Hallo,

ich vertrete meinen Freund als Admin von einem root-server. Leider konnte ich Ihn auf seinem Handy nicht erreichen.. Wie es aussieht wird sein Server als "Spambot" verwendet, es hängen momentan ~1000 Mails in der Queue drin, die ich auch schon gelöscht habe. Als erstes habe ich den Postfixdienst gestopt, damit keine weiteren Spam-Mails rausgehen.
Was kann ich als nächstes tun, damit über den Server keine Spammails versendet werden? Ich tippe auf den User wwwrun, kann man irgendwie den User herausbekommen?

Infos:
Suse 9.0
Postfix
(Confixx)
Der Server wird momentan von vier Personen verwendet, es läuft z.B. Joomla und XTCommerce drauf.

Ich hoffe das wir das bald wieder hinbekommen, damit die anderen Ihre Weihnachtsmails versenden können. :D

Schonmal vielen Dank!

Klar kriegt man das hin.

Kiste ausschalten und neu installieren.

Dann _vorher_ vernünftig absichern.

Alles andere ist sinnlos.

Wurde ein Server einmal korrumpiert, wurden mit 100% Sicherheit schon weitere Tools eingeschleußt und weitere Lücken geöffnet. Hier anzufangen die Fehler zu beheben ist mehr als Sinnlos und eine Schlacht die man nicht mehr gewinnen kann! Besser ist es, die Kiste einzustampfen, vorher noch Datenbanken sichern und dann anhand der Dokumentation die Kiste neu aufzusetzen und das Backup einzuspielen.

Schlecht wäre es natürlich nicht, wenn man versucht herauszufinden wie der Server korrumpiert wurde um die entsprechende Lücke zu schließen und dann allgemein eine strengere Richtlinie zu fahren.

Schöne Weihnachtsgrüße

Martin

davon mal abgesehen, gibt es für suse 9.0 auch keinen offiziellen support mehr.

Vielen Dank für die Antworten. Kann man erstmal den wwwrun-User sperren? Mein Freund kommt am Mittwoch wieder, dann könnte er den Server neu aufsetzen..

Auch von mir schöne Weichnachtsgrüße :D

falscher ansatz.

ich würde an deiner stellen den server ausschalten.
da kannst du zumindest mal sicher sein, dass dir nichts weiteres mehr passiert.

Hi!

wwwrun ist der System-User für den Apache. Vermutlich wird irgendein Mail- oder Kontaktformular auf dem Server genutzt, um die Spammails zu verschicken. Ich würde das jeweilige Skript lahmlegen oder die Funktion mail() in der php.ini deaktivieren. Allerdings können dann von keinem Skript mehr aus Mails verschickt werden. Funktionen wie "Registrierung" oder "Passwort vergessen" von z.B. Joomla funktionieren dann wohl nicht mehr. Auch XTCommerce kann dann keine Mails mehr verschicken.

Gruß
fuffy

Schau mal in das Apachelog welche Seiten so ziemlich oft aufgerufen werden, dann findest wahrscheinlich auch den Übeltäter...

EDIT: So ferns an einem Formular liegt!

Vielen Dank für die Tipps. Wir werden den Server dann neuaufsetzen!

Ich wünsche allen linuxforen.de - User ein frohes Fest.

Du kannst ja mal testweise die Tools rkhunter und rootkit über den Server laufen lassen und nachsehen, ob irgendwelche Kits installiert wurden. Dennoch ist es besser den Server mit aktueller Software neu zu installieren.

Du kannst ja mal testweise die Tools rkhunter und rootkit über den Server laufen lassen und nachsehen, ob irgendwelche Kits installiert wurden. Dennoch ist es besser den Server mit aktueller Software neu zu installieren.

Kleine Anmerkung (nicht böse sein):
Wenn der Server wirklich von einem einigermaßen intelligenten Rootkit heimgesucht wurde, dann wird sich dieses nicht so leicht von so einem Tool entdecken lassen wollen.
Ein Rootkit-Check-Tool ist nur dann sinnvoll, wenn es von einem sauberen System aus (z.B. LiveCD) läuft.