Suche Hilfe zur Fehlerbehebung / Server sendet Spam (lt. Abuse-Meldung von Strato)

Hallo Liebes Forum,

wir betreiben seit >10 Jahren einen root-Server bei Strato. Bisher auch bis auf einmal ohne nennenswerte Probleme.

Nun wurde ich vor 4 Tagen von Stratos Abuse-Abteilung angeschrieben, dass der Server Spam versendet und ich dies doch umgehend unterbinden möchte, da sie sich sonst gezwungen sähen, unseren Server temporär vom Netz zu nehme.

Komisch ist, dass der Server fast ausschließlich zwischen 6 und 18 Uhr aktiv Spam versenden. Nachts ist er ruhig.

Soweit so gut.

Es ist ein Linux Server mit Ubuntu 12.04 r2.2.0-126-generic und Plesk psa v12.5.30 build 1205150826.19 CPU ist ein AMD Quadcore Opteron 1381 4 cores, 8GB Ram und 500 GB HDD

Am 28.04, gab es einen gefundenen Einbruch über einen ftp-Account eines Kunden. Leider bemerkte ich dies erst als Strato mich wegen dem Traffic anschrieb. Dieser Einbrecher kam regelmäßig und blieb jedes Mal max. 20 Sek.

In den logs finde ich außer den Logins des Einbrechers nichts was auf den Spamversand hindeutet.

Ich habe dann folgenden Maßnahmen vorgenommen, Ändern aller Passwörter, komplette Abschalten des E-Maildienstes für ca. 45 Minuten.

Zuerst hört der Spamversand auf (Trafficübersicht im Kundenmenü bei Strato ging fast 0 zurück) um dann nach ca. 10 Minuten sprungartig anzusteigen.) Komisch, der E-Maildienst war zu der Zeit noch komplett ausgeschaltet.

Also lange rede kurze Anfrage:

Wer kann sich die Sache kurzfristig ansehen und was kostet mich der Spaß?
 
Last edited by a moderator:

d3p

Blog Benutzer
Es ist ein Linux Server mit Ubuntu 12.04 r2.2.0-126-generic und Plesk psa v12.5.30 build 1205150826.19 CPU ist ein AMD Quadcore Opteron 1381 4 cores, 8GB Ram und 500 GB HDD

Ubuntu 12.04 wird seit Ende April nicht mehr mit Sicherheitsupdates versorgt. ;)

Wer kann sich die Sache kurzfristig ansehen und was kostet mich der Spaß?

Ich kann mir das gerne mal (kostenfrei) ansehen.
 

DjTom-i

verifizierter Anbieter
verifizierter Anbieter
Professionelle Hilfe gibt es bei sowas bei mir. Sollte noch Bedarf bestehen bitte ich um Kontatkaufnahme..
 
d3p hat mir schnell, umfassend und erfolgreich geholfen.

Es waren nicht autorisierte exim-Prozesse, die durch ein eingeschleustes php-Script ausgeführt wurden.

Einfallstor war schon geschlossen, der PC des Verursachers wird neu installiert und der Server wurde von Schadsoftware restlos entfernt.

Herzlichen Dank für die kompetente Hilfeleistung.

Gruß Ulf
 
Top