Ich habe Schadware versendet?

[L3uX]

Hallo liebe User,

Ich hab soebend von meinem Anbieter gesagt bekommen das ich Schadware an E-Mails versendet habe mit meinem Virtuellen Server.
Auf meinem Server ist ein Windows System installier.
Persönlich wüsste ich wirklich nicht das ich je E-Mails mit meinem Server versand hab. Ich hab keine Viren auf meinen System soweit ich weiß und auch nichts böses getan.


Jedoch wurde anscheinend die IP des Server angegeben auf dem mein vServer liegt.


Wie soll ich mich nun verhalten?
Der Server wurde abgeschaltet.

 

[nexus]

Hmm...wenn dein Anbieter die Kiste schon abgeschaltet hat, dann kannst du relativ sicher davon ausgehen, daß der Server tatsächlich Schadsoftware im Netz verteilt hat...ob du das jetzt selber warst oder ob deine Kiste gekapert und für den Versand mißbraucht wurde, ist da eher zweitrangig.

Wie soll ich mich nun verhalten?

Wie gut schätzt du selber deine Kenntnisse bezüglich der Serveradministration ein?
Traust du dir zu, dein System auf den potentiellen Einbruch und die daraus resultierende Kompromittierung zu untersuchen?

 

[chris085]

Kiste frisch installieren.,. und gut is

 

[nexus]

Kiste frisch installieren.,. und gut is

Na ob das immer so ein guter Ratschlag ist

Wenn er die Lücke nicht kennt, bringt ihm eine Neuinstallation garnix, wenn er dann wieder dieselbe Lücke drin hat, weil er z.B. dieselbe veraltete Webapplikation aus einer Sicherung einspielt, die für die Lücke verantwortlich ist.

 

[chris085]

Na ob das immer so ein guter Ratschlag ist

Wenn er die Lücke nicht kennt, bringt ihm eine Neuinstallation garnix, wenn er dann wieder dieselbe Lücke drin hat, weil er z.B. dieselbe veraltete Webapplikation aus einer Sicherung einspielt, die für die Lücke verantwortlich ist.

Nunja, es wurde ja nicht explizit gesagt dass es sich um einen Webdienst etc. handelt. Ich bin aufgrund des ersten Posts von einem Desktop inform eines Vservers ausgegangen.

 

[Jesaja]

Für ne ordentliche forensische Analyse reicht das Fachwissen bestimmt nicht aus - traue ich mir und den meisten anderen hier aber auch nicht zu.

Also mehr über Server und Sicherheit informieren, Konzept erstellen und neu aufsetzen.
Dabei ist wichtig, dass die Software danach aktuell und sicher konfiguriert ist.
Wenn der Server danach wirklich nochmal auffällt, ist es ein Fall für den Speziallisten (oder, wenn der zu teuer ist, evtl für ein neues Hobby).

 

[PHP-Friends]

Auch, wenn das Ganze vermutlich schon erledigt ist: Der TE spricht von E-Mails. Dazu muss es doch eine SMTP-ID in der Abuse-Message geben, anhand derer die Ursache identifiziert werden können sollte. In einem solchen Fall würde ich nun nicht unbedingt von einem komplett kompromittierten Server ausgehen - da reicht schon eine veraltete Webapplikation.