Finde bösartiges Script, trotz Wrapper nicht

F

figali

New Member
Hallo,
mir wurde nun zum 2ten mal mein Server gesperrt, da dieser für Spamming missbraucht wird.
Ich habe bereits einen Sendmail-wrapper erstellt/installiert. Ich benutze postfix.

Mein problem, welches ich habe ist, wo/wie/wann erkenn ich wo/wie das Script, welches dafür verantwortlich ist?

Ich weiss nicht mehr weiter, hatte bereits die mail queue gelöscht (40 Messages deleted).

In der mail.info, stehen aber nochmal so um die 5000 Einträge. Nur weiss ich mit den Bezeichnungen usw, nichts anzufangen.

Hier eine Beispielzeile:

Jan 31 20:54:35 euve3410 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<charles>, method=PLAIN, rip=216.214.105.148, lip=62.75.163.236


Wenn was erklärt oder gebraucht wird, bitte nicht in Fachchinesisch :D, bin noch blutiger anfänger im Mailgewerbe :D

Vielen Dank
 
bin noch blutiger anfänger im Mailgewerbe
Click to expand...

Dafür mietet man sich keinen Root Server mit einer 100 Mbit anbindung im netz ;)

Mein problem, welches ich habe ist, wo/wie/wann erkenn ich wo/wie das Script, welches dafür verantwortlich ist?
Click to expand...

/var/log/mail.*
Da stehen alle Mail Ereignisse drinnen.

Bevor du hier weiter herumprobiest wäre es evlt ganz nützlich wenn du uns mal deine GESAMTEN mail logs nopastest ;)

http://nopaste.eisscholle.net/

Und...
Wenn was erklärt oder gebraucht wird, bitte nicht in Fachchinesisch
Click to expand...
Mit dem "Fachcinesisch" wirst du dich anfreunden müssen ;)

MFG;

Kranuz
 
Mein problem, welches ich habe ist, wo/wie/wann erkenn ich wo/wie das Script, welches dafür verantwortlich ist?
Click to expand...
Das oder zumindest der verantwortliche Benutzer (UID) sollte dein sendmail-wrapper liefern. Tut er das nicht dann such dir einen besseren.

Achtung: es ist gut moeglich dass der Spam gar nicht ueber Aufrufen der sendmail-Binary sondern direkte localhost SMTP-Verbindung mit deinem Postfix injiziert wird. Hier sollte die Log und wenigstens ein Header einer Spammail weiter helfen.
 
Wichtig bei der Analyse ist auch deine CMS (Joomla,Wordpress,etc) zu untersuchen auf Hackerangriffe.

Im "Normalfall" wird das CMS erfolgreich angegriffen und ein schadhaftes Sendmail PHP Skript abgelegt. Über dieses Skript wird dann der Spam versendet.

Ohne weitere Logfiles ist das ganze nur ein Ratespiel.
 
Zum 2.mal gesperrt? Dann hast du doch bereits eine Erklärung abgegeben, dass du deinen Server in den Griff bekommen hast. Hast du offensichtlich nicht. Das ist Vertragsbruch! Damit bist du für deinen Provider rechtlich gesehen auf der Abschussliste und jederzeit sofort kündbar.

Falls du auf deinem Server wichtige (Kunden-)Daten hast, würde ich mal schnell Notfallpläne schmieden.

Zur Sache: Laufen Webapps? Werden dafür immer alle Updates eingespielt? Ich tippe ganz klar auf eine Lücke in irgendeinem CMS, die nicht gefixt wird.
 
mein CMS ist PHP fusion in aktueller version..
ist aber nicht das problem, habe in der access.log vom apache2 die zeilen:

Anonymous regiert! drin.

500k mal hintereinander und untereinander.

desweiteren noch was anderes... bin grad net zu haus, kann also net schnell schauen.

Und zum 2ten mal gesperrt:

ja ich habe ie erklärung abgegeben, aber nur die erklärung, das ich den sendmail-wrapper, installiert/erstellt habe.

daraufhin, wurde dieser wieder freigegeben.

in der mail.log (leer) und in der mail.info, ist nix verdächtiges drin, hab das checken lassen
 
bin grad net zu haus, kann also net schnell schauen.
Click to expand...

GANZ schlecht, vorallem in solch einer Situation!

mein CMS ist PHP fusion in aktueller version..
ist aber nicht das problem
Click to expand...

Klar kann das CMS das problem sein... Das ist sogar MEIST das Problem :rolleyes:

ja ich habe ie erklärung abgegeben, aber nur die erklärung, das ich den sendmail-wrapper, installiert/erstellt habe.
Click to expand...

Evtl liest du das nächstemal das was du "unterschreibst" ;)

Meinen vorschlag uns deine kompletten logs zu geben hast du scheinbar ignoriert, oder?
 
figali said:
habe in der access.log vom apache2 die zeilen:

Anonymous regiert! drin.

500k mal hintereinander und untereinander.
Click to expand...

Und das macht Dir keine Sorgen?

Du verdienst nicht nur eine zweite und dritte Sperre Deines Anbieters, sondern rechtliche Konsequenzen...

Der ssendmail-Wrapper ist Dein geringstes Problem, denn mindestens eine Deiner WebApps ist kaputter als kaputt und gehört komplett entsorgt.
 
Bringt aber nur was, wenn nur PHP eingesetzt wird und keine andere Script-Sprache und das fehlerhafte Script auch Gebrauch von der mail()-Funktion macht. Ein sendmail-wrapper kann auch andere Script-Sprachen "kontrollieren" und erfaßt u.U. auch solche PHP-Scripte, die nicht die mail()-Funktion nutzen, sondern direkt das Sendmail-Binary aufrufen.
 
Auf den meisten Hosts ist's in der Regel nicht moeglich shell_exec() oder andere aehnlich PCNTL-Kommandos oder POSIX-Kommandos auf zu rufen.

Allerdings hält meist nichts ein PHP-Skript davon ab per telnet eine Verbindung auf localhost:25 zu machen und eine Email so ab zu liefern - meist ist das sogar als whitelisted konfiguriert....
Alternativ koennen die Skripte direkt an den remote Server auf Port25 verbinden und sich als Mailserver ausgeben - inklusive gefaelschten "Client" Header
 
Da stimme ich dir zu. Aber wenn die bösen Jungs ihre Scripte über Sicherheitslücken einschleusen, kann man sich das ja leider nicht aussuchen. Und dann hat man bei einem sendmail-Wrapper zumindest eine etwas höhere Chance, ein solches Script zu finden, als durch das Loggen der mail()-Funktion.
 
You must log in or register to reply here.
Back
Top