Neuer VServer versendet über E-Mails SPAM

[ah-tonius]

Hallo

Ich habe meine beiden VServer auf einen VServer bei 1blu zusammen gefasst.
Die Anwendungen wurden mit Migrations- & Transfer-Manager rüber geholt.

Dann wollten die E-Mails nicht funktionieren, bis ich bemerkt habe, dass die über einen Mailserver von 1blu laufen. Da habe ich dann die E-Mails eingerichtet, weil etwa schon 3 Tage E-Mails nicht zustellbar waren.

Gestern bekam ich morgends etwa 100 Rückläufer von Server, wo die E-Mail falsch war oder einer meldete, dass er leider zur Zeit nicht antworten....

Da ich auch den maillog nicht fand (habe ich erst heute) konnte ich mir nicht erklären woher die Versender an meine Daten/E-Mails kamen oder die verwenden konnten.

Heute ist die Datei dann noch größer geworden bis ich dann den Mailserver angehalten habe. Seitdem passiert nichts mehr.

27 14:52:21 v45638 qmail-queue-handlers[29388]: handlers_stderr: SKIP
Mar 27 14:52:21 v45638 qmail-queue-handlers[29388]: SKIP during call 'check-quota' handler
Mar 27 14:52:21 v45638 qmail-queue-handlers[29388]: starter: submitter[29403] exited normally
Mar 27 14:52:21 v45638 qmail: 1364392341.114621 new msg 105688350
Mar 27 14:52:21 v45638 qmail: 1364392341.114688 info msg 105688350: bytes 5502 from <letter@naturbox24.de> qp 29403 uid 2020
Mar 27 14:52:21 v45638 smtp_auth: SMTP connect from localhost [113.167.111.100]
Mar 27 14:52:21 v45638 smtp_auth: SMTP user nl@kuldiga.de : logged in from localhost [113.167.111.100]
Mar 27 14:52:21 v45638 qmail-queue-handlers[29406]: Handlers Filter before-queue for qmail started ...
Mar 27 14:52:21 v45638 qmail-queue-handlers[29406]: from=goods@baltic-things.eu
Mar 27 14:52:21 v45638 qmail-queue-handlers[29406]: to=neojersey_00@yahoo.com
Mar 27 14:52:21 v45638 qmail-queue-handlers[29406]: to=onorbatt@yahoo.com
Mar 27 14:52:21 v45638 qmail-queue-handlers[29406]: to=sagittarius_lady24@yahoo.com
Mar 27 14:52:21 v45638 qmail-queue-handlers[29406]: to=babygurl12207@yahoo.com

So sieht das dann massig in der maillog aus. Mails gehen in alle Welt, auch nach Deutschland.

Ich will jetzt zusehen, wie ich das repariere. Was mir 1blu für einen Server hin gesetzt hat, verstehe ich nicht. Die machen aber nichts vom Service aus.

Ich habe 'BS CentOS 6.4 (Final) und Plesk 11.0.9 Update #43

Ich habe hier was von Firerwall mit "mod_owner" in der firerwall blockieren gelesen.

Wo haben die Leute von 1blu wohl was falsch eingestellt?

Ich will die E-Mails von Plesk erhalten, um nach und nach wieder auf Plesk zu wechseln.

Antonius

 

[JaEgErmEistEr]

Wo haben die Leute von 1blu wohl was falsch eingestellt?

1blu stellt gar nix ein. Du haftest für den Server und bist für die Sicherheit verantwortlich.
Ich gehe von einem Open Relay aus, was du hier prüfen kannst: http://www.mailradar.com/openrelay/

Du musst dann natürlich schnellstmöglich Gegenmaßnahmen treffen.

 

[ah-tonius]

Hallo

Die von 1blu sind reichtlich rücksichtslos und gleichgültig, ist mein ersten Eindruck.
Hatte bereits 50 Minuten Serverausfall, 2 Stunden keine Zugang zu Mails u.a.

Den Openrellay hatte ich schon bestanden, so schlimm ist es nicht.

Eigentlich wollte ich herausbekommen, warum meine Shops keine E-Mails versenden.
Dann kam mir das dazwischen.

Antonius

 

[JaEgErmEistEr]

Dann wird höchstwahrscheinlich ein Skript (zum Beispiel PHP) Schuld daran sein. Oder du bist gehackt worden.

 

[ah-tonius]

Hallo

Und wie kann ich das heraus bekommen?

Gehackt wahrscheinlich nicht, sonst gingen die Emails weiter und/oder Plesk und WINScp hätten mir gemeldet, dass ich schon online bin.

Antonius

 

[Marentis]

Ein "Black-Hat" arbeitet mit der Shell und nicht mit klicki-bunti-Webinterfaces. Von daher kann Plesk Dir nicht melden, dass Du schon eingeloggt wärst, weil ein potentieller Angreifer sich dort gar nicht einloggt.
Stichwort: Shell.

 

[ah-tonius]

Hallo

Ich gehe nicht davon aus, dass die das Passwort "erraten" haben.

Daher meine Frage, ist es möglich von meinem Server aus Emails zu verschicken ohne Zugang zu haben "nur" eine offene Lücke zu nutzen, die geschlossen werden kann?

Antonius

 

[Joe User]

Mar 27 14:52:21 v45638 smtp_auth: SMTP connect from localhost [113.167.111.100]
Mar 27 14:52:21 v45638 smtp_auth: SMTP user nl@kuldiga.de : logged in from localhost [113.167.111.100]

localhost = Dein Server

Entweder Dein(e) User sind berechtigt diese Mails zu versenden, oder mindestens eine Deiner Website wurde gehackt.

 

[ah-tonius]

Hallo

Bin doch gehackt worden.

Ich kann das Plesk Passwort nicht ändern.

Gruß antonius

 

[ah-tonius]

Hallo

Weiß nicht mehr.
Habe das root - passwort geändert, das gilt auch bei Plesk.
Ist das normal, dann bin ich doch nicht gehackt.

Von Plesk aus kann man das Passwort nicht mehr ändern? Oder ist das nur bei 1blu so?

Antonius

 

[bjo]

localhost = Dein Server

Entweder Dein(e) User sind berechtigt diese Mails zu versenden, oder mindestens eine Deiner Website wurde gehackt.

Lies bitte, was da steht:

Mar 27 14:52:21 v45638 smtp_auth: SMTP connect from localhost [113.167.111.100]

Die IP ist in Vietnam und nicht seine Server-IP oder gar 127.0.0.1.

 

[ah-tonius]

Hallo

Für mich ist doch die Frage, wie geht ich jetzt da mit um.
Ich habe den Webserver ausgestellt, damit wird erst mal keine E-Mail verschickt.
Zudem habe ich alle E-Mails unter Plesk deaktiviert.

Finde ich jetzt den User?

Versand wurde von verschiedenen Domains, also ist nicht eine Domain gehackt sondern der Server.

Ich könnte mit 1blu reden und die mir einen anderen Server zur Verfügung stellen. Nur wie ziehe ich dann um. Ich mache gerade ein Backup, doch da ist der Hacker wahrscheinlich mit drin oder nicht?

Oder finde ich den Hack und kann ich den Beseitigen?

Das Passwort von Plesk und SSH ist bei 1blu erst gleich, kann später aber getrennt geändert werden. Der Mensch von der Hotline konnte mir das aber nicht bestätigen.

Gruß Antonius

 

[PapaBaer]

Bitte bitte bitte bitte besorge dir Webspace und mach da weiter. Ich bin ja viel gewohnt von so manchen Leuten hier, aber du hast ja noch viel weniger als gar keine Ahnung von Servern. Du haftest für alles, was auf deinem Server passiert und bist nicht im geringsten in der Lage, auch nur im Ansatz einen Server zu administrieren! Warum hast du dann einen? Ein Shop läuft auch auf Webspace. Das ist billiger und du brauchst dich nicht um die Sicherheit zu kümmern.

Und NEIN: Plesk ist NICHT die Administration deines Servers und wird schon gar nicht von 1blu für dich betrieben.

 

[Perry_Rhodan]

Hole Dir professionelle Hilfe und lass das von jemanden erledigen, der weiß was er tut.

Du scheinst keine /zuwenig Kenntnisse zu besitzen.

Einen 2. Server anzumieten um dort den gleichen Schiffbruch zu erleiden ist völlig unproduktiv.

 

[ah-tonius]

Hallo

Aber irgendwo kann ja was nicht stimmen.

Ich habe 3 Jahre oder waren es 4 Jahre einen und dann einen zweiten V-Server gehabt. Da habe ich keine Probleme gehabt.
10 Webspaces sind etwas zu viel für mich. Ich habe auf den VServer zur Zeit 16 Domains, von denen einige leer sind und etwa 10 Joomla oder/und Shops oder andere Lösungen haben.

Bei einem zweiten, hätte ich als erstes ein anderes Linux Betriebssystem.

Antonius

 

[bjo]

Und die Joomlas wahrscheinlich nie geupdated?

 

[PapaBaer]

Ich habe 3 Jahre oder waren es 4 Jahre einen und dann einen zweiten V-Server gehabt.

Wenn er nicht weiß was eine Shell ist, hat er wahrscheinlich überhaupt nie irgend etwas geupdatet.

 

[ah-tonius]

Hallo

Einen ja, die ist aber jetzt woanders. Der ist auf 3.x
Die anderen sind noch auf 1.5.23

Habe ich geschrieben das ich keine Shell kenne?

Die Shops sind jetzt bis auf 2, einer ist aber in Vorbereitung zu Modified Shop
Bei Joomla überlege ich wie sinnvoll diese Updatesprünge sind und denke ich werde andere Lösungen finden.

Ich kenne mich mehr mit php und MySQL aus.

Antonius

 

[Thunderbyte]

Die anderen sind noch auf 1.5.23

ERNSTHAFT!? Das ist vom 4. April 2011!!! Also bald 2 Jahre alt!! Bist Du wahnsinnig?

Ich habe 3 Jahre oder waren es 4 Jahre einen und dann einen zweiten V-Server gehabt. Da habe ich keine Probleme gehabt.

Dann hast Du schlicht GLÜCK gehabt. Bei schlechtem Kenntnisstand ist aber nicht die Frage ob ein Server gehackt wird, sondern wann. Und nicht mal das wirst Du mit völliger Sicherheit wissen. Woher weißt Du denn, ob der Hacker nicht schon monate/jahrelang im Verborgenen arbeitet?

10 Webspaces sind etwas zu viel für mich. Ich habe auf den VServer zur Zeit 16 Domains, von denen einige leer sind und etwa 10 Joomla oder/und Shops oder andere Lösungen haben.

Wovon redest Du? Es ist bei EINEM vernünftigen und ausreichend dimensionierten Webspacepaket kein Problem auch Dutzende Websites und Dutzende von Domains zu handhaben. Ich bin z.B. bei http://www.servage.de/ . Da ist Speicher, etc. unlimitiert, die Administration auch für Laien wie Dich einfach und um die Sicherheit kümmert sich der Provider. Wenn Du allerdings Deine CMS Systeme nicht updatest, dann wirst Du IMMER und ÜBERALL ein Problem haben.


Der Provider hat bei einem Rootserver nur den Betrieb aufrecht zu erhalten. Alles was darauf läuft ist Sache des Kunden. Wenn Du hier etwas anderes willst, musst Du einen Managed Server nehmen.

 

[Joe User]

Lies bitte, was da steht:


Die IP ist in Vietnam und nicht seine Server-IP oder gar 127.0.0.1.

Ändert Nichts daran, dass der/die Spammer per SMTP-AUTH ganz legitim Spam verschicken und der Serverbetreiber somit die rechtlichen Konsequenzen zu tragen hat. Insbesondere, da er die Kiste noch immer nicht abgesichert hat und stattdessen lieber darüber philosophiert, warum sein(e) Server nicht schon früher zu(r) Spamschleuder wurde und dies ja ausschliesslich mit seinem neuen Anbieter und/oder Pest^WPlesk zu tun haben könne. Ist ja auch logisch, selbst kaum bis gar keine Ahnung von der Materie zu haben, impliziert schliesslich, dass ausschliesslich Andere Schuld am unerwünschten Verhalten des Servers haben müssen...

Sorry, soviel Ignoranz verdient harte direkte Worte, anders kommt man da erfahrungsgemäss nicht weiter.


/me geht wieder Arbeiten, bevor er richtig unfreundlich wird.