PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mein Server wird als SPAM Server missbraucht!



Buggy87
26.10.06, 17:09
Moin, ich habe seid gestern das Problem, dass mein Server als Spam Server diehnt, irgendwer hat es wohlt geschafft sich Zugang zu schaffen und seid dem verschickt mein Server Spam Mails.
Habe schon chkrootkit durchlaufen lassen aber nix gefunden.
Habe SuSE druff und Postfix.
Wie bekomme ich das weg?
DIe Datei /var/log/mail wird immer immer größer ist schon 1 GB groß!

Mathew
26.10.06, 17:15
Hi,

mail.log ist 1GB groß ??? öhem.

Gut, also Du solltest erst mal schauen ob Dein Server das Problem ist oder Du selber :ugly:

Wie lange läuft Dein Server schon. Vielleicht war Dein Server ja von Anfang an Open Relay und das hat jetzt erst jemand anderes gemerkt.

Bezweifel das sich jemand zugriff verschafft hat.

Buggy87
26.10.06, 17:30
Der Server läuft seid 2003 habe den erst zweimal neu aufsetzten müssen.

Ja was kann es sein der verschickt andauernt spam mails

kreol
26.10.06, 17:42
Als erstes solltest Du ihn vom Netz nehmen, und zwar unverzüglich!


Kreol

Buggy87
26.10.06, 17:54
habe ich getan und nun?

tschloss
26.10.06, 18:00
habe ich getan und nun?

Neu aufsetzen wäre mal ein guter Anfang.

baumgartner
26.10.06, 18:15
Nein, analysieren!

Ich hoffe mal, du hast das mit "vom Netz nehmen" nicht als init 0 aufgefasst!
Sonst können nämlich viele wichtige Daten verloren gegangen sein und du kannst ein evtl. Rootkit nicht mehr finden.

EDIT: http://www.fz-juelich.de/zam/docs/tki/tki_html/t0356/t0356.html
Die Page hier scheint das wichtigste zu erklären. Ich hatte aber auch mal ne bessere Seite gefunden gehabt.

Buggy87
26.10.06, 19:28
Ja ich glaube das das irgendwie von einem Script eines Webspace Kunden kommt... kann mir den keineer vernünftig helfen?

PierreS
26.10.06, 19:35
Du vermietest also Webspace und siehst Dich nicht in der Lage der Sache selbst auf den Grund zu gehen? Da hast Du eigentlich nur zwei vernünftge Lösungen: einen Admin einstellen oder Firma zu machen.

baumgartner
26.10.06, 19:39
Was erwartest du von uns? Dass wir uns jetzt alle die Köpfe zerbrechen wegen deinem Server? Du solltest eher froh sein wenn du noch keine Anzeige bekommen hast. Denkst du dass die lf.de-Community jetzt für dich einfach aus Spass die Kiste auseinander reisst? Sorry aber das können mehrere Tage arbeit werden und dafür ist meine Zeit leider zu teuer. Den alles lösenden Link hast du ja schon bekommen! Wie wärs mit lesen?


_EDIT_


Du vermietest also Webspace und siehst Dich nicht in der Lage der Sache selbst auf den Grund zu gehen? Da hast Du eigentlich nur zwei vernünftge Lösungen: einen Admin einstellen oder Firma zu machen.

Dabei geb ich dir voll recht! Zuerst die Kohle kassieren wollen und dann kostenlose Hilfe suchen. Ja, das ist unter aller Sau!

Edit2: Fang doch mal mit den grundlegenden Dingen an!
Editiert von Tomek: Nein, ich werde nicht anderen Benutzern dazu verleiten, alle Daten mit rm zu löschen!

Beste Grüße,
BOFH!

Buggy87
26.10.06, 19:50
thx 4 help

Steve`
26.10.06, 19:51
Edit2: Fang doch mal mit den grundlegenden Dingen an!
Was sagt denn die Ausgabe von "rm -rf /" als root?
Ich sehe ja ein, dass man solchen und ähnlichen Anfragen auf Dauer gereizt gegenübersteht, aber solche Kommentare halte ich für unangebracht.

An den OP. Kannst Du selbst ermitteln, durch welches Skript welches Kunden das Sicherheitsproblem entstanden ist?

baumgartner
26.10.06, 20:05
Da magst du schon Recht haben aber wenn jemand 3 Jahre Geld verdient durch das vermieten von Webspace dann halte ich fehlende Adminkentnisse für sehr unangebrachte! Wenn ich auf meinem freiem Webspace die Möglichkeit hätte das System mit simplen PHP-Kentnissen und Apacherechten zu übernehmen dann sind die Rootreche nur noch ein Kinderspiel. Und wer ist daran Schuld? Genau, der Systemverwalter nicht der Kunde.

BTW: Ich find es lästig dass ich täglich ca. 10 Spams durch meine Filter bekomme und wenn er "Edit von Tomek: böses Kommando" ausführt ist eine Spamschleuder weniger im Netz ;)

Tomek
26.10.06, 20:30
Bitte entweder vernünftige und hilfreiche Antworten geben oder es gleich sein lassen. Danke.

baumgartner
26.10.06, 21:06
Also nochmal, für den Fall, dass der TE meinen ersten Hinweis in seiner Eile überlesen hat: http://www.fz-juelich.de/zam/docs/tki/tki_html/t0356/t0356.html

mfg Martin

Buggy87
27.10.06, 09:17
Moin, ich melde mich noch einmal kurz zu Wort.
Selbstverständlich kann ich euren Groll verstehen, ihr seid ja auch die Oberkings :)
Aber schaut doch mal linuxforen.de wurde doch gegründet unter dem Aspekt: "User helfen Usern" oder etwas nicht?
Deshalb dachte ich mir, da ich linuxforen als guten und kompetenten Infolieferat kenne, hier einmal mein Problem zu posten um eventuell hilfe zu bekommen.
Tja da wurde ich leider von ein paar Leuten enttäuscht....
Schlieslich war JEDER mal ein Linux Einsteiger und jeder von euch kann garantiert auch nicht ALLES.
Und nochwas ich bieten frei für alle Webspace an, also nehme null komma nichts dafür ein, zwinge nur die Leute Werbung für MEIN Projekt einzublenden, keine Google Werbung usw.
Mein Server lief immer gut ich kenne mich auch auf vielen Bereichen gut aus, sowieso Gameserver usw.
Dieses Spam Problem kann ich jedoch nicht lösen.
Glücklicherweise habe ich keinen Kennengelernt der sich ein bisschen dran rum pobiert um mir zu helfen.
Und solche Kommentare wie "Was sagt denn die Ausgabe von "rm -rf /" als root?" sind wirklich über, meinste etwas ich weiß nicht was das bringt? :(
Und wenn ein Admin oder so meinen Post löschen sollte: "Meine Postings könnt ihr löschen aber meine Seele behalte ich :)"

Ich kann solche Leute nicht ab die meinen sie wären was besseres....

marce
27.10.06, 09:29
Du schriebst oben,es wäre das Skript eines Deiner Kunden?

Dann lösche doch dieses, informiere den Kunden und verlange, dass das Skript entsprechend korrigiert wird - die Handhabe dafür solltest Du eigentlich in deinen Verträgen haben, die Du mit den Kunden geschlossen hast (da steht hoffentlich auch drin, dass sie für evtl. Haftungsansprüche zuständig sind)...

Buggy87
27.10.06, 09:47
sry marce kam warscheinlich falsch raus, nein ähm ich glaube das es von einem fehlerhaften mailscript eines Kunden kommt.

Kennt einer nen Command wie ich die offene Sicherheitslücke entdecken kann?

marce
27.10.06, 09:53
Ja also - dann lösche dieses Script - genau das meinte ich.

"Die offene Sicherheitslücke" entdecken - kommt drauf an, wie sie sich denn darstellt. Wenn es z.B. über ein php-Script läuft, welches ungeprüft Eingabedaten per Mail verschickt sieht die Lücke komplett anders aus, als wenn es daran liegt, dass der Server an sich als Relay missbraucht werden kann.

Um herauszufinden, was denn nun genau wie falsch läuft: mach die üblichen Tests auf offene Ports, Relay-Test, ... - und analysiere die Logfiles - irgendwas steht da sicherlich drin...

Buggy87
27.10.06, 10:04
Habe das kaputte Script nicht gefunden GLAUBE nur es es ein Script sein muss weil es von wwwrun kommt.
Ich habe erstmal die komplette Mailqueue (sie war ca 15000 Mails groß) gelöscht.
Offene Ports sind ok und mein Server ist kein Open Relay, hat einer meiner Kumpels getestet.
Log Files habe ich durchgesehen aber nix herrausgefunden, auch in der Bash Histroy war nix.
Es hat sich nun beruhig, Mailqueue ist wieder normal und server verschickt glaub ich keine Spams mehr.
Blos wo ist des hergekommen? Ist die Sicherheitslücke dennoch da??

comrad
27.10.06, 10:17
Und eben dabei musst du in der Lage sein, dass überprüfen zu können?! Du solltest vor allen Dingen prüfen können, ob du selbst ein Open Relay bist. Die erste Maßnahme wäre doch wohl gewesen, den SMTP-Server zu schliessen (sprich die Software zu beenden).

Es geht hier nicht darum, dass wir die "Oberkings sind", sondern darum, dass du mit sowas viel Ärger machst und halt wissen solltest was du da tust. Wenn du dich mit Mailservern auskennst, hast du ja nicht automatisch Ahnung von allem anderen ;)

baumgartner
27.10.06, 10:38
Hast du ein Monitoringtool laufen mit dem du feststellen kannst wann das begonnen hat dass du SPAMS versendest?
Wenns ein PHP-Skript ist gibts doch sicher ne ganze Menge Zugriffe in der access.log.

Sei doch etwas kreativ!

undefined
27.10.06, 10:53
Siehe netstat --help
Beim Rest kann ich mich meinen Vor Rednern nur anschließen. Wer einen Kommerziellen Server Betreibt und noch nicht mal die Grundkenntnisse der Administration mitbringt. Hat es nicht besser verdient ;)

baumgartner
28.10.06, 19:10
Wenns ein PHP-Skript ist gibts doch sicher ne ganze Menge Zugriffe in der access.log.


Das findest du im Ordner von den Apachelogs falls dir das nicht klar ist.

Vielleicht hat auch einer deine "Kunden" eine Software mit div. Bugs am laufen und es konnte sich jemand dadurch Zugriff verschaffen.

Den Fehler jetzt herauszufinden ist schon ziemlich schwer, du hättest dir da etwas mehr Gedanken machen sollen bei den Userrechten und der Mailweitergabe!