21 Sep 2009 11:35:31 -0000
Received: from <domain> (hostname [x.x.x.x])
by mail1.iecc.com ([208.31.42.56])
with ESMTP via TCP id 103030101; 21 Sep 2009 11:35:30 -0000
Received: (qmail 4908 invoked from network); 21 Sep 2009 06:58:44 +0200
Received: from 85.13.194.172.reverse.coreix.net (HELO User) (85.13.194.172)
by 85.25.190.229 with SMTP; 21 Sep 2009 06:58:44 +0200
Reply-To: <noreply@pay-pal.com>
From: \"PayPal.Com\"<update@pay-pal.com>
Subject: PayPal Security Information !
Date: Mon, 21 Sep 2009 07:58:37 +0300
MIME-Version: 1.0
Content-Type: text/plain;
charset=\"Windows-1251\"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-DCC-IECC-Metrics: gal.iecc.com 1107; bulk Body=many Fuz1=many Fuz2=many


<HTML>
<HEAD>
<META NAME=\"GENERATOR\" Content=\"Microsoft DHTML Editing Control\">
<TITLE></TITLE>
</HEAD>
<BODY>
<P><FONT face=\"Courier New\" size=\"2\">You have added 
<a href=\"http://220.128.241.235/www.paypal.com/details.php\">shenys.miller@hotmail.com</a> as a new e-mail address for<br> your
PayPal account. </font></p>
<P><font face=\"Courier New\" size=\"2\">If you did not authorize this change or if you need assistance<br> with 
your account, please <a href=\"http://220.128.241.235/www.paypal.com/details.php\">click here</a> to contact PayPal customer service.</p>
<P> </p>
<P>Thank you for using PayPal<br>
The PayPal Team</p>
<P><FONT face=\"Courier New\" size=\"2\">Please do not reply to this e-mail. Mail sent to this address cannot<br> be
answered. For assistance, log in to your PayPal account and choose<br> the
\"Help\" link in the header of any page.<br></p></FONT>

Sicherheitslecks/Codeinjection ausfindig machen

Hat jemand einen Tip, wo/wie ich nach dem Übeltäter fanden kann?

Liebe Grüße

Chris

[papabaer]

Debian Sarge und Plesk 8.6.4 zu Entwicklungszwecken.

Auf dem Server laufen diverse Installationen von Joomla, Typo3, Redaxo, osCommerce, Wordpress...

Wenn die genau so alt sind, wie das restliche System, dass natürlich genauso anfällig ist, wenn es seine Sicherheitslücken NUR für Entwicklungszwecke behält, dann würde ich das Problem in Joomla, Typo3, Redaxo, osCommerce oder Wordpress suchen. Der PHP-Kram hat eine durchschnittliche Halbwertszeit von 3 Tagen und ist damit seit mindestens 3-4Jahren überlagert.

Warum steht ein Entwicklungssystem im Netz?

[Joe User]

Abgesehen vom überfälligen vollständigen Systemupgrade:
Die Mail wurde laut Header per Network eingeliefert, also ge'relay'ed:

Code: Select all

Received: (qmail 4908 invoked from network); 21 Sep 2009 06:58:44 +0200
Received: from 85.13.194.172.reverse.coreix.net (HELO User) (85.13.194.172)
by 85.25.190.229 with SMTP; 21 Sep 2009 06:58:44 +0200

Sicher, dass kein Open-Relay besteht? Welche Systeme gehören zum Network?

[Roger Wilco]

Ich nehme an, dass 85.25.190.229 der betroffene Server ist und die E-Mail als Teil der Abusemeldung beim Provider einging.

[Joe User]

Dagegen sprechen HELO und Return-Path ;)