Schwachstelle bzw. schwaches Skript finden

N

NorbertH

Registered User
Moin zusammen!

Ich habe den Verdacht, dass einer oder mehrere Spamer meinen Server mittels einme schwachen (schlecht geschriebenem Skript) mißbrauchen.

Debian 3.1
Plesk 7.5.4
Qmail äh

Relay ist zwar geschlossen, aber es kommen täglich hunderte Mails zurück, die keiner von den Usern verschickt hat (da bin ich 99% sicher).

Als Beispiel ein vollkommen zufällig ausgewähltes bounce:

Code: 
From - Sat Aug 05 12:50:03 2006
...
Delivered-To: 2-info@meinedomain.de
Received: (qmail 1791 invoked for bounce); 5 Aug 2006 04:29:41 +0200
Date: 5 Aug 2006 04:29:41 +0200

From: MAILER-DAEMON@mein.server.de
To: info@meinedomain.de
Subject: failure notice

Hi. This is the qmail-send program at mein.server.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<breakagebernie@post.com>:
208.36.123.58 does not like recipient.
Remote host said: 550 <breakagebernie@post.com>: User unknown
Giving up on 208.36.123.58.

--- Below this line is a copy of the message.

Return-Path: <info@meinedomain.de>
Received: (qmail 1755 invoked by uid 0); 5 Aug 2006 04:26:28 +0200
Date: 5 Aug 2006 04:26:28 +0200
Message-ID: <20060805031628.1754.qmail@mein.server.de>
From: info@meinedomain.de
To: breakagebernie@post.com
CC:
Subject: =?utf-8?Q?Re:_Hey,_buddy,_you_must_be_very_disappointed_of_it=21?=
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Content-Disposition: inline

Bin im Urlaub

Um die Zeit schlafen die User noch (sind alles Inländer :) ). Und der Inhalt ist auch klar spam.

Da die Message-ID: <20060805031628.1754.qmail@mein.server.de> meinen MTA enthält und das allermeist der Fall ist, denke ich, dass die Mail auch tatsächlich von meinem server kommt. Außerdem findet sich im Log noch folgendes

Code: 
Aug  5 04:26:28 server qmail: 1154747788.892345 new msg 4860623
Aug  5 04:26:28 server qmail: 1154747788.892399 info msg 4860623: bytes 413 from <info@meinedomain.de> qp 1755 uid 0
Aug  5 04:26:28 server qmail: 1154747788.892457 starting delivery 3900: msg 4860623 to remote breakagebernie@post.com
...
Aug  5 04:29:41 server qmail: 1154747981.930353 delivery 3900: failure: 208.36.123.58_does_not_like_recipient./Remote_host_said:_550_<breakagebernie@post.com>:_User_unknown/Giving_up_on_208.36.123.58./
Aug  5 04:29:41 server qmail: 1154747981.930458 status: local 0/10 remote 0/20
Aug  5 04:29:41 server qmail: 1154747981.942425 bounce msg 4860623 qp 1791
Aug  5 04:29:41 server qmail: 1154747981.942484 end msg 4860623

So weit mein Know How reicht muß es wohl ein schlecht programiertes Skript sein. Allerdings laufen fast hundert unterschiedlich große Skripten auf dem Server und ich habe nicht einmal einen Verdacht welches die Schwachstelle sein könnte.

Gibt's nicht irgendwo in den Logs eine Info WER bzw. WELCHES SKRIPT die injection vornimmt? Oder gibt's wenigstens eine Taktik mit der man die Zahl der Skripten eingrenzen könnte?

DANKE für euer Hirnschmalz
Gruß Norbert
 
Code: 
Received: (qmail 1755 invoked by uid 0); 5 Aug 2006 04:26:28 +0200
Das sieht ganz, ganz schlecht für dich und die Integrität deines Systems aus...
Wenn die Mails von root verschickt werden, hast du mindestens einen Gast auf dem System.
 
Ähmmm, ich bin wohl als Mensch ein gastfreundlicher, aber aufm Server ... :(

Kann das nicht ein "gutes" aber schlecht geschriebenes Skript sein?

Ahhh, ich glaube ich habe den Wink verstanden. Nur noch nachschauen, wer zum gegebenen Zeitpunkt mit uid 0 drin war und den dann klatschen ...

Ich geh mal suchen ...

DANKE zwischendurch!
 
OK, hier sind mal die relevanten Zeilen:
Code: 
Aug  5 04:25:01 server CRON[1710]: (pam_unix) session opened for user root by (uid=0)
Aug  5 04:25:01 server CRON[1712]: (pam_unix) session opened for user www-data by (uid=0)
Aug  5 04:25:01 server CRON[1710]: (pam_unix) session closed for user root
Aug  5 04:27:01 server CRON[1768]: (pam_unix) session opened for user root by (uid=0)
Aug  5 04:27:01 server CRON[1768]: (pam_unix) session closed for user root
Aug  5 04:27:47 server CRON[1712]: (pam_unix) session closed for user www-data

Ähm, da brauche ich wohl noch 'ne Nachhilfestunde. Ich lese da, dass www-data UND root als uid0 drin waren. Und das wäre ja wohl kompletter Blödsinn. www-data wurde von Plesk angelegt und führt tatsächlich ein skript um diese Zeit aus, dass via CRON gestartet wird. Aber dessen Arbeit kann ich nach dem Aufstehen eigentlich immer bewundern.
Lt. Plesk kriegt root um diese Zeit allerdings keine Aufträge. Ich denke, ich schaue noch mal in die CRON-Files .... bis gleich ...
 
:( Kann nix finden. Weder in /etc/crontab noch den zugehörigen d, daily, hourly, weekly, ... hab ich nen denkfehler?
 
Auch wenn's peinich ist, aber ich denke ich hab's.

Es war wohl ein Autoresponder den ich unter Plesk eingerichtet hatte und auf den ich völlig vergessen hatte.
Nicht schlagen bitte, aber gerne den Thread löschen :p
 
You must log in or register to reply here.
Back
Top