Spammails gehen von meinem Server aus

Rund um die Sicherheit des Systems und die Applikationen
Robin
Posts: 4
Joined: 2018-01-29 23:08

Spammails gehen von meinem Server aus

Post by Robin » 2018-01-29 23:20

Moin,
Vor einigen Tagen wollte ich bisschen was Programmieren und sah auf meinem Webserver mehrere Dateien die vom Namen her keinen sinn ergaben und der Text meist verschlüsselt war, und meist war auch IonCube mit drinne, ebenfalls wurde die index.php mit einem @include *Verschlüsselter Inhalt* (leider keine Screens etc mehr davon.) beschmückt. als ich den Inhalt des Includes dechiffrierte kam ein Include auf eine Datei auf meinem Webspace raus.
Nach dem ich alle Dateien löschte, und veränderte wieder in den Urzustand brachte, guckte ich in die FTP (proftpd) Logs welche besagten dass mehrere Dinge von den Verschiedensten IP's ausgingen (Russland, China, Japan, USA etc.) das war am Donnerstag der Fall, irgendwann gegen 15 Uhr, und gegen 17 Uhr sah ich das.
Nach dem ich die Dateien löschte (ebenfalls in jeglichen Subdomainverzeichnissen) und mir einen neuen sicherern FTP Zugang angelegt habe, dachte ich mir nichts mehr bei bis ich heute eine Mail meines vServer Hosters bekam dass die SMTP Ports gesperrt wurde, da von meinem Server verschiedenste Spammails ausgingen.

Nach dem ich nach Tutorials in die postfix Queue reinsah, und diese löschte waren dies um die 100 Tausend Nachrichten in der Queue, von meinem Apache Log gehen auch in der Minute einige Zugriffe auf Dateien aus, welche ich gelöscht habe (404).

Allerdings bevor ich meinem Hoster anschreibe dass ich das Problem gelöst habe, wollte ich nochmals hier nachfragen was man ambesten machen kann noch.

System:
CPU: Intel(R) Xeon(R) CPU E5-2620 v2 @ 2.10GHz (2 core(s))
RAM: 6GB
Version: Plesk Onyx v17.5.3_build1705170317.16 os_Debian 8.0
OS: Debian 8.9

Anscheinend ging aber nur ein Zugriff auf den FTP aus, Plesk, SSH sowie jegliche anderen FTP Zugänge welche ich habe (auf anderen Servern ebenfalls) blieben davon verschont, weshalb man denke ich ein Virus auf meinem Computer ausschließen kann, oder?

Wäre super wenn ihr mir da weiterhelfen könntet, da das das erste mal ist dass mir sowas passiert.

Robin
Posts: 4
Joined: 2018-01-29 23:08

Re: Spammails gehen von meinem Server aus

Post by Robin » 2018-01-29 23:23

( Um noch zu erwähnen, ich habe sicherheitshalber Postfix erstmals abgeschaltet )

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spammails gehen von meinem Server aus

Post by Joe User » 2018-01-30 03:50

Da Du nicht ausschliessen kannst, dass Du bei Deinem Aufräumversuch wirklich alle Veränderungen gefunden und beseitigt hast und Du auch das Einfallstor noch nicht bestimmt hast, bleibt Dir nur eine einzige Möglichkeit:
Du musst das komplette System vollständig neu aufsetzen und zwar in der jeweils aktuellsten Version und mit sicheren Konfigurationen (Hinweis: Standardkonfigurationen sind leider so gut wie nie ausreichend sicher, weil sie nahezu immer auf die Bequemlichkeit von dummen Couchpotatos ausgelegt sind und nicht auf den exponierten Serverbetrieb).
Dabei bitte auch jegliche Features und Pakete weglassen, welche Du nicht zwingend benötigst. FTP benötigt man beispielsweise seit fast zwei Jahrzehnten nicht mehr.
Das Gleiche gilt natürlich analog für alle verwendeten WebApps und sonstige Apps auf dem Server: Alle von Hand in der aktuellsten Version direkt aus der Originalquelle installieren und sauber konfigurieren.

Erst danach kannst Du aus Deinem letzten nachweislich sauberen Backup die Nutzdaten (und zwar ausschliesslich die Nutzdaten, keine Konfigurationen und erst recht keine Apps oder Scripts) wiederherstellen.

In Zukunft dann regelmässig (mindestens 2-3 Mal pro Woche) Updates einspielen (und zwar grundsätzlich ausnahmslos alle verfügbaren Updates), sowohl für jegliche Systempakete als auch für jegliche WebApps und Apps, ohne Ausnahme.

Das Wichtigste sind sichere Konfigurationen, dazu benötigt man das entsprechende Wissen, dieses musst Du Dir schnellstmöglich aneignen, oder Dir dieses Wissen halt einkaufen (gut bezahlter Admin und/oder managed Server), andernfalls wird Deine Kiste in absehbarer Zeit erneut geknackt und dann vielleicht für Straftaten missbraucht, für welche zunächst Du rechtlich verantwortlich bist und gegebennfalls in den Bau wanderst.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Robin
Posts: 4
Joined: 2018-01-29 23:08

Re: Spammails gehen von meinem Server aus

Post by Robin » 2018-01-30 18:54

Naja, im Endeffekt wurde nur ein Zugriff über FTP getätigt, und dies nur über einem Account der bisher von mir gelöscht wurde.

Aber meine Frage ist, wenn ich FTP lösche wie ziehe ich dann Daten auf meinen Webspace?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spammails gehen von meinem Server aus

Post by Joe User » 2018-01-30 19:06

Mittels scp oder sftp zum Beispiel.

Du kannst also definitiv zu 100% ausschliessen, dass der/die Angreifer keine Backdoor hinterlassen oder sonstige Manipulationen vorgenommen haben?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Robin
Posts: 4
Joined: 2018-01-29 23:08

Re: Spammails gehen von meinem Server aus

Post by Robin » 2018-01-30 19:17

Also laut dem Last Login des root SSH User, war der letzte Login von meiner IP (u.a. bekomme ich bei Logins im SSH auch ne Email), es wurden bisher nur Dateien verändert (meist index.php) und neue hinzugefügt.
Aber eigentlich habe ich alle Dateien gelöscht, und mein Apache Log zeigt mir auch immer 404 an wenn jedmand auf diese Dateien zugreifen will)
Was halt komisch war, im Queue waren die E-Mails immer ausgehend von subdomain.domain.de (Domain und Subdomain anonym gemacht, muss ja nich jeder wissen :-D)
Ich denke mal wenn ich den Postfix wieder laufen lasse, und keinerlei Mails mehr in der Queue liegen denke ich dass alle Dateien gelöscht sind oder? Rausgehen können im Endeffekt eh keine da SMTP zurzeit vom Hoster aus gesperrt ist.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spammails gehen von meinem Server aus

Post by Joe User » 2018-01-30 19:32

Wie gesagt, wenn Du Dir zu 100% sicher bist, Alles beseitigt zu haben und sämtliche Sicherheitslücken geschlossen hast, dann kannst Du versuchsweise wieder online gehen.
Sobald Du allerdings auch nur den geringsten Zweifel daran hegst, dann musst Du (schon aus rechtlichen Gründen) den Weg der vollständigen gründlichen Neuinstallation gehen.

Diese Entscheidung musst Du selbst treffen und mit den daraus resultierenden Konsequenzen leben.
Vielleicht hast Du Glück, vielleicht kündigt Dich Dein Anbieter, vielleicht steht demnächst die Staatsanwaltschaft vor der Tür. Du hast die Qual der Wahl und trägst das Risiko.



PS: Ich personlich würde mich ausnahmslos immer für den Weg der Neuinstallation entscheiden, sicher ist sicher.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

bierhasser
Posts: 19
Joined: 2003-05-09 06:23

Re: Spammails gehen von meinem Server aus

Post by bierhasser » 2018-01-30 23:45

*gg* so etwas in der Art ist mir auch schon passiert. Postfach Konto wurde missbraucht. Beim Kunde wurde wohl das Passwort für das Konto abgefangen. Seither überwache ich den mailq minütlich und stoppe Postfix falls ein Limit erreicht wurde.

Code: Select all

#!/bin/bash

LANG=POSIX
LC_LANG=C

ALARMLEVEL=200
FLOCKFILE="/root/scripte/mailqalarm-FLOCK"

CURQ=$(/usr/bin/mailq | /usr/bin/tail -n 1 | /usr/bin/awk '$5>0 ? $n=$5 : $n=0 {print $n}')
if [ -z "${CURQ}" ]
then
        CURQ=0
fi

##echo -e ${CURQ} "\n" #testausgabe
if [ ${CURQ} -gt ${ALARMLEVEL} ]
then
        if [ ! -f "${FLOCKFILE}" ]
        then
                /usr/bin/touch "${FLOCKFILE}"
                echo $(date "+%d-%m-%Y %H:%M:%S") > "${FLOCKFILE}"
                /bin/systemctl stop postfix.service

        fi
        #/bin/systemctl stop postfix.service
        echo -e "subject: MAILQUEUEALARM" ${CURQ} "\n\n\tEs sind" ${CURQ} "Mails im Queue\n\n\tPostfix wurde angehalten. Um den mailq zu leeren, verwende den Befehl 'postsuper -d ALL' 
        Bitte überprüfe zuerst warum das Problem besteht.\n\tMailq anzeigen mit dem Befehl 'mailq'\n\tEinzelne Mails anzeigen mit dem Befehl 'postcat -q MAILQID'\n\n\tIst das Problem behoben, entferne die Datei ${FLOCKFILE}\n
        und starte postfix mittels '/bin/systemctl start postfix.service'" |/usr/sbin/sendmail root
fi
exit 1

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: Spammails gehen von meinem Server aus

Post by rudelgurke » 2018-02-02 17:53

Meine bescheidene Meinung - komplett neu machen. "Nur" eine PHP Datei ersetzt mag offensichtlich sein, wäre ich der böse Bube und hätte ein wenig Ahnung, hätte ich noch hier und da ein paar Schnipsel an anderen Datein angefügt die zum Tragen kommen wenn der Client irgendwas mitschickt (z. Bsp. diverse Header). Je nachdem auch gern per EXIF Info an irgendwelche Bilder etwas eingefügt.
Und wenn ich als böser Bube mich auf dem System etwas umgeschaut hätte, hätte ich vielleicht auch den Work-Around mit dem Postqueue gefunden und dem Script dass bei SSH Logins eine Mail verschickt. Dann einfach auf den richtigen Moment warten und via SSH loslegen. Danach natürlich noch die Logs manipulieren.

Mag weit her geholt klingen, dennoch ist die dringende Empfehlung alles frisch zu machen. Sollte der Webserver denn wirklich Mails verschicken wollen gibt es Möglichkeiten das Ganze einzufangen, dass Scripte die dumm doof "mail()" aufrufen nicht bis zum Mailserver kommen.
Da braucht man auch keinen Mailserver runterfahren und bekommt so - im schlimmsten Fall - von diversen Systemmeldungen nichts mit.

Ein gutes Monitoring, das 1. Anhaltspunkte liefert wenn etwas schief läuft und natürlich ein IDS, dass die Kiste regelmäßig prüft und wenn Logging ein Problem ist und es sich um einzelne Kisten handelt, VPN ins Heimnetz, ein kleiner RasPi und Remote Logging, so kann man - hoffentlich - noch nachvollziehen was wie passiert ist.