webass
New Member
Hi,
ich habe einige Bouncebacks erhalten. Vor einer Woche kam der erste beim Versand einer Email an eine freenet-adresse.
Heute kam ein detaillierterer Bericht von einer anderen Adresse.
Daraufhin habe ich bei Spamhaus mal die Listen gecheckt und meine IP ist bereits bei 7 oder 8 DNSBL (oder auch RBL, k.A.) eingetragen.
Dann hab ich meinen Provider webtropia angehauen, die mir auch sofort meine Befürchtung bestätigten und mir von ihrer Abuse- Abteilung Auskunft gaben.
So, jetzt sitze ich auf einem Haufen Abuse- Meldungen und der Provider hat mich dringend angehalten das Problem zu lösen.
Leichter gesagt als getan, wo ich von Emailservern grad keine Ahnung habe.
Es könnten aber auch Scripte wie Joomla oder Wordpress, durch das Sendmail oder php- mail (oder was auch immer), verantwortlich sein.
Der Support meinte, ich sollte schnellstmöglich nach einer Sicherung neuinstallieren und den Backup, erst nach Bereinigung des Problems in den gesicherten Daten, wieder einspielen.
Oder, wenn es geht, und falls es der Fall ist, die befallene Anwendung löschen und neu- installieren.
Wenn ich das so aus dem Handgelenk schütteln könnte, hätte ich ja nicht beim Support gefragt oder würde hier schreiben, nicht.
Also, ich steh aufm Schlauch.
Was ich hier schon mal zu einem "kompromittierten" Server gefunden habe, als erste Massnahme so zu sagen, hab ich mal durchgeführt:
und
Hat jemand netterweise einen Tipp?
Danke. Andre
ich habe einige Bouncebacks erhalten. Vor einer Woche kam der erste beim Versand einer Email an eine freenet-adresse.
Heute kam ein detaillierterer Bericht von einer anderen Adresse.
Daraufhin habe ich bei Spamhaus mal die Listen gecheckt und meine IP ist bereits bei 7 oder 8 DNSBL (oder auch RBL, k.A.) eingetragen.
Dann hab ich meinen Provider webtropia angehauen, die mir auch sofort meine Befürchtung bestätigten und mir von ihrer Abuse- Abteilung Auskunft gaben.
So, jetzt sitze ich auf einem Haufen Abuse- Meldungen und der Provider hat mich dringend angehalten das Problem zu lösen.
Leichter gesagt als getan, wo ich von Emailservern grad keine Ahnung habe.
Es könnten aber auch Scripte wie Joomla oder Wordpress, durch das Sendmail oder php- mail (oder was auch immer), verantwortlich sein.
Der Support meinte, ich sollte schnellstmöglich nach einer Sicherung neuinstallieren und den Backup, erst nach Bereinigung des Problems in den gesicherten Daten, wieder einspielen.
Oder, wenn es geht, und falls es der Fall ist, die befallene Anwendung löschen und neu- installieren.
Wenn ich das so aus dem Handgelenk schütteln könnte, hätte ich ja nicht beim Support gefragt oder würde hier schreiben, nicht.
Also, ich steh aufm Schlauch.
Was ich hier schon mal zu einem "kompromittierten" Server gefunden habe, als erste Massnahme so zu sagen, hab ich mal durchgeführt:
Code:
ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.1 0.0 1984 688 ? Ss 12:30 0:35 init [2]
root 1115 0.0 1.4 33504 30868 ? Ss 12:39 0:01 /usr/sbin/spamd
confixx 1116 0.0 1.9 44264 40332 ? S 12:39 0:11 spamd child
confixx 1117 0.0 1.3 33504 29332 ? S 12:39 0:00 spamd child
root 1859 0.0 0.0 8620 1996 ? Ss 12:53 0:13 sendmail: MTA:
root 4059 0.0 0.0 1696 592 ? Ss 12:31 0:02 /sbin/syslogd
root 4084 0.0 0.0 5276 1036 ? Ss 12:31 0:00 /usr/sbin/sshd
root 5155 0.0 0.0 2700 1308 ? S 12:31 0:00 /bin/sh /usr/bi
mysql 5214 0.1 2.8 165792 60804 ? Sl 12:31 0:34 /usr/sbin/mysql
root 5216 0.0 0.0 1632 536 ? S 12:31 0:00 logger -p daemo
nobody 5308 0.0 0.0 2440 1080 ? S 12:31 0:00 /usr/bin/memcac
root 5342 0.0 0.0 8452 1268 ? Ss 12:31 0:00 /usr/sbin/sasla
root 5343 0.0 0.0 8452 1200 ? S 12:31 0:00 /usr/sbin/sasla
root 5352 0.0 0.0 2356 880 ? Ss 12:31 0:00 /usr/sbin/xinet
root 5408 0.0 0.0 2004 640 ? Ss 12:31 0:03 /usr/sbin/dovec
root 5413 0.0 0.1 9420 2320 ? S 12:31 0:03 dovecot-auth
nobody 5422 0.0 0.0 2856 1004 ? Ss 12:31 0:07 proftpd: (accep
daemon 5425 0.0 0.0 1916 424 ? Ss 12:31 0:00 /usr/sbin/atd
root 5440 0.0 0.0 2040 872 ? Ss 12:31 0:03 /usr/sbin/cron
dovecot 5454 0.0 0.0 3656 1932 ? S 12:31 0:00 pop3-login
dovecot 5455 0.0 0.0 3656 1996 ? S 12:31 0:02 pop3-login
dovecot 5456 0.0 0.0 3508 1616 ? S 12:31 0:00 imap-login
dovecot 5457 0.0 0.0 3508 1616 ? S 12:31 0:00 imap-login
root 5460 0.0 0.7 297408 14952 ? Ss 12:31 0:07 /usr/sbin/apach
root 5508 0.0 0.2 6576 4704 ? Ss 12:31 0:00 /usr/sbin/munin
root 5556 0.0 0.0 25044 1436 ? Sl 12:31 0:00 /usr/sbin/monit
root 25890 0.0 0.2 9284 4412 ? S 17:13 0:00 sendmail: MTA:
root 26334 0.0 0.1 8988 4096 ? S 17:23 0:00 sendmail: MTA:
root 27766 0.0 0.1 8988 4096 ? S 17:33 0:00 sendmail: MTA:
www-data 27931 0.3 3.9 307348 83720 ? S 17:35 0:01 /usr/sbin/apach
root 28186 0.0 0.1 8668 2568 ? S 17:43 0:00 sendmail: MTA:
root 28194 0.1 0.1 8020 2676 ? Ss 17:44 0:00 sshd: root@pts/
www-data 28196 0.0 0.4 297672 8904 ? S 17:44 0:00 /usr/sbin/apach
www-data 28197 0.0 0.4 297672 8916 ? S 17:44 0:00 /usr/sbin/apach
root 28199 0.0 0.0 2828 1556 pts/0 Ss 17:44 0:00 -bash
www-data 28203 0.0 0.4 297672 8884 ? S 17:44 0:00 /usr/sbin/apach
root 28204 0.0 0.0 2300 904 pts/0 R+ 17:44 0:00 ps aux
Code:
netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 343460177 1859/sendmail: MTA:
tcp 0 0 ME.INE.SER.VERIP:2812 0.0.0.0:* LISTEN 0 335483907 5556/monit
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 107 335478239 5214/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 0 343460178 1859/sendmail: MTA:
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 0 335480312 5308/memcached
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 335482367 5408/dovecot
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 0 335767319 1115/spamd.pid
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 0 335482366 5408/dovecot
tcp 0 0 ME.INE.SER.VERIP:4949 0.0.0.0:* LISTEN 0 335483677 5508/munin-node
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 335477834 4084/sshd
tcp6 0 0 :::80 :::* LISTEN 0 335482863 5460/apache2
tcp6 0 0 :::113 :::* LISTEN 0 335480909 5352/xinetd
tcp6 0 0 :::21 :::* LISTEN 65534 335482537 5422/proftpd: (acce
tcp6 0 0 :::22 :::* LISTEN 0 335477832 4084/sshd
udp6 0 0 :::517 :::* 0 335480907 5352/xinetd
udp6 0 0 :::518 :::* 0 335480908 5352/xinetd
Hat jemand netterweise einen Tipp?
Danke. Andre