Ist das eine DDOS-Attacke?

[sportY]

Guten Tag,

seit einigen Stunden ist meine Logfile, die ich mir stündlich via Logcheck von meinem vServer zusenden lasse ziemlich riesig, des Weiteren gab es mehrere Ausfälle des E-Mail-Servers und Plesk. Ich habe dauernd diese Zeilen hier unteranderem im Log:

Feb 23 09:02:31 MEINSERVER postfix/error[15964]: A53D576E00D8: to=<tbmb612@aol.com>, relay=none, delay=63192, delays=63191/0.54/0/0, dsn=4.7.1, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.190.1] refused to talk to me: 421 4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html)

Was ist das? Diese E-Mailadresse kenne ich nicht. Der Log ist voll davon mit unterschiedlichen Mailadressen. Das sind trausende Zeilen.

Oder wurde der Sever gehackt und wird missbraucht um Spams zu senden? Irgendwie bin ich gerade etwas aufgebracht, daher können die Fragen etwas doof klingen...

Manchmal ist auch sowas dabei:

Feb 23 09:25:19 MEINSERVER before-remote[17676]: check handlers for addr: pierrannie@aol.com
Feb 23 09:25:19 MEINSERVER before-remote[17680]: check handlers for addr: www-data@MEINSERVER.vserver.de

Grüße,
SportY

 

[Terrorkarotte]

Die Logs sagen aus, das AOL deine Mails nicht annehmen will. Warum genau, kann man aus der Zeile nicht herauslesen.

Mal ins Blaue geraten, würde ich sagen, dass zumindest ein PHP Script gekapert wurde, um Spam zu versenden.

Was wird denn als Absender angegeben? Auch die UID vom Absender wäre sehr interessant, um den Ursprung der Mail eingrenzen zu können:

Die Zeile dazu sieht ca. so aus:

Feb 20 05:16:58 meinhostname postfix/pickup[14022]: C05011097C: uid=1000 from=<mail@mail.tld>

 

[sportY]

In meiner unruhigen Art habe ich gerade alle Daten gesichert und ein Anbieterseitiges BackUp eingespielt, zu welchem Zeitpunkt das Problem AUGENSCHEINLICH noch nicht bestand. Ich habe gerade auch im syslog nachgesehen, keine spammails werden nun versendet.

Der Server wird als Webserver für Websites und den E-Mail-Verkehr genutzt. Mail-Scripte liegen nur wenige auf ihm. Die Frage ist jetzt natürlich, wenn das ganze wieder passiert, dann besteht die Sicherheitslücke weiterhin.

Kann es auch sein, dass die php.ini besser konfiguriert werden muss? Oder die Postfix-Config?

In den Logs fand ich auch leider keine Zeile mit dem Inhalt den du gepostet hast.

Wie ich gerade gesehen habe, lagen 4 dubiose PHP-Scripte auf einmal im httpdocs-Verzeichnis von 3 Kunden mit Kontaktformular. Und die sehen verdammt nochmal nach Spamscripte aus! Wie kommen die bitte dahin??

 

[sportY]

Ich frage mich nur, was ich nun dagegen machen kann?

Seid ihr also überzeugt, dass jemand aktiv ins System eingedrungen ist und nicht nur einfach ein Script gekapert wurde?

 

[sportY]

Ich hab jetzt mal alle Kontaktformular-Scripte vom Server geschmissen. Mal sehen ob das wieder passiert. Ich komme mir irgendwie etwas "stümperhaft" vor. Vielleicht hat einer noch ein paar hilfreiche Info´s für mich.

 

[dev]

Seid ihr also überzeugt, dass jemand aktiv ins System eingedrungen ist und nicht nur einfach ein Script gekapert wurde?

Davon ist bis zum Beweis des Gegenteils auszugehen.

Ich frage mich nur, was ich nun dagegen machen kann?

Du bist der Admin und damit verantwortlich für den Rechner…

Ich hab jetzt mal alle Kontaktformular-Scripte vom Server geschmissen. Mal sehen ob das wieder passiert.

Und was ist, wenn auf der Büchse schon lange ein Rootkit läuft?

Was ist überhaupt für ein OS installiert?

 

[sportY]

Das wäre nicht gut. Aber ich bin nicht so erfahren, als dass ich wüsste was ich jetzt genau zu tun habe. Daher suche ich hier Hilfe.

Auf dem Sever läuft Debian Etch.

Wie würde ich ein Rootkit ausfindig machen und es entfernen und die dazugehörige Sicherheitslücke schließen?

 

[dev]

Ähem, Du hast Dir selbst ein Rootkit installiert. Ist Debian Etch nicht 100 Jahre alt? Es gibt keinerlei Aktualisierungen mehr seit Februar 2010!

Du solltest den Rechner fix runterfahren.

 

[sportY]

Entschuldige, meinte Debian lenny. Also 5! Etch war vorher drauf, dann habe ich ein upgrade durchgeführt.

Ändert das die Situation?

 

[dev]

Nicht wesentlich. Solange keiner weiss, was wirklich passiert ist bzw. wie die fremden Dateien auf den Rechner gelangt sind, ist davon auszugehen, dass Du keine Kontrolle mehr über die Maschine hast.

Herauszubekommen, was wirklich geschehen ist, ist Sisyphusarbeit und weder aus der Ferne noch mit Deinen Kenntnissen zu leisten.

Das Einzige, was Du machen kannst, ist dass Überprüfen aller installierter PHP Skripte auf Version/Sicherheitslücken. Anschliessend muss alles aktualisiert werden.

Das Upgraden der Skripte würde ich offline auf einer Entwicklungsmaschine machen, den vServer davon unabhängig neu installieren & konfigurieren.

Diese aktualisierten vHoste können dann auf dieser sauberen Neuinstallation wieder online gebracht werden.

 

[sportY]

hm, das hört sich ja nicht so witzig an. dann muss ich also einen restore durchführen um ganz sicher zu gehen und am besten auf debian 6? wie ich gesehen habe ist das nun beim Restore freigeschaltet.

gibt es keine tools die ich verwenden könnte? passiert sowas oft oder bin ich Opfer meiner eigenen schlechten Konfiguration? Habe alle PHP-Scripte von den Formularen entfernt und die links dazu ebenfalls.

 

[dev]

Das ist auch nicht witzig. Es hört spätestens dann auf, wenn Dir die ersten Briefe mit kostenpflichtigen Unterlassungserklärungen oder anderes Zeug ins Haus flattern.

Ich sehe gerade, dass Lenny seit Anfang Februar ebenfalls end of life ist, also rutner damit.

Ja, es gibt ein paar Tools, allerdings halte ich diese in Deinem Fall für kontraproduktiv, da sie Dir falsche Sicherheit vorgaukeln.

passiert sowas oft oder bin ich Opfer meiner eigenen schlechten Konfiguration?

Keine Ahnung wie Deine Konfiguration konkret aussieht: Was läuft da denn für PHP Software?

 

[sportY]

Ich nehme an, du meinst Plesk?

 

[dev]

Nein, ich meine die Userskripte. Also was für Webseiten da laufen, welches CMS haben die als Basis?

 

[sportY]

Da laufen normale Websites drauf ohne jegliche CMS. Eine Seite hat nur einen kleinen Adminbereich, in welchem man Newseinpflegen kann usw. Zu diesem gibt es keinen Link, man erreicht ihn nur durch Eingabe der Adresse i.d. Adresszeile. Der Adminbereich ist von mir.

2 Websites hatten bis vorhin ein Kontaktformular. Sonst wird PHP nur zur Ausgabe von News etc. verwendet.

 

[dev]

Umso besser: weniger Arbeit für Dich.

Wer hat die Kontaktformulare programmiert?

 

[sportY]

Auch ich. Nicht besonders gut, wie ich eingestehen muss.

Aber darüber kommen doch keine Dateien ins httpdocs-verzeichnis, oder?

 

[dev]

Wieso nicht? Eine offene Konfiguration des Environments und ab geht es. Aber das ist nur Nebelstocherei und ohne Code bzw. Konfigdetails nicht zu beantworten.

 

[sportY]

Hätte jemand, der den Server wirklich gehackt haette nicht noch ganz viele dumme Sachen angestellt?

Grüße,
SportY

 

[Joe User]

gibt es keine tools die ich verwenden könnte?

Es gibt hierfür nur ein einziges Tool: Brain 1.0

passiert sowas oft oder bin ich Opfer meiner eigenen schlechten Konfiguration?

Ja und ja.

Habe alle PHP-Scripte von den Formularen entfernt und die links dazu ebenfalls.

Das reicht nicht, da man Scripts auf dutzenden Wegen effektiv angreifen kann, nicht nur über Formulare.