Root-Server wird von Spammern attackiert, hilfe!

[Genba]

Hallo

Ich möchte zu Anfang gleich sagen, dass ich totaler Anfänger bin.
Ich kenne mich zwar mit Plesk etwas aus, aber mit Linux oder der Serielle Konsole fast gar nicht.
Ich weiß leider nicht mal, wie man an die Root-Verzeichnisse des Servers ran kommt, also log-Dateien usw.
Ich weiß, wenn man von Linux keine Ahnung hat, sollte man die Finger davon lassen, sich einen Server mit Linux zu holen, aber ich brauchte unbedingt einen, da der Speicherplatz einfach nicht mehr gereicht hat, und normalen Webspace mit über 4 GB findet man ja kaum, daher habe ich mich doch dafür entschieden.

Jetzt zu meinem Problem:
Ich habe seit gestern ein Problem mit meinem Root-Server von 1&1.
Mein Server hat:
CPU: Athlon 64 3200+ 2,0 GHz
Arbeitsspeicher: 1 GB
Festplatten: 2 x 80 GB
Betriebssystem: SuSe Linux 10.1 64-Bit

Seit gestern abend zwischen 17:00 Uhr und 0:00 Uhr wird der Verbindungsaufbau immer langsamer, manchmal kommt er auch komplett zum erliegen. Seiten oder Plesk kann ich kaum noch erreichen.
Heute morgen habe ich dann von 1&1 eine E-Mail bekommen, dass mein Server für den Versand von Spam-Mails missbraucht wurde. Ich habe schon den ganzen Tag damit verbracht, Hilfe zu finden, auf eigene Faust habe aber leider keinen Erfolg gehabt, daher hoffe ich, dass mir hier jemand helfen kann.

Was ich aber geschafft habe, ist wie man per Serielle Konsole alle Prozesse mit den
dazugehörigen Usern anzeigen lassen kann (mit ps aux).

Ich poste diese Daten mal hier:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0    776   304 ?        S    17:36   0:01 init [3]
root         2  0.0  0.0      0     0 ?        S    17:36   0:00 [migration/0]
root         3  0.0  0.0      0     0 ?        SN   17:36   0:00 [ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S    17:36   0:00 [watchdog/0]
root         5  0.0  0.0      0     0 ?        S<   17:36   0:00 [events/0]
root         6  0.0  0.0      0     0 ?        S<   17:36   0:00 [khelper]
root         7  0.0  0.0      0     0 ?        S<   17:36   0:00 [kthread]
root        10  0.0  0.0      0     0 ?        S<   17:36   0:00 [kblockd/0]
root        11  0.0  0.0      0     0 ?        S<   17:36   0:00 [kacpid]
root       230  0.0  0.0      0     0 ?        S    17:36   0:00 [pdflush]
root       231  0.0  0.0      0     0 ?        S    17:36   0:00 [pdflush]
root       233  0.0  0.0      0     0 ?        S<   17:36   0:00 [aio/0]
root       232  0.0  0.0      0     0 ?        S    17:36   0:00 [kswapd0]
root       236  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfslogd/0]
root       234  0.0  0.0      0     0 ?        S    17:36   0:00 [cifsoplockd]
root       235  0.0  0.0      0     0 ?        S    17:36   0:00 [cifsdnotifyd]
root       237  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfsdatad/0]
root       827  0.0  0.0      0     0 ?        S<   17:36   0:00 [kseriod]
root       899  0.0  0.0      0     0 ?        S<   17:36   0:00 [ata/0]
root       904  0.0  0.0      0     0 ?        S<   17:36   0:00 [scsi_eh_0]
root       905  0.0  0.0      0     0 ?        S<   17:36   0:00 [scsi_eh_1]
root       950  0.0  0.0      0     0 ?        S<   17:36   0:00 [kcryptd/0]
root       951  0.0  0.0      0     0 ?        S<   17:36   0:00 [kmirrord]
root       962  0.0  0.0      0     0 ?        S<   17:36   0:00 [md8_raid1]
root       966  0.0  0.0      0     0 ?        S<   17:36   0:00 [md7_raid1]
root       970  0.0  0.0      0     0 ?        S<   17:36   0:00 [md6_raid1]
root       974  0.0  0.0      0     0 ?        S<   17:36   0:00 [md5_raid1]
root       978  0.0  0.0      0     0 ?        S<   17:36   0:00 [md1_raid1]
root       979  0.0  0.0      0     0 ?        S    17:36   0:00 [kjournald]
root      1037  0.0  0.0   7096   612 ?        S<s  17:36   0:00 /sbin/udevd --d
root      2298  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfsbufd]
root      2299  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfssyncd]
root      2301  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfsbufd]
root      2302  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfssyncd]
root      2304  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfsbufd]
root      2305  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfssyncd]
root      2307  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfsbufd]
root      2308  0.0  0.0      0     0 ?        S<   17:36   0:00 [xfssyncd]
root      2583  0.0  0.0  10084   720 ?        Ss   17:36   0:00 /sbin/resmgrd
100       2584  0.0  0.0  13028   988 ?        Ss   17:36   0:00 /usr/bin/dbus-d
root      2648  0.0  0.3  13752  3812 ?        Ss   17:36   0:00 /usr/sbin/hald
root      2782  0.0  0.0   6004   672 ?        S    17:36   0:00 hald-addon-acpi
root      2934  0.0  0.0   2648   240 ?        Ss   17:36   0:00 /sbin/dhcpcd -C
root      3084  0.0  0.0   8164   660 ?        Ss   17:36   0:00 /sbin/syslog-ng
root      3087  0.0  0.0   2652   444 ?        Ss   17:36   0:00 /sbin/klogd -c
root      3120  0.0  0.1 121928  1068 ?        Ssl  17:36   0:00 /usr/sbin/nscd
qmails    3127  0.0  0.0   2668   452 ?        S    17:36   0:00 qmail-send
qmaill    3129  0.0  0.0   2616   516 ?        S    17:36   0:00 splogger qmail
root      3130  0.0  0.0   2652   416 ?        S    17:36   0:00 qmail-lspawn ./
qmailr    3131  0.0  0.0   2652   444 ?        S    17:36   0:00 qmail-rspawn
qmailq    3132  0.0  0.0   2612   396 ?        S    17:36   0:00 qmail-clean
root      3175  0.0  0.0   8824   884 ?        Ss   17:36   0:00 /usr/sbin/xinet
root      3228  0.0  0.0   2640   448 ?        Ss   17:36   0:00 startpar -f --
root      3242  0.0  0.1  24892  1336 ?        Ss   17:36   0:00 /usr/sbin/sshd
root      3295  0.0  0.0   5996   572 ?        Ss   17:36   0:00 /usr/sbin/cron
named     3570  0.0  0.3  48096  3252 ?        Ssl  17:36   0:00 /usr/sbin/named
root      3588  0.0  0.1   7976  1468 ?        S    17:36   0:00 /bin/sh /usr/bi
mysql     3624  0.1  2.7 129824 27620 ?        Sl   17:36   0:04 /usr/sbin/mysql
mailman   3648  0.0  0.6  45028  6408 ?        Ss   17:36   0:00 /usr/bin/python
mailman   3651  0.0  0.8  39048  8212 ?        S    17:36   0:00 /usr/bin/python
mailman   3652  0.0  0.8  39108  8236 ?        S    17:36   0:00 /usr/bin/python
mailman   3653  0.0  0.8  39108  8228 ?        S    17:36   0:00 /usr/bin/python
mailman   3654  0.0  0.8  39020  8212 ?        S    17:36   0:00 /usr/bin/python
mailman   3655  0.0  0.8  39064  8268 ?        S    17:36   0:00 /usr/bin/python
mailman   3656  0.0  0.8  39048  8336 ?        S    17:36   0:00 /usr/bin/python
mailman   3657  0.0  0.8  39108  8224 ?        S    17:36   0:00 /usr/bin/python
mailman   3658  0.0  0.8  39112  8212 ?        S    17:36   0:00 /usr/bin/python
root      3671  0.0  3.8  66096 38476 ?        Ss   17:36   0:00 /usr/sbin/spamd
popuser   3673  0.0  3.7  66096 37156 ?        S    17:36   0:00 spamd child
popuser   3674  0.0  3.7  66096 37108 ?        S    17:36   0:00 spamd child
root      3722  0.0  0.6  71284  6312 ?        Ss   17:36   0:00 /usr/local/psa/
psaadm    3726  0.3  4.3  88040 43596 ?        S    17:36   0:09 /usr/local/psa/
root      3750  0.0  0.0   3060   696 tty1     Ss+  17:36   0:00 /sbin/mingetty
root      3751  0.0  0.0   3056   692 tty2     Ss+  17:36   0:00 /sbin/mingetty
root      3752  0.0  0.0   3060   712 tty3     Ss+  17:36   0:00 /sbin/mingetty
root      3753  0.0  0.0   3056   692 tty4     Ss+  17:36   0:00 /sbin/mingetty
root      3754  0.0  0.0   3056   692 tty5     Ss+  17:36   0:00 /sbin/mingetty
root      3755  0.0  0.0   3056   692 tty6     Ss+  17:36   0:00 /sbin/mingetty
root      3756  0.0  0.0   2616   556 ttyS0    Ss+  17:36   0:00 /sbin/agetty -L
psaadm    3807  0.1  3.4  84796 34544 ?        S    17:37   0:04 /usr/local/psa/
root      4076  0.0  1.6 163768 15908 ?        Ss   17:40   0:01 /usr/sbin/httpd
wwwrun    4552  0.0  0.9 163768  9376 ?        S    17:54   0:00 /usr/sbin/httpd
wwwrun    4654  0.1  1.7 169392 17752 ?        S    17:57   0:02 /usr/sbin/httpd
wwwrun    4683  0.0  1.7 169228 17576 ?        S    17:58   0:01 /usr/sbin/httpd
wwwrun    4688  0.0  1.7 169268 17608 ?        S    17:58   0:01 /usr/sbin/httpd
wwwrun    4761  0.0  1.7 168968 17280 ?        S    18:00   0:01 /usr/sbin/httpd
wwwrun    4817  0.1  1.8 170720 17944 ?        S    18:05   0:01 /usr/sbin/httpd
wwwrun    4819  0.0  1.7 169228 17572 ?        S    18:05   0:01 /usr/sbin/httpd
wwwrun    4850  0.0  1.7 169444 17868 ?        S    18:08   0:01 /usr/sbin/httpd
wwwrun    4891  0.0  1.7 169360 17656 ?        S    18:10   0:00 /usr/sbin/httpd
wwwrun    4897  0.0  1.7 168836 17128 ?        S    18:11   0:00 /usr/sbin/httpd
wwwrun    5084  0.0  1.0 163896 10292 ?        S    18:21   0:00 /usr/sbin/httpd
root      5147  0.0  0.3  44536  3008 ?        Ss   18:28   0:00 sshd: root@pts/
root      5155  0.1  0.2   9712  2324 pts/0    Ss   18:28   0:00 -bash
root      5184  0.0  0.0   3492   892 pts/0    R+   18:28   0:00 ps aux

Ich hoffe, dass mir jemand hier helfen kann.
Schon mal danke im Voraus
Gruß, Genba

 

[noto]

Logdateien sind im Verzeichznis

/var/log
/var/log/httpd

mit dem Befehl

>Dateiname

kannst du Logs von Hand leeren.

mit dem Texteditor vim kann man sich Logdateien anschauen. Beispiel

vim error_log

nun ESC Taste drücken und mit Pfeiltasten scrollen. Zum editieren i Taste 
drücken und mit ESC Taste wieder in den nur Lesemodus wechseln.

zum speichern :wq drücken und zum beenden ohne speichern :q! drücken.

Dann überprüfe mal deine Mailserver Einstellungen + Pop3 Konten in Plesk. Mailserver kannst du stoppen mit

/etc/init.d/qmail stop

und starten mit

/etc/init.d/qmail start

-stop -start -status -restart

Hier kannst du Relay Test machen. Einfach Server IP eingeben.

Open Releay Test

huschi.net Mail Server