1&1 Root-Server auf Blacklist???

F

Franticfreak

New Member
Hallo

Die Probleme lassen und lassen nicht nach bei mir.
Habe heute eine mail von 1&1 bekommen die wie folgt lautet.

Sehr geehrte Herr Jörg Hellwig,

uns wurde mitgeteilt, dass Ihr 1&1 Root-Server auf mindestens einer Blacklist
(RBL) geführt wird.

Sie können Ihre IP-Adresse Ihres Root-Servers überprüfen, indem Sie den Dienst
dnsstuff.com benutzen

(Sollten Sie mehrere IP-Adressen für Ihren Root-Server benutzen überprüfen Sie
bitte auch diese)

Bitte überprüfen Sie Ihren Server ggf. auf unsichere Skripte / unsicher
konfigurierte Dienste (offener Relay- oder Proxyserver) oder Trojaner /
Würmer etc.

Informationen über Blacklists (RBLs) finden Sie auf folgender Seite:
Realtime Blackhole List - Wikipedia

Bitte erlauben Sie uns auch, Sie in diesem Zusammenhang auf unsere AGB
hinzuweisen:

1&1 Webhosting*-*Unsere AGB*-*Allgemeine AGB

Für Ihre Bemühungen bedanken wir uns im voraus, bei weiteren Fragen stehen wir
Ihnen gerne zur Verfügung.

Bitte Antworten Sie bei weiterem Kontaktwunsch unbedingt direkt auf
diese E-Mail oder sorgen Sie dafür, dass die TicketID in Ihrer
E-Mail enthalten ist.


Mit freundlichen Grüßen.

--
1&1 Internet AG
Click to expand...


habe nur mal so garkein schimmer was die von mir wollen.
Habe schon versucht meinen vertrag zu kündigen, da ich bei vertragsabschluss damals dachte das ich mir einfachen webspace holen würde.
Das ich dann aber fälschlicher weise einen richtigen server mit allem drum und dran hatte wollte ich nicht.
So muss ich jetzt bei jedem Problem jemand fragen, was mir sehr unangenehm ist.
Ich hoffe man kann mir hier dennoch weiter helfen.


Habe über mein PELSK eine option die nennt sich watch dog ausgeführt dabei kam dieser log raus, ob dieser jetzt weiterhelfen kann weiß ich nicht.


Warning: Scanning completed at Aug 8, 2007 10:11 PM. Considerable existing/potential security problems were detected in the system. For details, see the log below.

Running updater...

Mirrorfile /usr/local/psa/var/modules/watchdog/lib/rkhunter/db/mirrors.dat rotated
Using mirror http://mirror13.mirror.rkhunter.org
[DB] Mirror file : Up to date
[DB] MD5 hashes system binaries : Mirror outdated. Skipped
Info (current version: 2006021400, version of mirror: 2005121400),
[DB] Operating System information : Mirror outdated. Skipped
Info (current version: 2006022201, version of mirror: 2005102800),
[DB] MD5 blacklisted tools/binaries : Up to date
[DB] Known good program versions : Mirror outdated. Skipped
Info (current version: 2006022200, version of mirror: 2005111500),
[DB] Known bad program versions : Mirror outdated. Skipped
Info (current version: 2006022200, version of mirror: 2005111500),




Ready.


Rootkit Hunter 1.2.7 is running

Determining OS... Ready


Checking binaries
* Selftests
Strings (command) [ OK ]


* System tools
Performing 'known bad' check...
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/csh [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/grep [ OK ]
/bin/kill [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/sh [ OK ]
/bin/sort [ OK ]
/bin/su [ OK ]
/sbin/checkproc [ OK ]
/sbin/chkconfig [ OK ]
/sbin/depmod [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifstatus [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/nologin [ OK ]
/sbin/rmmod [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/sbin/syslogd [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/du [ OK ]
/usr/bin/egrep [ OK ]
/usr/bin/fgrep [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/sbin/xinetd [ OK ]
Performing 'known good' check...


Check rootkits
* Default files and directories
Rootkit '55808 Trojan - Variant A'... [ OK ]
ADM Worm... [ OK ]
Rootkit 'AjaKit'... [ OK ]
Rootkit 'aPa Kit'... [ OK ]
Rootkit 'Apache Worm'... [ OK ]
Rootkit 'Ambient (ark) Rootkit'... [ OK ]
Rootkit 'Balaur Rootkit'... [ OK ]
Rootkit 'BeastKit'... [ OK ]
Rootkit 'beX2'... [ OK ]
Rootkit 'BOBKit'... [ OK ]
Rootkit 'CiNIK Worm (Slapper.B variant)'... [ OK ]
Rootkit 'Danny-Boy's Abuse Kit'... [ OK ]
Rootkit 'Devil RootKit'... [ OK ]
Rootkit 'Dica'... [ OK ]
Rootkit 'Dreams Rootkit'... [ OK ]
Rootkit 'Duarawkz'... [ OK ]
Rootkit 'Flea Linux Rootkit'... [ OK ]
Rootkit 'FreeBSD Rootkit'... [ OK ]
Rootkit 'Fuck`it Rootkit'... [ OK ]
Rootkit 'GasKit'... [ OK ]
Rootkit 'Heroin LKM'... [ OK ]
Rootkit 'HjC Kit'... [ OK ]
Rootkit 'ignoKit'... [ OK ]
Rootkit 'ImperalsS-FBRK'... [ OK ]
Rootkit 'Irix Rootkit'... [ OK ]
Rootkit 'Kitko'... [ OK ]
Rootkit 'Knark'... [ OK ]
Rootkit 'Li0n Worm'... [ OK ]
Rootkit 'Lockit / LJK2'... [ OK ]
Rootkit 'MRK'... [ OK ]
Rootkit 'Ni0 Rootkit'... [ OK ]
Rootkit 'RootKit for SunOS / NSDAP'... [ OK ]
Rootkit 'Optic Kit (Tux)'... [ OK ]
Rootkit 'Oz Rootkit'... [ OK ]
Rootkit 'Portacelo'... [ OK ]
Rootkit 'R3dstorm Toolkit'... [ OK ]
Rootkit 'RH-Sharpe's rootkit'... [ OK ]
Rootkit 'RSHA's rootkit'... [ OK ]
Sebek LKM [ OK ]
Rootkit 'Scalper Worm'... [ OK ]
Rootkit 'Shutdown'... [ OK ]
Rootkit 'SHV4'... [ OK ]
Rootkit 'SHV5'... [ OK ]
Rootkit 'Sin Rootkit'... [ OK ]
Rootkit 'Slapper'... [ OK ]
Rootkit 'Sneakin Rootkit'... [ OK ]
Rootkit 'Suckit Rootkit'... [ OK ]
Rootkit 'SunOS Rootkit'... [ OK ]
Rootkit 'Superkit'... [ OK ]
Rootkit 'TBD (Telnet BackDoor)'... [ OK ]
Rootkit 'TeLeKiT'... [ OK ]
Rootkit 'T0rn Rootkit'... [ OK ]
Rootkit 'Trojanit Kit'... [ OK ]
Rootkit 'Tuxtendo'... [ OK ]
Rootkit 'URK'... [ OK ]
Rootkit 'VcKit'... [ OK ]
Rootkit 'Volc Rootkit'... [ OK ]
Rootkit 'X-Org SunOS Rootkit'... [ OK ]
Rootkit 'zaRwT.KiT Rootkit'... [ OK ]

* Suspicious files and malware
Scanning for known rootkit strings [ OK ]
Scanning for known rootkit files [ OK ]
Testing running processes... [ OK ]
Miscellaneous Login backdoors [ OK ]
Miscellaneous directories [ OK ]
Software related files [ OK ]
Sniffer logs [ OK ]

* Trojan specific characteristics
shv4
Checking /etc/rc.d/rc.sysinit [ Not found ]
Checking /etc/inetd.conf [ Not found ]
Checking /etc/xinetd.conf [ Clean ]

* Suspicious file properties
chmod properties
Checking /bin/ps [ Clean ]
Checking /bin/ls [ Clean ]
Checking /usr/bin/w [ Clean ]
Checking /usr/bin/who [ Clean ]
Checking /bin/netstat [ Clean ]
Checking /bin/login [ Clean ]
Script replacements
Checking /bin/ps [ Clean ]
Checking /bin/ls [ Clean ]
Checking /usr/bin/w [ Clean ]
Checking /usr/bin/who [ Clean ]
Checking /bin/netstat [ Clean ]
Checking /bin/login [ Clean ]

* OS dependant tests

Linux
Checking loaded kernel modules... Skipped!
Checking files attributes [ OK ]
Checking LKM module path [ Skipped! ]


Networking
* Check: frequently used backdoors
Port 2001: Scalper Rootkit [ OK ]
Port 2006: CB Rootkit [ OK ]
Port 2128: MRK [ OK ]
Port 14856: Optic Kit (Tux) [ OK ]
Port 47107: T0rn Rootkit [ OK ]
Port 60922: zaRwT.KiT [ OK ]

* Interfaces
Scanning for promiscuous interfaces [ OK ]


System checks
* Allround tests
Checking hostname... Found. Hostname is s15221551
Checking for passwordless user accounts... OK
Checking for differences in user accounts... [ NA ]
Checking for differences in user groups... Creating file. It seems this is your first time.
Checking boot.local/rc.local file...
- /etc/rc.local [ Not found ]
- /etc/rc.d/rc.local [ Not found ]
- /usr/local/etc/rc.local [ Not found ]
- /usr/local/etc/rc.d/rc.local [ Not found ]
- /etc/conf.d/local.start [ Not found ]
- /etc/init.d/boot.local [ OK ]
Checking rc.d files...
Processing........................................
........................................
........................................
........................................
.....................................
Result rc.d files check [ OK ]
Checking history files
Bourne Shell [ OK ]

* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ OK ]


Application advisories
* Application scan
Checking Apache2 modules ... [ Not found ]
Checking Apache configuration ... [ OK ]

* Application version scan
- GnuPG 1.4.0 [ OK ]
- Bind DNS 9.3.1 [ OK ]
- OpenSSL 0.9.7e [ Vulnerable ]
- PHP 4.3.10 [ Vulnerable ]
- Procmail MTA 3.22 [ OK ]
- ProFTPd 1.3.0 [ Unknown ]
- OpenSSH 3.9p1 [ OK ]

Your system contains some unknown version numbers. Please run Rootkit Hunter
with the --update parameter or fill in the contact form (Rootkit.nl - Protect your machine).


Security advisories
* Check: Groups and Accounts
Searching for /etc/passwd... [ Found ]
Checking users with UID '0' (root)... [ OK ]

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out. Root login possible. Possible risk!
info:
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ Warning ( SSH v1 allowed) ]

* Check: Events and Logging
Search for syslog configuration... [ OK ]
Checking for running syslog slave... [ OK ]
Checking for logging to remote system... [ OK ( no remote logging) ]


---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 2

Scanning took 130 seconds
Scan results written to logfile (/var/log/rkhunter.log)

-----------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas
or suggestions?
Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

-----------------------------------------------------------------------
Click to expand...


Und was mir noch auffällt ist, das seitdem ich IE7 drauf habe, ich jedes mal wenn ich mich beim PLESK anmelden will, ich eine wahrnmeldung bekomme, das es nicht sicher wäre.
 
Last edited by a moderator:
Bezüglich des IE Problemes, dass kam auch schon bei IE 6, bloß in anderer Form.

gruß,

blupp1
 
Wie bereits gesagt, die Meldung selber hat sich sehr verändert.
 
Hallo!
Für eine Analyse benötigen wir die IP Adresse des Servers.

mfG
Thorsten
 
Hallo!
Da dein Server bei CBL gelistet ist, wird es wohl ein offenes Relay sein. Maßnahme 1 : Mailserver stoppen, 2. Maillogs überprüfen 3. Das betreffende Script bzw. die Lücke finden.
Das dich das jetzt überlasten wird ist mir klar. Ändert aber nichts an der Notwendigkeit, dass Problem in den Griff zu bekommen. Informationen findest du hier im Forum. Bitte stoppe deinen Mailserver. Detailfragen versuchen wir hier zu klären.

mfG
Thorsten
 
Also ich denke mal das ich richtig bin wenn ich unter
Server - Dienste verwalten gehe :)

so wie es aussieht laufen auch nur 3 dienste...wenn ich in einer falschen section bin lasst es mich bitte wissen :)

Bei den firewall einstellungen habe ich auch alles was mit mail zu tun hat blockiert, hoffe das dies auch richtig war.

Edit:
was ich evtl noch sagen sollte ist, ich habe ein CMS system auf meinem server installiert welches sich e107 nennt.
die seite kann man erreichen unter www.s190983799.online.de/main hab sie aber jetzt erstmal still gelegt bevor es noch mehr probleme gibt.
evtl hat das problem hier ja auch was mit der seite am hut, wer weiß.
 

Attachments

  • dienste.JPG
    dienste.JPG
    24.9 KB · Views: 302
  • firewall.JPG
    firewall.JPG
    50.3 KB · Views: 377
Last edited by a moderator:
Ich fahr mein server grad runter, und sitze den restlichen 13 monatigen vertrag aus.
Das ist mir alles irgendwie zu blöd :(

Wenn der server runtergefahren ist, kann auch nichts passieren so hoffe ich ja mal.
 
Der sicherste Server ist immer der, der heruntergefahren ist.

Bezüglich dem Vertragsteil da, frag doch mal dein Hoster, ob er dein Vertrag nicht vorzeitig auf managed umsetzen kann?
 
Last edited by a moderator:
Franticfreak said:
Bei den firewall einstellungen habe ich auch alles was mit mail zu tun hat blockiert, hoffe das dies auch richtig war.
Click to expand...
Nein, das ist nicht richtig!
Weil du eine Regel hat, die sämtlichen eingehenden Traffic erlaubt!

Außerdem Zugriffe auf folgende Ports verbieten:
FTP, MySQL, Postgres, Samba, Tomcat.

Kein Wunder, das die Kiste auf eine Backlist geraten ist!
 
was wäre den jetzt besser? den server wieder starten und alles verbieten(FTP, MySQL, Postgres, Samba, Tomcat.) oder einfach nicht mehr hochfahren?
 
Hallo!
Wenn du dich nicht mit der Thematik beschäftigen möchtest, lass den Server runtergefahren.

mfG
Thorsten
 
Naja was heisst nicht damit beschäftigen wollen, es ist nur so, das ich schon viele leute gefragt habe was nun zu tuen ist, bei 1&1 wenn ich anrufe auch.
Und jedesmal verstehe ich nur chinesisch..und ich denke mal einfach, das das jetzt hier nicht das einzige problem bleiben wird, vertrag läuft noch bis ende 2008....
 
Last edited by a moderator:
Es gibt Rootserver da kümmerst du dich um die Sicherheit und hast dafür allen Zugriff (SSH).

Und es gibt Managed Rootserver, kosten mehr, weniger zugriff, aber dafür kümmert sich 1&1 um die Sicherheit und stellt dir lediglich den Zugang zum Plesk frei (kein SSH).

Vermutlich ändert sich für dich nix! Denke nicht das du schon mal dich auf der Shell beweget hast.

Wenn da ein Irrtum bei mir vorliegt Bitte ich diesen zu korriegieren!

Gruß
Daniel
 
Einträge gehen so schnell nicht wieder weg.
Trink nen Kaffee oder Tee. Auch wenn du dich Aktiv bemühst gehts meistens nicht schneller. Nach ein bis zwei Monaten kommt man da schon wieder raus.

Viel wichtiger ist es den Spam abzustellen! Da sonst irgend wann der böße mann von 1&1 kommt und dir den Vertrag kündigt oder Geld sehen will.

Naja. Meld dich mal im ICQ morgen im laufe des tages, brauchst da bissen rundumschlag glaube ich.

Wichtig ist einfach nur:
Maßnahme 1 : Mailserver stoppen,
2. Maillogs überprüfen
3. Das betreffende Script bzw. die Lücke finden.
Click to expand...

Gruß
Daniel
 
You must log in or register to reply here.
Back
Top