server gehackt - spam versand

V

vidy

Registered User
Hi Ihr,
mir ist jetzt gerade vor kurzem etwas ganz dummes passiert. Habe schon fast 2 Jahre nen Server und alles war ok. AUf einmal merke ich wie langsam die Seiten laden, etc. und dann hab ich mir mal angeschaut was da gerade los ist.
Und da waren massenhaft "qmailr" Prozesse die an irgendwelche yahoo, usw... mail geschickt haben -> also Spam Versand.

Ich habe daher gleich neu installiert und alles neu gemacht. Funktionierte auch wieder bis nach 3 Tagen das gleiche war, und jetzt nach wieder neuinstall wieder das gleiche.
Ich weiß weder wie das passieren kann, noch wie ich mich schütze denn:
- Passwörter sind sicher und gewechselt (root, usw...)
- Zugriffe per root haben nicht stattgefunden

Jetzt hab ich nur noch gelesen, das sowas über Skripte möglich wäre?!
Aber das komische: Ich habe nichts neues installiert. Ok sollte ein altes PHP Skript (als beispiel) ein SIcherheitsloch haben wäre schlecht, aber wie finde ich heraus, welches es von den vielen Seiten und Skripten ist die ich aufm Server hab?!

Wäre nett wenn mir jemand mal helfen kann.

Viele Grüße

vidy
 
Welcher User versendet den laut Maillog die Spammails? Bist du sicher das der Server wirklich gehackt ist und du nicht "nur" ein offenes SMTP Relay hast?
 
Hallo!
Das sofortige neuinstallieren ohne vorher zumindest die Logdateien zu sichern, ist der schlechteste Weg. Dann tritt genau der Effekt ein, den du beschrieben hast: Ich weiss, dass etwas war - ich kann aber nicht mehr nachvollziehen woran es liegt/lag.
Du installierst jetzt sämtliche Softwarepakte neu, wartest einige Zeit und es passiert wieder. Wenn der Server gehacked wurde -> Ruhe bewahren, Logs kontrollieren, Fehlerquelle eingrenzen und ausschalten.
Was in deinem Fall genau passiert ist, kann wahrscheinlich niemand mehr nachvollziehen.

mfG
Thorsten
 
Thorsten said:
Hallo!
Das sofortige neuinstallieren ohne vorher zumindest die Logdateien zu sichern, ist der schlechteste Weg. Dann tritt genau der Effekt ein, den du beschrieben hast: Ich weiss, dass etwas war - ich kann aber nicht mehr nachvollziehen woran es liegt/lag.
Du installierst jetzt sämtliche Softwarepakte neu, wartest einige Zeit und es passiert wieder. Wenn der Server gehacked wurde -> Ruhe bewahren, Logs kontrollieren, Fehlerquelle eingrenzen und ausschalten.
Was in deinem Fall genau passiert ist, kann wahrscheinlich niemand mehr nachvollziehen.
Click to expand...

Was HornOx und Thorsten sagten.

Ich würde dir auch noch empfehlen, per Firewall (z.B. iptables) sämtliche ausgehenden Verbindungen, die im Zusammenhang mit Email-Verkehr stehen (z.B. Port 25) für den Zeitraum deines "Tests" generell zu sperren.

Du baust also eine Mini-Version eines Honey-Pots auf, um den Hacker wieder anzulocken, damit du die Schwachstelle identifizieren kannst - allerdings in Kombination mit deiner Firewall-Regel auf eine Weise, dass kein Kollateralschaden, d.h. Spam-Versand an Unbeteiligte, entstehen kann.
 
You must log in or register to reply here.
Back
Top