Plesk Server kompromittiert ? Spam über eine Domaine.

[floppyy]

Hi,

Ich habe schon vor Monaten im Spam-Ordner die ein oder andere " Undelivered Mail Returned to Sender " eMail bekommen ... .
Aber nun hab ich mal genauer hingeschaut und siehe da ich soll das gesendet haben und der Empfänger war leider für die wichtige Viagra-Discount-Anfrage leider nicht erreichbar.

Nun hab ich natürlich ein ungutes gefühl.

Die eMail's gehen i.d.R. immer so:

Received: from (fwd1p025.dc.ritsumei.ac.jp [172.26.1.25]) by dceps250.dc.ritsumei.ac.jp with smtp
id 659c_d5d3_8ad3e436_dbae_11e1_be3c_00219b8c4ba7;
Wed, 01 Aug 2012 16:57:30 +0900
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: Asz0ALLgGFBz8i2aPGdsb2JhbACCR4p5rRs
Subject: {spam} Huge discount!
X-Spam: Positive
X-SBRS: -4.0
Received: from unknown ([115.242.45.154])
by rundc025.ritsumei.ac.jp with SMTP; 01 Aug 2012 16:57:27 +0900
To: <mishio@fkc.ritsumei.ac.jp>
From: "Get.Vigara" <3D67098@XXXXXXX>
Date: Wed, 01 Aug 2012 13:27:22 +0530
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: IPS PHP Mailer
MIME-Version: 1.0
Content-type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-ID: <20120801132722.7C9B9D92EC24E6BD8C79@KARKAR>

Hot prices:

Vigara **
0.53$

Levtira **
1.53$

Cilais **
1.53$

Female Pack **
1.23$

Family Pack **
2.03$

Professional Pack **
3.23$

and more...

http://snbm.doctorbod.ru/

Der MX steht bei Google und wird durch Token etc. doppelt gesichert.
Die eMailadresse vor dem @ ist immer anders.

Der Betreff und der Inhalt variieren minimal.

Der Client

X-Mailer: IPS PHP Mailer

ist im Netz mit gleichen Spamnachrichten bekannt, aber das hilft mir nicht weiter.

Der Plesk Server ist 11.0.9, verdächtige Log's ( oder keine Log's ) konnte ich nicht finden.

Ein Fehler in einer der Kontakt PHP Form?
Kann ich in Moment nicht sagen, ich habe die Webseite via Plesk mal gesperrt ... . Mal sehn was passiert.

Ich hab den Server mal fast nen Tag ausgeschaltet = Keine Return Mails

Ich hab Plesk den befehl gegeben mal auf QMail umzusteigen und zack ändern sich die Headereinträge in dem Spam-Returnmails.

Bis jetzt scheint nur eine Domaine betroffen zu sein.
Diese Domaine ist aber komplett .htaccess via PW gesperrt und das seit Monaten. Das PW ist relativ lang und ich denke nicht das ein Spambot da nachschaut irgend wie rein zu kommen.

Ich gehe davon aus das ein Script unsauber geöffnet ist, ich kann jedoch nicht ausschließen das der gesamte Plesk-Server kompromittiert ist.
Es wäre super wenn jemand mir ein paar Tipp's geben kann.

Ach ja = SSH / Telnet etc. ist deaktiviert auf der Debian 6 Maschine.
Das ganze läuft über eine ESXi die ich natürlich immer upgrade/update.

 

[GwenDragon]

Wieso kompromittiert? Das ist nicht so.
Es sei denn dein Mailserver hat die IPs, die bei received: from gelistet sind.

Da sendet jemand mit den MAIL FROM: und From-Header einer zusammengestückelte Mailadresse deiner Domain an andere Server.

Jeder kann mit jeder Mailadresse Mails an jeden SMTP-Server ausliefern.

 

[GwenDragon]

Dein Mailserver steht in Indien? Gratulation! Ist wohl billiger dort

Received: from (fwd1p025.dc.ritsumei.ac.jp [172.26.1.25]) by dceps250.dc.ritsumei.ac.jp with smtp
 id 659c_d5d3_8ad3e436_dbae_11e1_be3c_00219b8c4ba7;
 Wed, 01 Aug 2012 16:57:30 +0900
 Received: from unknown ([115.242.45.154])
 by rundc025.ritsumei.ac.jp with SMTP; 01 Aug 2012 16:57:27 +0900

Schau dir mal die IP 115.242.45.154 an!

 

[Joe User]

http://en.wikipedia.org/wiki/Joe_job

 

[vb-server]

Solche Mails habe ich auch tonnenweise, auf keinem meiner Server läuft jedoch ein MX bzw der Port ist garnicht geöffnet in der Firewall. Wie oben schon gesagt, da faked einer deine Absenderdaten. Das einzige, was du dagegen machen kannst ist ein SPF-Record, ich habe den, aber bringt auch nicht immer was.

 

[GwenDragon]

Was soll ein SPF-Record bringen? Doch nur, wenn der gespammte SMTP-Server damit den Absender prüft. Tut aber eben nicht jeder.

 

[vb-server]

aber bringt auch nicht immer was.

 

[floppyy]

Hi,

Danke für die Info's.
Ja auf die Sender-IP hab ich garnicht geschaut ... Ufff.

Ich benutze seit Jahren SPF nach dem DomainKeys Identified Mail-Protokoll.
Und ich verstehe einfach nicht warum jemand meine Domaine benutzt.
Die ist nicht mal für die Öffentlichkeit zugänglich.

Seit dem ich lesen das Plesk so derbe unsicher ist, seh ich nur noch offene Port's und unsichere Scripte.
Und statt nem gutem Buch am Abend, lese ich nun ne gute Log-Datei.

( http://www.webhostlist.de/2012/07/weitere-sicherheitslucke-in-plesk-10 ).
Ein Kollege hatte mir nämlich gezeigt wie "öffen" die 10.4.4 war, mit der ich gearbeitet hatte.

Nun muss ich nur noch die Firewall rep. die ich durch das hin und her upgraden kaputt gemacht habe.
Die hat auf dem Server keine FTP-Anfragen mehr angenommen ... was für nen Webserver ziemlich doof ist -> da blieb mir jetzt vorerst nichts anderen über als sie abzuschalten.


Danke nochmal.

 

[wstuermer]

Die hat auf dem Server keine FTP-Anfragen mehr angenommen ... was für nen Webserver ziemlich doof ist

Du machst dir Sorgen um Sicherheit, aber setzt dann auf per Definition unsichere Datenübertragungs-Protokolle?

 

[floppyy]

Wenn Anwender/Kunden/Kollegen/Freunden nur FTP und kein SFTP wollen?
Ich würde mal behaupten das 90% der Webspaceanbieter ausschließlich FTP anbieten.

 

[Mr.Check]

Wenn Anwender/Kunden/Kollegen/Freunden nur FTP und kein SFTP wollen?
Ich würde mal behaupten das 90% der Webspaceanbieter ausschließlich FTP anbieten.

Es muss ja nicht SFTP sein (via SSH) FTPS wäre vielleicht die passende Alternative (kann eigentlich fast jeder FTP-Client):

http://de.wikipedia.org/wiki/FTP_über_SSL

 

[wstuermer]

Das würde nun in eine Glaubensdiskussion führen. Ich persönlich vertraue SSL-Zertifikaten eher weniger, da diese eben keine Sicherheit bieten. Und was nützt mir eine verschlüsselte Authentifizierung, wenn der Datenstrom danach doch wieder im Klartext übertragen wird.