Server wird für Spamversand missbraucht

[NM78]

Ein VHost von mir wird für Spamversand missbraucht. In der Remote E-Mail Warteschlange befanden sich tausende Mails. Der Server läuft unter Ubuntu 8 mit Plesk 10.4.4 und QMail.

Wie kann ich am besten die Quelle finden? Die Domains (10) abschalten und schauen ob weiter Spam verschickt wird, kann doch nicht die einzige Lösung sein, oder?

 

[seraphim]

Prüf ma nach ob dein Server ein open relay ist.

Wenn ja die Config Lücke schließen

wenn nein sofort die Kiste vom Netz nehmen, alle wichtigen Daten sichern und überprüfen und anschließend die Kiste neu aufsetzen.

 

[NM78]

Danke für die schnelle Antwort. Nein, Open Relay habe ich schon von Anfang an aus gehabt.

 

[NM78]

Ich hatte die Domains testweise über Plesk komplett gesperrt. Trotzdem ging das mit dem Spam Versand weiter. Dann muss es doch an einem anderen Dienst liegen, oder?

Wie könnte ich das blos weiter eingrenzen?

 

[its]

Bitte schaue nach offenen Ports und Hintergrundprozessen. Normalerweise wird ein CMS gehackt und es werden Spam Skripte hinterlegt.

diese zwei Befehle sollten dir weiterhelfen:

ps fauxwww

netstat -tulpen

Ich empfehle dir den Server in den Rescue-Modus zu booten, um weiteren Schaden abzuwenden.

 

[NM78]

Danke!

netstat -tulpen:

Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 111.222.33.4:53 0.0.0.0:* LISTEN 102 3174351308 -
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 102 3174351306 -
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 102 3174351312 -
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 3174330231 -
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 0 360734058 23607/apache2
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 0 8086879 3254/smbd
tcp 0 0 0.0.0.0:106 0.0.0.0:* LISTEN 0 3174330230 -
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 109 8024820 1655/mysqld
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 0 8086880 3254/smbd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 360734056 23607/apache2
tcp 0 0 127.0.0.1:10001 0.0.0.0:* LISTEN 0 347514601 9848/sw-cp-serverd
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 0 3174330232 -
tcp6 0 0 :::53 :::* LISTEN 102 3174351303 -
tcp6 0 0 :::21 :::* LISTEN 0 3174330229 -
tcp6 0 0 :::8443 :::* LISTEN 0 347514602 9848/sw-cp-serverd
tcp6 0 0 :::1307 :::* LISTEN 0 8024295 1557/sshd
tcp6 0 0 :::993 :::* LISTEN 0 3174382512 -
tcp6 0 0 :::995 :::* LISTEN 0 3174382543 -
tcp6 0 0 :::110 :::* LISTEN 0 3174382528 -
tcp6 0 0 :::143 :::* LISTEN 0 3174382494 -
tcp6 0 0 :::8880 :::* LISTEN 0 347514603 9848/sw-cp-serverd
udp 0 0 0.0.0.0:48467 0.0.0.0:* 102 3174359243 -
udp 0 0 0.0.0.0:56461 0.0.0.0:* 102 3174351309 -
udp 0 0 111.222.33.4:53 0.0.0.0:* 102 3174359240 -
udp 0 0 127.0.0.1:53 0.0.0.0:* 102 3174359238 -
udp 0 0 111.222.33.4:53 0.0.0.0:* 102 3174351307 -
udp 0 0 127.0.0.1:53 0.0.0.0:* 102 3174351305 -
udp 137088 0 0.0.0.0:137 0.0.0.0:* 0 8086739 3252/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 0 8086740 3252/nmbd
udp6 0 0 :::58802 :::* 102 3174359244 -
udp6 0 0 :::53 :::* 102 3174359235 -
udp6 0 0 :::53 :::* 102 3174351302 -
udp6 0 0 :::39205 :::* 102 3174351310 -

 

[Jesaja]

Da seh ich so nicht Auffälliges.
Allerdings hast du SMB am nem öffentlichen Interface. Ist das gewollt?

Die Ausgabe vom ps fauxwww (wie its bereits sagte) dürfte interessant sein.


Dein ersten Ziel muss aber sein, den Spam-Versand schnellstens einzustellen, auch, wenn dabei mal n paar Domains offline sind.

 

[NM78]

Danke für die Rückantwort!

SMB, ich weiß gerade nicht mal was das ist?

Hier mal noch die Ausgabe von ps fauxwww:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  10384   784 ?        Ss    2011   2:01 init [2]
root      1146  0.0  0.0  16864   956 ?        S<s   2011   0:00 /sbin/udevd --daemon
root      1148  0.0  0.0   8156   656 ?        S     2011   0:00 /sbin/udevadm monitor -e
syslog    1485  0.0  0.0  12300   748 ?        Ss    2011  31:06 /sbin/syslogd -u syslog
111       1511  0.0  0.0  21196   948 ?        Ss    2011   0:00 /usr/bin/dbus-daemon --system
root      1557  0.0  0.0  51816  1152 ?        Ss    2011   0:00 /usr/sbin/sshd
root     32715  0.0  0.1  81984  3488 ?        Ss   13:03   0:00  \_ sshd: nicossh [priv]
nicossh  32744  0.0  0.0  80960  1856 ?        S    13:04   0:00      \_ sshd: nicossh@pts/0
nicossh  32745  0.0  0.0  18060  2040 pts/0    Ss   13:04   0:00          \_ -bash
root     32756  0.0  0.1  49972  2216 pts/0    S    13:04   0:00              \_ su root
root     32757  0.0  0.0  17592  1816 pts/0    S    13:04   0:00                  \_ bash
root      1025  0.0  0.0  14788   932 pts/0    R+   13:04   0:00                      \_ ps fauxwww
root      1613  0.0  0.0  17400  1464 ?        S     2011   0:00 /bin/sh /usr/bin/mysqld_safe
mysql     1655  0.0  2.4 248792 50536 ?        Sl    2011  90:10  \_ /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-external-locking --port=3306 --socket=/var/run/mysqld/mysqld.sock
root      1657  0.0  0.0   3852   612 ?        S     2011   0:00  \_ logger -p daemon.err -t mysqld_safe -i -t mysqld
root      3252  0.0  0.0  54056  1148 ?        Ss    2011   1:50 /usr/sbin/nmbd -D
root      3254  0.0  0.1  74532  2952 ?        Ss    2011   0:25 /usr/sbin/smbd -D
root      3280  0.0  0.0  74532  1224 ?        S     2011   0:00  \_ /usr/sbin/smbd -D
root      3343  0.0  0.0  18624   972 ?        Ss    2011   0:24 /usr/sbin/cron
root      3442  0.0  0.1  30808  2716 ?        Ss    2011   0:00 /usr/sbin/console-kit-daemon
root     11864  0.0  2.0 105464 43972 ?        Ss    2011   0:39 /usr/sbin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail --max-children 1 --create-prefs --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.sock
popuser   7195  0.0  2.7 118864 57344 ?        S    Feb25   0:31  \_ spamd child
root     13342  0.0  0.0  19340   948 ?        Ss    2011   1:05 /usr/sbin/xinetd -pidfile /var/run/xinetd.pid -stayalive
bind     16344  0.0  0.6  79368 14376 ?        Ssl   2011   0:03 /usr/sbin/named -t /var/named/run-root -c /etc/named.conf -u bind
bind     19747  0.0  0.6  78184 13236 ?        Ssl   2011   0:19 /usr/sbin/named -t /var/named/run-root -c /etc/named.conf -u bind
root     20107  0.0  0.0  13500   644 ?        S     2011   0:01 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=imapd -maxprocs=40 -maxperip=40 -pid=/var/run/imapd.pid -nodnslookup -noidentlookup 143 /usr/sbin/imaplogin /usr/lib/courier-imap/authlib/authpsa /usr/bin/imapd Maildir
root     20109  0.0  0.0   3856   572 ?        S     2011   0:01 /usr/sbin/courierlogger imapd
root     20118  0.0  0.0  13500   644 ?        S     2011   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=imapd-ssl -maxprocs=40 -maxperip=40 -pid=/var/run/imapd-ssl.pid -nodnslookup -noidentlookup 993 /usr/bin/couriertls -server -tcpd /usr/sbin/imaplogin /usr/lib/courier-imap/authlib/authpsa /usr/bin/imapd Maildir
root     20120  0.0  0.0   3856   580 ?        S     2011   0:00 /usr/sbin/courierlogger imapd-ssl
root     20127  0.0  0.0  13500   644 ?        S     2011   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=pop3d -maxprocs=40 -maxperip=10 -pid=/var/run/pop3d.pid -nodnslookup -noidentlookup 110 /usr/sbin/pop3login /usr/lib/courier-imap/authlib/authpsa /usr/bin/pop3d Maildir
root     20129  0.0  0.0   3856   576 ?        S     2011   0:00 /usr/sbin/courierlogger pop3d
root     20137  0.0  0.0  13500   648 ?        S     2011   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=pop3d-ssl -maxprocs=40 -maxperip=10 -pid=/var/run/pop3d-ssl.pid -nodnslookup -noidentlookup 995 /usr/bin/couriertls -server -tcpd /usr/sbin/pop3login /usr/lib/courier-imap/authlib/authpsa /usr/bin/pop3d Maildir
root     20139  0.0  0.0   3856   576 ?        S     2011   0:00 /usr/sbin/courierlogger pop3d-ssl
1000      9848  0.0  0.3  50512  6892 ?        S    00:37   0:02 /usr/sbin/sw-cp-serverd -f /etc/sw-cp-server/config
root     24204  0.0  0.8 244304 17728 ?        Ss   08:54   0:00 /usr/sbin/apache2 -k start
www-data 24205  0.0  0.2 169120  5300 ?        S    08:54   0:00  \_ /usr/sbin/apache2 -k start
www-data 23607  0.2  1.7 268228 36276 ?        S    10:40   0:19  \_ /usr/sbin/apache2 -k start
www-data 31950  0.2  1.6 266044 34448 ?        S    11:45   0:11  \_ /usr/sbin/apache2 -k start
www-data 31977  0.2  1.7 267940 36088 ?        S    11:46   0:11  \_ /usr/sbin/apache2 -k start
www-data 32344  0.2  1.7 267796 36172 ?        S    12:23   0:05  \_ /usr/sbin/apache2 -k start
www-data 32645  0.1  1.7 268304 36284 ?        S    12:58   0:00  \_ /usr/sbin/apache2 -k start
qmails   32074  0.0  0.0   3912   508 ?        S    11:52   0:00 qmail-send
qmaill   32075  0.0  0.0   3864   568 ?        S    11:52   0:00  \_ splogger qmail 2
root     32077  0.0  0.0   3904   476 ?        S    11:52   0:00  \_ qmail-lspawn | /usr/bin/deliverquota ./Maildir
qmailr   32078  0.0  0.0   3904   484 ?        S    11:52   0:00  \_ qmail-rspawn
qmailq   32079  0.0  0.0   3860   444 ?        S    11:52   0:00  \_ qmail-clean

 

[its]

Ich sehe in der "ps" Ausgabe nichts auffälliges.

Bitte einmal den Server auf Backscatter überprüfen, das war vor ein paar Monaten ein großes Problem bei Qmail.

Ansonsten mal die E-Mail Postfächer untersuchen, ob das Passwort erraten/ausgelesen worden ist und darüber gespammt wird.

 

[Jesaja]

SMB steht für Server Message Block und ist das Protokoll für die Windows-Datei-Freigabe.
Unter Linux heißt der Dienst dafür Samba, welcher bei dir übrigends als root läuft.

Aus deinem ps erkenne ich, als jemand, der vom Mailserver nicht viel Ahnung hat, lediglich, dass du Courier, QMail und als Anti-Spam spamd einsetzt.
Verdächtig sieht hier für mich(!) nichts aus.

 

[skydrak]

rkhunter schon mal drüber laufen lassen?

Was sagt ein grep -r "base64" /var/www (bzw. Verzeichnis anpassen, je nachdem wo die Webs abgelegt sind)?

 

[its]

Wichtig bei Rkhunter ist, dass wenn man es im Nachhinein installiert, die Binary-Checks nicht aussagekräftig sind.

Diese könnten vom Hacker so verändert worden sein, dass zum Beispiel ein "netstat" die Verbindungen nicht mehr anzeigt.

 

[Serverbiz]

Neben einem Scan mit rkhunter wäre vielleicht auch ein Scan mit Clamav nützlich.

 

[PapaBaer]

Du kannst einem möglicherweise gecracktem Server nicht mehr vertrauen. Alles, was du im laufendem System machst, könnte dir Anhaltspunkte geben, muss aber nicht.

Rescue booten, Image vom System machen und dann am Image arbeiten. Alles andere ist nur gefährlich, weil du einen nicht vertrauenswürdigen Server online hast, für den du haftest.

http://www.rootservice.org/howtos/security/server_hacked.html