Hosting-Server versendet Spam-Mails

[gamanet]

Hi!

Ich bin beim googlen auf diese Seite gestoßen, weil hier bereits Probleme behandelt wurden die dem meinen ähnlich sind - aber eben nicht ganz das gleiche... Aufgrund personeller Änderungen habe ich seit kurzem das Vergnügen einen Hosting-Server zu betreuen auf dem Plesk (Version 7.5.4) läuft. Mir ist klar, dass Plesk selbst als auch viele weitere Pakete veraltet sind. Ein Update auf aktuellere Programmversionen traue ich mir bei meinem jetzigen Wissensstand nicht zu (zu vielfältig erscheinen mir die Probleme, die nach Updates auftreten können).

Folgende Situation:

Ich bekomme Mails mit folgendem Inhalt:

Hi. This is the qmail-send program at xxx.yyy.at.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<lodfweefgf@126.com>:
220.181.15.191 does not like recipient.
Remote host said: 550 User not found: [email]lodfweefgf@126.com[/email] Giving up on 220.181.15.191.

--- Below this line is a copy of the message.

Return-Path: <webmaster@spoe.at>
Received: (qmail 11061 invoked from network); 1 Jan 2011 22:43:38 +0100
Received: from host-static-93-116-209-123.moldtelecom.md (HELO glkliqiax36) (93.116.209.123)
  by xxx.xxx.xxx.xxx with SMTP; 1 Jan 2011 22:43:38 +0100
Date: Sun, 2 Jan 2011 05:43:32 +0800
From: "WLXXOM" <btuaq@spoe.at>
To: "lodfweefgf" <lodfweefgf@126.com>
Subject:
 =?GB2312?B?QS1aQbCi1P24tLnFw6vI3sWusPy080PM0tDEsqjKv7bZytbM4cOrw6uw/LD8?=
 =?GB2312?B?taW859Cxv+ew/DkxMzE2?=
Message-ID: <201101020543321408980@spoe.at>
X-Mailer: Foxmail 6, 10, 201, 20 [cn]
MIME-Version: 1.0
Content-Type: text/html;
	charset="GB2312"
Content-Transfer-Encoding: base64

PCFET0NUWVBFIGh0bWwgUFVCTElDICItLy9XM0MvL0RURCBYSFRNTCAxLjAgVHJhbnNpdGlvbmFs
Ly9FTiIgImh0dHA6Ly93d3cudzMub3JnL1RSL3hodG1sMS9EVEQveGh0bWwxLXRyYW5zaXRpb25h
bC5kdGQiPg0KPGh0bWwgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzE5OTkveGh0bWwiPg0KPGhl
YWQ+DQo8dGl0bGU+PC90aXRsZT4NCjxtZXRhIGh0dHAtZXF1aXY9IkNvbnRlbnQtVHlwZSIg

Ich vermute, dass irgendein Prozess Spam-Mails verschickt (die FROM-Adresse existiert nicht)...

In /var/log/messages finde ich folgende Zeilen:

Jan  4 14:33:22 hosting1 smtp_auth: SMTP connect from [email]unknown@75.126.179.48-static.reverse.softlayer.com[/email] [75.126.179.48]
Jan  4 14:33:22 hosting1 smtp_auth: smtp_auth: SMTP user webmaster : /var/qmail/mailnames/kommunalpolitik.at/webmaster logged in from [email]unknown@75.126.179.48-static.reverse.softlayer.com[/email] [75.126.179.48]
Jan  4 14:33:49 hosting1 smtp_auth: SMTP connect from [email]unknown@darkstar.fanaa.net[/email] [66.220.0.170]
Jan  4 14:33:49 hosting1 smtp_auth: smtp_auth: SMTP user webmaster : /var/qmail/mailnames/kommunalpolitik.at/webmaster logged in from [email]unknown@darkstar.fanaa.net[/email] [66.220.0.170]

Wenn ich mir die Queue anschaue erhalte ich folgendes:

/var/qmail/bin/qmail-qstat
messages in queue: 386
messages in queue but not yet preprocessed: 0

Wenn ich mir die Mail-Log-Files (aufgrund von Plesk verbogen nach /usr/local/psa/var/log/maillog) anschaue, finde ich zb eine Zeile

Jan  4 14:48:20 hosting1 qmail: 1294148900.780607 new msg 33195949

Wie kann ich rausfinden, welcher Prozess diese Nachricht generiert hat?

Ich bin recht neu und unerfahren im Bereich Linux & Hosting & Mail, daher bitte ich auf diesem Weg um Hilfe. Ratschläge à la "Alles neu installieren" und "System updaten um Lücken zu schließen" kann ich mich nur anschließen, aber diese Möglichkeiten habe ich im Moment nicht, daher würde ich mich sehr freuen über Ratschläge, wie ich dem aktuellen Problem Herr werden kann.

Liebe Grüße aus Wien,
Matthias

 

[PapaBaer]

Ratschläge à la "Alles neu installieren" und "System updaten um Lücken zu schließen" kann ich mich nur anschließen, aber diese Möglichkeiten habe ich im Moment nicht, daher würde ich mich sehr freuen über Ratschläge, wie ich dem aktuellen Problem Herr werden kann.

Sorry, aber das ist ein Widerspruch in sich selbst. Der Einzige Weg, der Probleme Herr zu werden ist, alle Sicherheitslücken zu schließen. Um alle Sicherheitslücken zu schließen, muss die Software mit Updates versorgt werden (dazu sind Updates ja da).

Ist der Server angegriffen und sind Daten verändert wurden, wirst du das Problem nur mit einer Neuinstallation los.

Andere Wege gibt es leider nicht. Bist du selbst dazu nicht in der Lage, dann wirst du einen Admin buchen müssen, der das für dich erledigt, immerhin sind Kundendaten betroffen.

 

[gamanet]

ist mir klar, aber

ich habe einfach nicht die Möglichkeit, den Server jetzt auf die Schnelle neu aufzusetzen - so wie du sagst sind Kunden zu informieren, Spezialisten anzuheuern, etc... das dauert alles ein wenig...

ich hatte die hoffnung, hier Informationen zu bekommen, wie ich das Problem temporär beseitigen kann (mit dem Wissen, dass die Lücke noch immer da ist), aber offensichtlich ist dies nicht möglich..

trotzdem danke

 

[wstuermer]

Änder erstmal die Passwörter der Mailkonten, insbesondere von webmaster@kommunalpolitik.at.

Ich gehe mal davon aus, dass du so verantwortungsvoll warst und den Mailserver ja bereits gestoppt hast, oder?

 

[gamanet]

Verantwortungsbewusstsein

nein, habe ich nicht abgedreht, da ich primär Verantwortung gegenüber unseren Kunden habe.

Nichts desto trotz verspüre ich natürlich auch etwas Verantwortung dem Rest der Welt gegenüber, deshalb ja meine Anfrage (und ja, ich weiß Updaten bzw. Neuinstallation ist die einzige Möglichkeit....).

Über kurz oder lang wird der Server sowieso abgedreht, aber dass kann ich nicht einfach von heute auf morgen machen, da die Sites vom alten auf einen neuen Server migriert werden müssen.

Der Tip, dass Passwort zu ändern, ist schon mal ein guter Ansatz... In meiner Panik und exzessiven Suche in Log-Files übersehe ich natürlich solch einfache Möglichkeiten... Herzlichen Dank hierfür!!!

 

[wstuermer]

Primär hast du Verantwortung gegenüber dir selber! Stichwort: Mitstörerhaftung. Du weißt von der Tatsache, dass der Server in deiner Obhut für illegale Aktivitäten verwendet wird.

 

[gamanet]

ja, ich weiß

der Server dürfte schon länger in diesem Zustand sein... ich habe die Baustelle übernommen und versuche nun, die aktuellen Probleme zu beseitigen und zukünftige Probleme zu vermeiden, in dem alle Sites auf einen neuen, aktuellen Server verschoben werden... aber wie gesagt, ich kann nicht von heute auf morgen alles abdrehen...

Ich gebe euch allen Recht: so sollte es nicht sein, Spam verschicken ist nicht nett, blabla... ich möchte jetzt aber auch nicht zuviel Zeit mit "was wäre wenn"-Diskussionen verbringen sondern aktiv an der Problembehebung (so weit es mir oben genannte Einschränkungen erlauben) arbeiten... deshalb mein Hilferuf in diesem Forum...

 

[PapaBaer]

Mach dir bitte klar, dass du kein Problem umgehen musst, sondern bereits ein enormes Problem hast. Das Kind ist schon in den Brunnen gefallen. Jetzt musst du angemessen reagieren, gerade weil du Verantwortung gegenüber deinen Kunden hast.

Den Mailserver laufen zu lassen, ermöglicht zwar, dass weiter Mails gesendet werden können. Du wirst aber in kürzester Zeit auf einer Blacklist landen, und dann nimmt kein Provider mehr Mails von dir an, mit der Begründung Spam. Dann wirst du deinen Kunden erklären dürfen, dass du trotz besserem Wissen nicht reagiert hast auf eine Sicherheitslücke. Aua!

P.S.: Wissentlich Spam zu versenden ist nicht nur nicht nett, sondern auch Straf- und Zivilrechtlich relevant. Du stehst gerade mit einem Bein vorm Kadi!

 

[gamanet]

Ich kann dir (euch) nur zustimmen... ändert aber nichts an der Tatsache dass dieses Kind schon länger im Brunnen liegt, der Server auch regelmäßig auf Blacklist steht und ich jetzt mit meinen beschränkten ressourcen und den genannten Einschränkungen was tun muss...

nichts desto trotz, danke nochmals für den naheliegenden Ratschlag das Passwort zu ändern (am-kopf-schlag-dass-nicht selber-drauf-gekommen)... unter umständen kann ich die kompromittierte site in Kürze umsiedeln, dann sollte das Problem gegessen sein