s4y - keim email empfang

H

hibbert

Registered User
hi,
ich habe schon länger das problem, dass ich über mein vserver keine email mehr empfangen kann.

nun habe ich einmal mailq in putty aufgerufen und sehe das dort pro sekunde mehrere email verschickt werden.

mailq said:
9F7608C1D842 2545 Thu Jun 7 10:42:36 wwwrun
rodegun@yeah.net

AA6B98C1D844 2561 Thu Jun 7 10:42:36 wwwrun
rodeh@haifa.vhet.ibm.com
[...]
Click to expand...

also muss da irgendwie ein spam-script draufliegen....kp wie das dahingekommen ist.

nun weiß ich immerhin schonmal das es von dem user wwwrun ausgeführt werden muss, oder irre ich da?

ich kann derzeit nichtmal befehle wie dir aufrufen, da ich dann diese meldung bekomme: Too many open files in system

ich habe auch schon versucht auf /var/mail/root zuzugreifen, da bekomme ich aber die meldung: :~# /var/mail/root
-bash: /var/mail/root: Permission denied
hmm dabei bin ich als root eingeloggt :confused:

jedenfalls werden weiterhin diese blöden spammails verschickt, was natürlich meine ganzen postkonten lahmlegt.

wie kann ich dies wieder unterbinden, ohne eine neuinstallation des servers durchzuführen?

ich bin für jede hilfe dankbar.

mfg hibbert
 
Hallo!
Bitte nochmal den Punkt 3.2 der Nutzungsbedingungen lesen. Danke.
Zu deinem Problem. Die Datei /var/spool/mail kannst du nicht ausführen. Sieh die den Inhalt an (mail -f /var/spool/root). Natürlich als Benutzer root.

mfG
Thorsten
 
Zu allererst fährst Du Dein System in den Rescue-Modus und dann schaust Du nach, welches Skript den Mist verschickt.
 
Thorsten said:
Hallo!
Bitte nochmal den Punkt 3.2 der Nutzungsbedingungen lesen. Danke.
Zu deinem Problem. Die Datei /var/spool/mail kannst du nicht ausführen. Sieh die den Inhalt an (mail -f /var/spool/root). Natürlich als Benutzer root.

mfG
Thorsten
Click to expand...
Ok, hab ich mir durchgelsen, sry dafür, hab ich mir einfach in letzter Zeit angewöhnt...
Mit mail -f /var/spool/root bekomme ich wieder die Meldung: Too many open files in system

marneus said:
Zu allererst fährst Du Dein System in den Rescue-Modus und dann schaust Du nach, welches Skript den Mist verschickt.
Click to expand...
Ok, ich habe den Server nun im Abgesicherten Modus gestartet. Wie ist nun die vorgehensweise um das Böse Script zu finden?

ich habe mich im abgesicherten Modus als root eingeloggt und habe nochmal den befehl mail -f /var/spool/root versucht... resultat: No such file or directory, könnte vllt daran liegen, dass jetzt nicht alle dienste gestartet sind, oder?

also wie bekomme ich nun dieses böse ding wieder runter, da ich keine ahnung habe, wo das ding liegt... vllt hab ihr ja noch ein paar tipps...

mfg hibbert
 
hibbert said:
ich habe mich im abgesicherten Modus als root eingeloggt und habe nochmal den befehl mail -f /var/spool/root versucht... resultat: No such file or directory, könnte vllt daran liegen, dass jetzt nicht alle dienste gestartet sind, oder?
Click to expand...

Der rescue-Modus erzeugt (temporär) einen neuen vServer, der nicht mit Deinem vServer identisch ist. Allerdings kannst Du von diesem Server aus auf Deine Daten zugreifen: Dein System ist in einem Unterverzeichnis gemounted. Welches das ist steht in der Mail, die Dir das System geschickt hat (wahrscheinlich /mnt). Dementsprechend willst Du auch nicht /var/mail/root anschauen, sondern /mnt/var/mail/root.

Die log-Dateien, die Dir verraten können, wo was falsch gelaufen ist, findest Du demnach unter /mnt/var/log/... Schau Dir insbesondere die Mail-Logs an und suche nach dem Datum, an dem die erste SPAM-Mail verschickt wurde. Dann schau in den Apache-Logs nach, was vor diesem Zeitpunkt alles mit dem Webserver passiert ist. Das sollte Dir einen Hinweis darauf geben welches Skript die Ursache war.

Am besten nimmst Du dann ein Backup, das deutlich vor dem Einbruch gemacht wurde und stellst nach einer Neuinstallation[1] damit Dein System wieder her, um einen Zustand zu bekommen, der wirklich sauber ist. Dabei entfernst Du auch das Skript, das den Einbruch erlaubt hat und schaust ebenfalls danach, dass alle anderen Teile des Systems sicher konfiguriert sind.

Viele Grüße,
LinuxAdmin

[1] schließlich kannst Du nicht wissen, ob noch Teile des Systems mithilfe anderer Schwachstellen kompromittiert wurden.
 
Die Neuinstallation ist m.M. nicht zwingend notwendig. Ich denke, dass ein Mail-Script auf seinem Server die übergebenen Variablen nicht richtig prüft und somit zig CC und BCC Einträge eingeschleust werden konnten.

Prüf das erstmal, zeig uns das Skript, welches verwendet wurde und wir schauen weiter.
 
You must log in or register to reply here.
Back
Top