Server wird zur Spam Schleuder (1&1 Root)

DatenSalatEsser
Posts: 3
Joined: 2015-05-04 20:49

Server wird zur Spam Schleuder (1&1 Root)

Post by DatenSalatEsser »

Hallo Forums-Gemeinde,

ich wende mich aus der Not heraus und am Ende meines Wissens an euch.

Bei 1und1 betreibe ich einen RootServer. - dieser wird seit einigen Tagen zur SPAM Schleuder.
Der superduper 1und1 Service hilft mir leider nicht weiter um das Problem zu orten und zu beheben. Mails und Anrufe ohne Erfolg und ohne Antwort.

Der Server:
    OS CentOS 6.6 (Final)
    Plesk Version 12.0.18 Update #44, zuletzt aktualisiert: 24. April 2015 03:18:47
    Das System ist auf dem neuesten Stand, zuletzt überprüft: 1. Mai 2015 03:27:45
    Installierter Mailserver Postfix
    Installierte IMAP-/POP3-Server Courier-IMAP

Betroffen:
    eine einzige Domain sendet ständig Mails von nicht bestehenden Postfächern
    es existiert das üblich info@BlaBlaDomainBlaBla.de und einige weitere Adressen.
    Es wird von LaraZimmer@.... GeilesLider@.... etc versendet – diese Postfächer gibt es nicht.

Umfang:
    Es sind deutlich über 600 Mails jede Stunde die auf diese Weise gesendet werden und damit zum Eintrag auf den Spam-Listen dieser Welt führen.
    Es ist nur diese ein]e Domain betroffen und als FakeMail Adressen Versender aktiv.

Meine Maßnahmen:
    - Update prüfung / Updates in der Konsole mit YUM
    - Limit für Mail Menge gesetzt – Plesk Postausgangskontrolle auf 60 Mails/Stunde/Kundendomain
    - alle Postfach Passwörter, FTP Passworte und Plesk Passworte des Kunden neu gesetzt (lange sichere Passworte)
    - alle alten ungenutzten Subdomains und Verzeichnisse gelöscht
    - Reste einer früheren alten Homepage (phpfusion) gelöscht
    - Mail Massen in der Mail-Warteschlange gelöscht (per Konsole und in Plesk je nach Menge)
    - alle PCs des Kunden auf Viren geprüft
    - Mail Programme beim Kunden neu eingerichtet (Thunderbird, Postfächer neu mit PWD versehen)
    - Analyse des Servers mit Watchdog – ohne Befund
    - Server neu gestartet
    - Austragung aus den Spam Listen
    - Info per Telefon und Mail an das 1&1 SPAM-Team, Abuse-Team und den tollen Support.


Ergebnis:
    - in der Domain läuft nur noch ein Webshop (Gambio=OSCommerce)
    - Spam wird noch immer erzeugt aber in der Masse durch das Limit eingedämmt
    - der Kunde kann keine Mails senden weil das Limit sofort erreicht ist dank Spam-Listen

Eingrenzung Ursache:
    - In der E-Mail Warteschlange habe ich auf den Betreff einiger Mails geklickt.
    - es wird immer ein PHP-Mailer im Header angegeben.

Verdacht:
    - irgendwor ist ein PHP Mailer auf dem System unsicher und ungefunde aktiv.

Überlegung:
Bei den 1und1 Managed Server scheint es ein extra Tool zu geben um nach unsicheren Dateien CMSen etc zu suchen.
(Kunde hatte einen Managed Server und wurde damals nach Hack von 1und1 gescannt...) Leider kenne ich nichts vergleichbares für meinen RootServer.


Hilferuf:
    - Wie finde ich heraus wo und welcher es ist und kann ihn abschalten?


Schon heute danke für jede Hilfestellung die über das von 1und1 hinausgeht ..

Gruß

Mike
Top

DatenSalatEsser
Posts: 3
Joined: 2015-05-04 20:49

Re: Server wird zur Spam Schleuder (1&1 Root)

Post by DatenSalatEsser »

Nachtrag:
es ist kein offenes Relay sondern eines mit ANmeldung per SMTP
Relay-Optionen
Relaying - Autorisierung erforderlich: SMTP
Top

DatenSalatEsser
Posts: 3
Joined: 2015-05-04 20:49

Re: Server wird zur Spam Schleuder (1&1 Root)

Post by DatenSalatEsser »

... so sieht der Header einer SPAM Mails aus (meine Domain, IP, Servername habe ich XXX maskiert)


Received: by sXXXXXX.onlinehome-server.info (Postfix, from userid 502)
id 3BXXX20881; Mon, 4 May 2015 21:19:36 +0200 (CEST)
To: smweb@aol.com
Subject: want to be my new f#ckbuddy
X-PHP-Originating-Script: 502:sql94.php(1500) : eval()'d code
Date: Mon, 4 May 2015 21:19:36 +0200
From: Kristi Baker <kristi_baker@BlaBlaDomainNameBlaBla.com>
Message-ID: <e28ff5cd25ae22c9b7b183efc4b661d8@BlaBlaDomainNameBlaBla.com>
X-Priority: 3
X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_e28ff5cd25ae22c9b7b183efc4b661d8"
Content-Transfer-Encoding: 8bit
X-PPP-Message-ID: <20150504191936.4607.79757@s337527494.online.de>
X-PPP-Vhost: BlaBlaDomainNameBlaBla.com
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server wird zur Spam Schleuder (1&1 Root)

Post by Joe User »

Um kurzfristig etwas Luft zu erhalten, kannst Du das im Header

Code: Select all

X-PHP-Originating-Script: 502:sql94.php(1500) : eval()'d code
angegebene Script (sql94.php) entweder in Zeile 1500 manuell säubern, oder durch das Original komplett ersetzen.
Je nachdem wo diese sql94.php liegt, ist erstmal davon auszugehen, dass die dort installierte WebApp mindestens eine ungefixte oder unbekannte Sicherheitslücke enthält.

Langfristig brauchst Du einen fähigen Admin der regelmässig das System pflegt.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top