SPAM-Mails von meinem Server

Rund um die Sicherheit des Systems und die Applikationen
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

SPAM-Mails von meinem Server

Post by jojo8897 »

Hallo, von meinem Server werden SPAM-Mails versendet und ich finde die Lücke nicht :(
Hi. This is the qmail-send program at xxxx
I tried to deliver a bounce message to this address, but the bounce bounced!

<fontenot@sniderleasing.com>:
69.62.220.218 does not like recipient.
Remote host said: 550 5.7.5 BATV failed to verify Giving up on 69.62.220.218.

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 6427 invoked for bounce); 7 Jun 2011 08:13:49 +0200
Date: 7 Jun 2011 08:13:49 +0200
From: MAILER-DAEMON@xxxxx
To: fontenot@sniderleasing.com
Subject: failure notice

Hi. This is the qmail-send program at xxxx
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<yann.ortodoro@fra.fr>:
Sorry. Although I'm listed as a best-preference MX or A for that host, it isn't in my control/locals file, so I don't treat it as local. (#5.4.6)

--- Below this line is a copy of the message.

Return-Path: <fontenot@sniderleasing.com>
Received: (qmail 6424 invoked from network); 7 Jun 2011 08:13:49 +0200
Received: from localhost (HELO xxx.onlinehome-server.info) (127.0.0.1)
by localhost with SMTP; 7 Jun 2011 08:13:49 +0200
Date: Tue, 7 Jun 2011 08:13:49 +0200 (CEST)
From: YouTube Support <Support@YouTube.com>
To: yann.ortodoro@fra.fr
Message-Id: <20110607081349.F99CC2928@fra.fr>
Subject: Hi, you have notification pending
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<html lang=3D"en">

<head>
<title>You have personal message from YouTube</title>
</head>

<body style=3D"background-color: #FFF; margin: 20px; padding: 0px;">
<table width=3D"100%" cellspacing=3D"0" cellpadding=3D"0" border=3D"0= ">

<tr valign=3D"center">
<td align=3D"left" width=3D"180">
<a href=3D"http://www.dotcom-lb.com/serializations.html">
<img border=3D"0" alt=3D"YouTube" width=3D"175" height=3D"33"= src=3D"http://s.ytimg.com/yt/img/email_logo_no_tagline.png">
</a>
</td>
<td align=3D"right">
<a href=3D"http://www.dotcom-lb.com/serializations.html">help c= enter</a>
| <a href=3D"http://www.dotcom-lb.com/serializations.html">e-ma=
il options</a>
| <a href=3D"http://www.dotcom-lb.com/serializations.html">re=
port spam</a>
</td>
</tr>

<tr>
<td colspan=3D"2" style=3D"padding: 10px 0px 0px 0px;">

<p>

<div style=3D"background-color: #FFF; border: 0px; padding: 0px; margin=
: 15px 0px 0px 15px;">

<div style=3D"font-weight: bold; margin-bottom: 10px;" dir=3D"ltr">=

YouTube Support sent you a message:
</div>

<div style=3D"margin-bottom: 15px;" dir=3D"ltr">
<a href=3D"http://www.dotcom-lb.com/serializations.html">http://w=
ww.youtube.com/message?feature=3Dpm&message_id=3D4f35108</a>
</div>


</div>

<br/>

<p style=3D"margin: 0; padding: 0;"> Find out more about personalizing your YouTube experience, uploading vide= os and sharing videos with friends. Or you can watch a <a href=3D"http://= www.dotcom-lb.com/serializations.html">two-minute introduction</a>.
</p>
</td>
</tr>

<tr>
<td colspan=3D"2" align=3D"center" style=3D"padding-top: 50px; co=
lor: #ccc;">
&copy; 2011 YouTube, LLC<br>
901 Cherry Ave, San Bruno, CA 94066
</td>
</tr>

</table>
</body>
</html>
Ich habe den Mailserver jetzt erstmal angehalten, aber sobald ich ihn starte geht es weiter :(
Wie kann ich das erstmal abstellen?

Danke

P.S. Ich betreibe den Server nur für meine Firma (es wird also kein Kunde in mitleidenschaft gezogen), nur da läuft auch ein Kartenvorverkauf drüber der Mails versenden muss :(
Top
User avatar
rudelgurke
Posts: 409
Joined: 2008-03-12 05:36
 

Re: SPAM-Mails von meinem Server

Post by rudelgurke »

Irgendein PHP Script oder ähnliches aktiv dass missbraucht wird ? Und von außen nach einem Open Relay getestet ?
Last edited by rudelgurke on 2011-06-07 11:26, edited 1 time in total.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

Open Relay habe ich getestet ist negativ, ich habe auch die Uhrzeit wo der Spam angefangen hat und bin dabei die access.logs zu durchsuchen finde aber nix.
Derzeit wird auch nix mehr gesendet scheint fertig zu sein, aber wer weiß wann das wieder los geht :(
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Ohne die origalen und unverfälschten Mailheader des (angeblichen) Spams, kann man ohnehin nur blind im Nebel stochern...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

Ich habe lediglich meinen Servernamen, bzw. meine ip-adresse geixxt ?
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Argh, hatte den Header irgendwie übersehen, sorry.

"invoked from network", also hast Du entweder ein Open-Relay (zu grosszügige Netzmaske am NIC vergeben, oder eine zu grosse CIDR in der qmüll-Config eingetragen), oder auf Deiner Kiste läuft ein offen zugänglicher Mailclient.

Was sagen denn die Logfiles dazu?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

Relay test result
All tests performed, no relays accepted.

in den Logs findet man folgendes:

mail.warn
Jun 6 22:52:51 sxxxxxx /var/qmail/bin/relaylock[4493]: /var/qmail/bin/relaylock: mail from 127.0.0.3:56279 (not defined)

wobei davon halt hunderte und dieletzte zahl vom ipblock ändert sich

mail.info
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22723]: Handlers Filter before-remote for qmail started ...
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22723]: from=superior_bs@pacificwoodproducts.com
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22723]: to=bali@evafan.com
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.211444 delivery 36519: success: 127.0.1.50_accepted_message./Remote_host_said:_250_ok_1307424074_qp_22721/
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.211482 status: local 0/10 remote 12/20
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.211501 end msg 51419212
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22728]: Handlers Filter before-queue for qmail started ...
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22728]: from=superior_bs@pacificwoodproducts.com
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22728]: to=bali@evafan.com
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.406246 new msg 51419212
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.406494 info msg 51419212: bytes 12705 from <superior_bs@pacificwoodproducts.com> qp 22729 uid 2020
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.459031 starting delivery 36521: msg 51419212 to remote bali@evafan.com
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.459215 status: local 0/10 remote 13/20
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22730]: Handlers Filter before-remote for qmail started ...
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22730]: from=superior_bs@pacificwoodproducts.com
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22730]: to=bali@evafan.com
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.462985 delivery 36520: success: 127.0.1.50_accepted_message./Remote_host_said:_250_ok_1307424074_qp_22728/
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.463227 status: local 0/10 remote 12/20
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.463457 end msg 51419228
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22735]: Handlers Filter before-queue for qmail started ...
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22735]: from=superior_bs@pacificwoodproducts.com
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22735]: to=bali@evafan.com
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.859066 new msg 51419228
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.859206 info msg 51419228: bytes 12920 from <superior_bs@pacificwoodproducts.com> qp 22736 uid 2020
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.908877 starting delivery 36522: msg 51419228 to remote bali@evafan.com
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.908971 status: local 0/10 remote 13/20
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22737]: Handlers Filter before-remote for qmail started ...
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22737]: from=superior_bs@pacificwoodproducts.com
Jun 7 07:21:14 sxxxxxxx qmail-remote-handlers[22737]: to=bali@evafan.com
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.911085 delivery 36521: success: 127.0.1.50_accepted_message./Remote_host_said:_250_ok_1307424074_qp_22735/
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.911330 status: local 0/10 remote 12/20
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.911401 end msg 51419212
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22742]: Handlers Filter before-queue for qmail started ...
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.981880 delivery 36522: failure: 127.0.1.50_failed_after_I_sent_the_message./Remote_host_said:_554_too_many_hops,_this_message_is_looping_(#5.4.6)/
Jun 7 07:21:14 sxxxxxxx qmail: 1307424074.982235 status: local 0/10 remote 11/20
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22743]: Handlers Filter before-queue for qmail started ...
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22743]: from=
Jun 7 07:21:14 sxxxxxxx qmail-queue-handlers[22743]: to=superior_bs@pacificwoodproducts.com
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.092943 bounce msg 51419228 qp 22743
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.092978 end msg 51419228
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.093787 new msg 51419212
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.093912 info msg 51419212: bytes 13556 from <> qp 22744 uid 2522
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.142834 starting delivery 36523: msg 51419212 to remote superior_bs@pacificwoodproducts.com
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.143012 status: local 0/10 remote 12/20
Jun 7 07:21:15 sxxxxxxx qmail-remote-handlers[22745]: Handlers Filter before-remote for qmail started ...
Jun 7 07:21:15 sxxxxxxx qmail-remote-handlers[22745]: from=postmaster@sxxxxxxx
Jun 7 07:21:15 sxxxxxxx qmail-remote-handlers[22745]: to=superior_bs@pacificwoodproducts.com
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.367378 delivery 36518: success: 216.163.188.54_accepted_message./Remote_host_said:_250_2.0.0_Ok:_queued_as_99E3C851B1C21/
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.367703 status: local 0/10 remote 11/20
Jun 7 07:21:15 sxxxxxxx qmail: 1307424075.367809 end msg 51419188
CIDR sagt mir nichts :ymblushing: Ich benutze das was bei plesk standardmäßig eingestellt ist für gewöhnlich
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Du scheinst einen Spambot auf Deiner Kiste zu haben.
Wer ist denn UID 2020 auf Deinem Server?

Updates nicht regelmässig eingespielt?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

2020 ist qmail selber

was mach ich gegen den bot wie finde ich den?

DANKE für deine Hilfe

Jörg
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Erster blinder Versuch ist immer ein "ls -alh /tmp"
Wie war denn der Updatestatus zum Zeitpunkt des ersten Spams?


Da Du ein Plesk-System hast, bin ich demnächst raus, denn diese verkorksten Systeme unterstütze ich persönlich nicht. Da müssen Dir andere User helfen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

Ja der Updatestatus ist nicht gut, es ist Suse 10.3.

der Befehl bringt mich ja zum Tmp Verzeichnis von Root, da ist nix besonderes drin.

Was auffällt sind files die mit .moved enden im /var/qmail/bin
Last edited by jojo8897 on 2011-06-07 21:23, edited 2 times in total.
Top
User avatar
rudelgurke
Posts: 409
Joined: 2008-03-12 05:36
 

Re: SPAM-Mails von meinem Server

Post by rudelgurke »

Uh - läuft da wirklich noch ein antikes openSuSe 10.3 ? Dass erstmal dringend machen wenn da seit Ende 2009 keine Updates mehr gekommen sind. Und evtl. neu aufsetzen, dann müsste sich der Spambot erledigt haben.

Und die .moved Dateien sollen zu Plesk gehören. Wenn allerdings wirklich ein Spambot läuft, sichern und lokal vielleicht eine Analyse machen.
Last edited by rudelgurke on 2011-06-07 22:30, edited 1 time in total.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Sichere bitte ausschliesslich die Nutzdaten (also nur die Datenbankinhalte und die Dateien für die Webseiten) und notiere Dir die wichtigsten Konfigurations-Parameter der benötigten Dienste.
Anschliessend machst Du die Kiste vom Rescuesystem aus gnadenlos Platt, indem Du die Festplatten komplett mit Nullen überschreibst (das dauert einige Stunden!):

Code: Select all

dd if=/dev/zero of=/dev/sda bs=4k
dd if=/dev/zero of=/dev/sdb bs=4k
Danach installierst dort ein aktuelles System und hälst es künftig durchgehend auf dem aktuellen Stand (mindestens zweimal wöchentlich). Ebenso wirst Du künftig alle Webapplikationen auf dem jeweils aktuellen Stand halten, auch wenn das viel Arbeit ist.
Erst wenn das Alles erledigt und für die Zukunft sichergestellt ist, kannst Du die Konfigurationen anpassen und die Nutzdaten wieder einspielen.

Durch die teils erheblichen Fortschritte der diversen Softwarepakete wirst Du ein paar kleinere Probleme lösen müssen, dabei hilft Dir aber fast immer die Dokumentation der jeweiligen Software weiter und im Notfall fragst Du hier im passenden Forum nochmal nach. Lösche also das Backup nicht frühzeitig, Du brauchst es eventuell öfter.

Wenn Du Dich mit dem Berg an Arbeit überfordert fühlst, dann beauftrage bitte einen professionellen Admin der das für Dich erledigt, denn es muss dringend und umgehend erledigt werden.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Ich gehe halt gerne auf Nummer sicher, da ein Formatieren (mehr wird beim Image nicht gemacht) eben keine Daten und somit auch keine Malware löscht.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Auch unter Windows (mit NT-Kernel) benötigt man dafür root-Rechte ;)

Lass mal ein paar Filerecovery-Tools über die Platten Deines nächsten Mietservers laufen, Du wirst überrascht sein, was Du Alles finden kannst. Die wenigsten Anbieter gehen mit dd oder schred beim Kundenwechsel über die Platten.

mdadm zickt auch gerne mal, wenn noch Reste von vorigen RAID vorhanden sind. Ist eine nette kleine Falle ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
User avatar
rudelgurke
Posts: 409
Joined: 2008-03-12 05:36
 

Re: SPAM-Mails von meinem Server

Post by rudelgurke »

Das Quickformat bei Windows - ja. Damit wird im Grunde ja nur alles als "leer" markiert ohne wirklich das Dateisystem neu zu schreiben.
Allerdings ein mkfs.ext3 gefolgt von mkfs.xfs (oder was man auch immer haben möchte) sollte genügen.
War bisher hier nur der Fall eine Windows Partition zu plätten, kurz mit einem Unix formatieren und dann wieder ein NTFS drüber - dann war auch Ruhe in Sachen Recovery.
Von Tools die jeden Sektor 8 mal überschreiben und damit die volle Sicherheit bieten ;) - naja - wer gern unnötig Geld ausgibt wird damit Freude haben.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

Hallo, erstmal vielen Dank für eure Hilfe. :-BD

Es waren in der Tat Skripte die liefen, undzwar Pearlskipte in einem oscommerce-shop, wie die genau dahion gekommen sind weiß ich nicht.
Es handelte sich um einen Shop der nicht mehr genutzt wurde und nur aufgrund der alten Kundendaten noch auf dem Server war (das System, wurde leider dann auch nicht mehr geupdatet) dusseligerweise auch noch per www. erreichbar.

Egal das System ist komplett gelöscht seither keine Spammails mehr. Ich bestelle jetzt einen neuen Server und ziehe dann nach und nach mit allen Webs um. Das ist mir sicherer als jetzt von Susue 10.3 auf 11 upzudaten und dann läuft die hälfte nicht :)

Es gibt ja keine Kundenwebs, so kann ich das in Ruhe angehen.

Beim neuen Server mache ich dann mal die autoupdates von yast an :)

DANKE für eure Hilfe

@MOD kann geschlossen werden
Last edited by jojo8897 on 2011-06-08 10:42, edited 1 time in total.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Bei den Autoupdate-Funktionen musst Du vorsichtig sein, denn manche Updates benötigen ein manuelles Eingreifen und insbesondere Kernel-Updates benötigen zusätzlich auch einen manuellen Reboot des Servers. Da unterscheiden sich Linux/UNIX und Windows nämlich nicht, ausser dass Windows den Reboot auch selbstständig durchführen kann, wenn man es so konfiguriert.

Kurz gesagt: Autoupdates auf einem produktiven Server möchte man also nicht haben, da das Risiko eines Fehlverhaltens des Servers zu hoch ist.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

@matze
Ein RootKit in das mdadm-Journal geparkt und schon reicht einfaches Formatieren nicht mehr, da diese Daten überleben und in einem definierten Bereich liegen. Da die Images in der Regel die gleiche Partitionierung und mdadm-Config haben, reicht das schon aus, um das RootKit über Generationen hinweg unbemerkt mitzuschleppen. Die Sektor-Daten legt man dann einfach im Speicher der RTC ab ;)

Und das ist nur ein Beispiel, es gibt ja noch perversere Möglichkeiten RootKits nahezu dauerhaft einzuschleusen. In der Wirtschaftsspionage gehören solche RootKits mitlerweile zum Standard und sind recht erfolgreich.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: SPAM-Mails von meinem Server

Post by Joe User »

Der RTC-Speicher wird ja sowohl vom BIOS als auch auf Kernel-Ebene vom OS angefasst, insofern sind die root-Rechte (oder gar höher) automatisch vorhanden und man braucht sich darum nicht mehr kümmern. Vergleichbar, wenn auch minimal primitiver, funktioniert Bootsektor-Malware, nur das die Startroutinen und die Payload in anderen Bereichen abgelegt werden.
Man könnte auch auf andere Speicher ausweichen, beispielsweise die Grafikkarte, den Drucker, oder wo auch immer sich ein paar Byte ablegen lassen. Zugriff zum Beispiel per Treiber im Kernel-Kontext und schon kann selbst der geübte root kaum noch etwas im laufenden Betrieb feststellen.

Diese Malware (RootKits) werden vorwiegend zur (Wirtschafts-)Spionage eingesetzt, daher dürfte ich sie nicht weitergeben, wenn ich sie hätte (Straftatbestand). Ich kenne aber mehrere wichtige Unternehmen und Institutionen, die bereits Opfer dieser Techniken wurden und sie mit hoher Wahrscheinlichkeit auch selbst einsetzen. Live gesehen habe ich bisher drei dieser RootKits, wobei eines davon so gar vollständig OS-neutral und für mehrere Architekturen verfügbar war (Made in Germany).
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

Nabend

Das ganze hat dann doch noch einiges an Problemen mit sich gezogen. Mein Server stand dann auf einigen DNSBL-Servern. Mittlerweile geht es wieder, bis auf web.de und gmx die lassen immer noch nix von mir rein.
Weis jemand ob die eigene Blacklisten führen oder welche die nehmen?

Ist es mit warten getan oder muss ich da aktiv werden? Da wo es ging habe ich ein delist beantragt, bin bei den meisten auch wieder weg von der Blacklist, aber die Mails von web.de und gmx hängen immernoch in der Warteschleife.

DANKE
Jörg
Top
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53
 

Re: SPAM-Mails von meinem Server

Post by Roger Wilco »

1&1/GMX/web.de verwenden eigene Blocklisten. Eine E-Mail an die Abuse-Abteilung mit einer kleinen Erklärung könnte das Delisting sicherlich beschleunigen.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

Wie lange dauert so was denn in der Regel? Bisher habe ich 122 Bestellungen mit Kunden von web.de und gmx die keine Meils erhalten.
Ich hoffe das dauert nicht 14 tage.

Danke
Jörg
Top
User avatar
rudelgurke
Posts: 409
Joined: 2008-03-12 05:36
 

Re: SPAM-Mails von meinem Server

Post by rudelgurke »

Jetzt sind zwar erstmal Feiertage, aber normalerweise dauert dass keine 14 Tage.
Vor nicht allzu langer Zeit, neue Kiste angemietet aber die IP war noch in der Blacklist, Reaktion kam nach 2 Tagen und alles ohne Probleme.
Last edited by rudelgurke on 2011-06-11 21:47, edited 1 time in total.
Top
jojo8897
Posts: 79
Joined: 2004-01-19 14:08
 

Re: SPAM-Mails von meinem Server

Post by jojo8897 »

Ich habe noch eine zweite IP für den Server, kann ich qmail nicht dazu bewegen über diese zu senden? Das sollte das Problem doch lösen oder?

Die zweite IP ist derzeit als eth0:1 eingetragen
DANKE
Jörg
Last edited by jojo8897 on 2011-06-11 22:14, edited 1 time in total.
Top

Return to “Security”