Einbruch in Server?

[bjoernfal]

Hallo,

nach einer großen Mailqueue vor ein paar Tagen (> 35.000) ist mir in den Logfiles folgendes aufgefallen (Plesk 7.5.1, Suse 9.3, Strato):

(eine Zeile als Beispiel aus messages, diese traten gehäuft auf)

Sep  2 00:17:00 h695626 sshd[16957]: reverse mapping checking getaddrinfo for d6-161-rt-bras.def.centurytel.net failed - POSSIBLE BREAKIN ATTEMPT!

Sep  2 01:03:46 h695626 qmail: 1157151826.015951 warning: trouble opening remote/7/14039897; will try again later

Sep  2 05:09:01 h695626 sshd[30965]: Invalid user virginia from ::ffff:218.189.203.19
Sep  2 05:09:03 h695626 sshd[30968]: Invalid user vivian from ::ffff:218.189.203.19
Sep  2 05:09:06 h695626 sshd[30972]: Invalid user vivianne from ::ffff:218.189.203.19
Sep  2 05:09:09 h695626 sshd[30974]: Invalid user vlad from ::ffff:218.189.203.19

Neue Situation für mich - was kann ich tun? Ich vermute, dass das mit dem Spam zu tun hat.


viele grüße,
bjoern

 

[Centro]

Hab zwar kein qmail aber meldungen wie die im Untersten Codefenster hatt jeder von uns täglich ellen lang!

Das is ne Bruteforceattacke! Was das mit deinem QMail zu tun hat darf ein anderer erklären....
denn jeder darf mal!

 

[Deathangel]

mir wurde damals gesagt, das bedeutet nichts weiteres, als das jemand versucht sich mit diesen namen, in die shell ein zu loggen.

 

[marneus]

Zuerst einmal: Keine Angst, alles in Butter!

Dennoch wuerde ich Dir empfehlen, die Basics in Sachen Serversicherheit durchzuarbeiten - Port verlegen, kein root login, evtl. key-auth, denyhosts, logwatch etc.etc.etc. (die Liste kann lang werden!) Damit bist Du diese ganzen nervigen Bruteforceattacken los! Wenn dann Invalid User / Bruteforceattacken in Deinem von logwatch nett gestaltetem Bericht auftauchen weisst Du, aha, da gibt sich schon mal jemand etwas mehr Muehe!

Der qmail Fehler hat mit den Bruteforce Attacken nichts zu tun. Da lag ein anderes Problem vor. Google hilft evtl. - ansonsten neues Topic aufmachen in Mailserver.

 

[HornOx]

Schau mal nach wer den Spam in die Mailqueue eingeliefert hat, wenn es Apache war ist vermutlich ein unsicheres php bzw cgi Skript Schuld.

Zuerst einmal: Keine Angst, alles in Butter!

Bei > 35.000 Mails im Mailqueue!?

 

[marneus]

Oh, da hab ich glatt was überlesen! Mea Culpa! Danke für den Hinweis Hornox!

 

[bjoernfal]

Schau mal nach wer den Spam in die Mailqueue eingeliefert hat, wenn es Apache war ist vermutlich ein unsicheres php bzw cgi Skript Schuld.

Vielen Dank erstmal für die Hilfe! Bevor ich mich jetzt doof suche - kann mir jemand sagen, in welcher Logdatei ich sehen kann, ob Apache die Dateien gesendet hat?

Ich lerne derzeit täglich, den Webserver zu administrieren, irgendwie muss man ja anfangen

 

[bjoernfal]

OK, ich hab mich doof gesucht Aber nichts gefunden.

Die mail.info liefert nur sowas:

Sep  5 11:37:15 h695626 qmail-queue: dwlib[29210]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
Sep  5 11:37:15 h695626 qmail-queue: dwlib[29210]: scan: the message(drweb.tmp.psssak) sent by anonymous@h695626.serverkompetenz.net to techmarine@arcor.de should be passed without checks, because contains uncheckable addresses
Sep  5 11:37:15 h695626 qmail: 1157449035.618649 delivery 21241: success: 65.54.244.72_accepted_message./Remote_host_said:_250__<20060905093713.29168.qmail@h695626.serverkompetenz.net>_Queued_mail_for_delivery/
Sep  5 11:37:15 h695626 qmail: 1157449035.618694 status: local 0/10 remote 6/20
Sep  5 11:37:15 h695626 qmail: 1157449035.618709 end msg 134485
Sep  5 11:37:15 h695626 qmail: 1157449035.622001 delivery 21211: success: 64.12.138.57_accepted_message./Remote_host_said:_250_OK/
Sep  5 11:37:15 h695626 qmail: 1157449035.622022 status: local 0/10 remote 5/20
Sep  5 11:37:15 h695626 qmail: 1157449035.622051 end msg 134471
Sep  5 11:37:15 h695626 qmail: 1157449035.653527 delivery 21249: success: 217.72.192.149_accepted_message./Remote_host_said:_250_OK_id=1GKXMp-0003WH-00/
Sep  5 11:37:15 h695626 qmail: 1157449035.653563 status: local 0/10 remote 4/20
Sep  5 11:37:15 h695626 qmail: 1157449035.653578 end msg 134488
Sep  5 11:37:15 h695626 qmail: 1157449035.706049 new msg 134478
Sep  5 11:37:15 h695626 qmail: 1157449035.706071 info msg 134478: bytes 1074 from <anonymous@h695626.serverkompetenz.net> qp 29211 uid 30

Die Mailnummer hilft mir natürlich nicht weiter. Ich benötige Info, von wo die Mail in die Mailqueue gekommen ist (von einem User per SMTP, vielleicht sogar per Telnet oder war es Apache?). Allerdings finde ich keine Logeinträge in welchen Logdateien auch immer (xinetd.log, mail.warn, mail.info, alles was in /var/logs/ so rumfleucht).

Strato kann mir da nicht helfen - was macht man also in so einem Fall? Jaja, keinen Root-Server zulegen Aber man kann ja nicht alles wissen und lernen muss man ja irgendwomit.

 

[dcdead]

und lernen muss man ja irgendwomit.

Ja, aber bitte mit nem alten Rechner daheim, oder VmWare etc. und nicht einem Server der mit 100 MBit/s Spams oder DOS-Attacken raushauen kann

 

[marneus]

Am einfachsten waere es, dass access_log zu befragen. /var/log/apache2/access_log

 

[orth-it.de]

Wahrscheinlich nimmt ein Kontaktformular POST Befehle entgegen und arbeitet ohne Prüfung. Stoppe dein QMail sofort und lösche die Queue. Dann behebe die Ursache und erst dann starte QMail wieder. Solltest du selbst dazu nicht in der Lage sein, lass es von fachkundigen Personen machen oder schalte den Server ab.

 

[bjoernfal]

Ja, aber bitte mit nem alten Rechner daheim, oder VmWare etc. und nicht einem Server der mit 100 MBit/s Spams oder DOS-Attacken raushauen kann

Na dann erzähle ich mal kurz meine Lebensgeschichte Tatsächlich war ich mir der Gefahr bewusst und habe so viel ich konnte am eigenen Server zuhause ausprobiert. Irgendwann habe ich mir dann einen Root-Server zugelegt, den Schritt muss man ja gehen, wenn man denkt, man kann es. Dann habe ich eine Seite entwickelt, die läuft sehr erfolgreich und somit kamen erst die Probleme, denn diese hohen Zugriffszahlen / Attacken auf den Server hat man zuhause nicht.

Wahrscheinlich nimmt ein Kontaktformular POST Befehle entgegen und arbeitet ohne Prüfung. Stoppe dein QMail sofort und lösche die Queue. Dann behebe die Ursache und erst dann starte QMail wieder. Solltest du selbst dazu nicht in der Lage sein, lass es von fachkundigen Personen machen oder schalte den Server ab.

Jetzt steh ich da. Ich lerne jeden Tag was neues über Sicherheit hinzu und ich denke es ist auch kein Fauxpax, dass es mal einen Eindringling gibt. Den Fehler muss man nur schnell finden. Dummerweise finde ich ihn nicht! Die Spammails traten zum ersten Mal (soweit ich das weiß) Anfang September auf - bis dahin lief 9 Monate alles wunderbar. Ich habe alle Logs durchforstet (speziell von qmail), aber entweder bin ich zu doof oder zu blind, das Logfile zu finden, dass mir sagt, WANN welche Mail an WEN von WEM geschickt wurde.

Zum Thema Sicherheit auf Webseiten-Ebene: Mir ist bewusst, dass man keine offenen POST eMail-Skripte liegen haben darf. All meine Formulare werden mit der PHP-Funktion "mail()" verschickt, deren erster Parameter der Empfänger ist. Und der ist immer vorgegeben und hängt nicht von einer POST-Variable ab. Wenn ein Angreifer also durch das Feld Betreff oder Nachricht einen Code injecten kann, bin ich darüber noch nicht informiert.

Langer Rede, kurzer Sinn: Gerne hätte ich jemanden, der mich berät. Doch woher nehmen? Strato blockt sofort ab, dieses Forum ist also eine meiner Hoffnungen. Vielleicht erklärt sich ein Profi bereit, meinen Server zu durchforsten und auch im Hinblick auf weitere Projekte die Sicherheit zu gewährleisten. Das Ganze natürlich gegen Bezahlung, denn ich habe mich seit Januar selbständig gemacht und es ist natürlich nun dringend an der Zeit, dass da jemand ran kommt, der mehr Erfahrung hat, als ich vorweisen kann (im Bereich Linux-Administration).

Würde mich also riesig freuen, wenn mir jemand helfen kann!