wwwrun verschickt SPAM

f.gruber

f.gruber

Eroberer
Hallo,
seit einigen Tagen stelle ich fest, dass von unserem Server an der Schule anscheinend massenhaft SPAM verschickt wird und zwar vom Benutzer "wwwrun".

Ich habe schon viel gegoogelt, aber mein Fachwissen reicht nicht aus, um hier eine Lösung zu finden. Ich stehe daneben.
Kann mir bitte jemand helfen.

Die von den Empfängern als nicht zustellbare Nachrichten retournierten Mails, wegen denen ich ja überhaupt erst feststellen konnte, was da vorgeht, schauen so aus (Beispiel):

Code: 
 This is an automatically generated Delivery Status Notification

Delivery to the following recipient failed permanently:

     164295.90173@deadspin.com

   ----- Original message -----

Received: by 10.204.71.65 with SMTP id g1mr3026516bkj.27.1245450451975;
        Fri, 19 Jun 2009 15:27:31 -0700 (PDT)
Return-Path: <wwwrun@xxxxxxxx.at>
Received: from mail.xxxxxxxx.at ([xxx.xxx.xxx.xxx])
        by mx.google.com with ESMTP id 11si5664843fxm.65.2009.06.19.15.27.31;
        Fri, 19 Jun 2009 15:27:31 -0700 (PDT)
Received-SPF: neutral (google.com: xxx.xxx.xxx.xxx is neither permitted nor denied by best guess record for domain of wwwrun@xxxxxxxx.at) client-ip=xxx.xxx.xxx.xxx;
Authentication-Results: mx.google.com; spf=neutral (google.com: xxx.xxx.xxx.xxx is neither permitted nor denied by best guess record for domain of wwwrun@xxxxxxxx.at) smtp.mail=wwwrun@xxxxxxxx.at
Received: by mail.xxxxxxxx.at (Postfix, from userid 30)
	id 7DC431395BB; Sat, 20 Jun 2009 00:19:07 +0200 (CEST)
To: 164295.90173@deadspin.com
Subject: Avis important !
From:services.de.cartes.desjardins@scd.desjardins.com
Content-Type: text/html
Message-Id: <20090619221935.7DC431395BB@mail.xxxxxxxx.at>
Date: Sat, 20 Jun 2009 00:19:07 +0200 (CEST)


<img name="x" src="http://google.sumealco.com/.d.png" border="0" id="x" usemap="#x"><map name="x" id="x">
<area shape="rect" coords="8,232,195,245" href="http://google.sumealco.com/.d.php?x=fr" target="_blank">
<area shape="rect" coords="8,259,242,271" href="http://google.sumealco.com/.d.php?x=fra" target="_blank">

Hinweis: Die "xxx" habe ich eingefügt, um die Adressen unkenntlich zu machen.

Hinweis: Seit Jahren läuft alles normal, wie gesagt erst seit einigen Tagen taucht dieses Problem auf.
System: Suse 11.1 mit Postfix
 
Zuletzt bearbeitet:
Besteht von außerhalb Zugriff auf den Server? Also per Internet? Oder kann der Angriff von innen kommen? (In einer Schule muss man ja auf seine Schüler aufpassen)

Da die Mails über wwwrun versendet werden, würde ich mal in die Richtung Webserver forschen. Evntl. eine unsichere PHP Anwendung?

Was läuft denn noch so an Services und Daemons auf dem Server? Welche Webinterface basierten Anwendungen/Scripte? Und wie schon erwähnt: Zugriff aus dem Internet auf den Server also offene / weitergeleitete Ports?

Als erstes solltest Du den Server nun so schnell wie möglich vom Netz nehmen um größeren Schaden zu vermeiden...schließlich bist Du für das Zeug was der Server raushaut verantwortlich...
 
Die Log-Einträge zu der MailId wären ganz interessant.

Ich seh da im Moment noch 2 Möglichkeiten...

1. Jemand benutzt ein Script auf deiner Webseite um Mails zu versenden (daher wwwrun)
2. Jemand verschickt einfach mit dem User wwwrun@domain.

Kannst dich aber auch gerne per PN melden.

Gruss,
Martin
 
Uiui... Ja, da würd ich mal auf's Script tippen...

Also laut dieser komischen SMPT ID ist die Mail am 19.06.2009 um 15:27:31 bei Google eingetroffen. (Die ID ist nie im Leben nach RFC, oder???)

Jetzt würd ich mal in Weblog schauen, welches Script um diese Zeit aufgerufen wurde und es so schnell wie möglich von meinem Server entfernen.

Edit:

Ups, nicht aufgepasst... Die haben PDT wenn mich nicht alles täuscht ist das dann +9 Std. Also 0:27:31.
 
Zuletzt bearbeitet:
@Rain_Maker:
Ahh gut, hatte die IP aus der Mail nicht ausprobiert...
Ja da hat man natürlich ne Menge potentielle Löcher...
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Hmm da ist aber einiges nach außen hin offen:

Code: 
pecos@centurio ~ % nmap -vA xxx.xxx.xxx.xxx

Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-23 23:18 CEST
Initiating Ping Scan at 23:18                                  
Scanning xxx.xxx.xxx.xxx [1 port]                                
Completed Ping Scan at 23:18, 1.04s elapsed (1 total hosts)    
Initiating Parallel DNS resolution of 1 host. at 23:18         
Completed Parallel DNS resolution of 1 host. at 23:19, 8.01s elapsed
Initiating Connect Scan at 23:19                                    
Scanning xxx.xxx.xxx.xxx [1000 ports]                                 
Discovered open port 3306/tcp on xxx.xxx.xxx.xxx                      
Discovered open port 25/tcp on xxx.xxx.xxx.xxx                        
Discovered open port 80/tcp on xxx.xxx.xxx.xxx                        
Discovered open port 22/tcp on xxx.xxx.xxx.xxx                        
Increasing send delay for xxx.xxx.xxx.xxx from 0 to 5 due to 11 out of 15 dropped probes since last increase.
Discovered open port 21/tcp on xxx.xxx.xxx.xxx                                                               
Discovered open port 110/tcp on xxx.xxx.xxx.xxx                                                              
Connect Scan Timing: About 46.55% done; ETC: 23:20 (0:00:34 remaining)                                     
Increasing send delay for xxx.xxx.xxx.xxx from 5 to 10 due to 11 out of 16 dropped probes since last increase.
Increasing send delay for xxx.xxx.xxx.xxx from 10 to 20 due to 11 out of 11 dropped probes since last increase.
Connect Scan Timing: About 55.90% done; ETC: 23:21 (0:00:52 remaining)                                       
Increasing send delay for xxx.xxx.xxx.xxx from 20 to 40 due to 11 out of 12 dropped probes since last increase.
Increasing send delay for xxx.xxx.xxx.xxx from 40 to 80 due to 11 out of 12 dropped probes since last increase.
Connect Scan Timing: About 70.62% done; ETC: 23:21 (0:00:50 remaining)                                       
Discovered open port 143/tcp on xxx.xxx.xxx.xxx                                                                
Completed Connect Scan at 23:22, 221.16s elapsed (1000 total ports)                                          
Initiating Service scan at 23:22                                                                             
Scanning 7 services on xxx.xxx.xxx.xxx                                                                         
Completed Service scan at 23:23, 23.67s elapsed (7 services on 1 host)                                       
SCRIPT ENGINE: Initiating script scanning.                                                                   
Initiating SCRIPT ENGINE at 23:23                                                                            
Completed SCRIPT ENGINE at 23:23, 0.45s elapsed                                                              
Host xxx.xxx.xxx.xxxappears to be up ... good.                                                                
Interesting ports on xxx.xxx.xxx.xxx:                                                                          
Not shown: 991 filtered ports                                                                                
PORT     STATE  SERVICE VERSION
21/tcp   open   ftp
|_ Anonymous FTP: FTP: Anonymous login allowed
|_ FTP bounce check: bounce working!
22/tcp   open   ssh     OpenSSH 5.1 (protocol 2.0)
25/tcp   open   smtp    Postfix smtpd
|_ SMTPcommands: EHLO mail.hs-schallerbach.at, PIPELINING, SIZE 10240000, VRFY, ETRN, ENHANCEDSTATUSCODES, 8BITMIME, 250 DSN
80/tcp   open   http    Apache httpd 2.2.10 ((Linux/SUSE))
|  robots.txt: has 1 disallowed entry
|_ /
|_ HTML title: Umleitung
110/tcp  open   pop3    Dovecot pop3d
|_ POP3 Capabilites:  USER CAPA UIDL PIPELINING RESP-CODES TOP SASL(PLAIN)
113/tcp  closed auth
143/tcp  open   imap    Dovecot imapd
443/tcp  closed https
3306/tcp open   mysql   MySQL 5.0.67
|  MySQL Server Information: Protocol: 10
|  Version: 5.0.67
|  Thread ID: 531
|  Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection
|  Status: Autocommit
|_ Salt: y45K\m/?1uy%HxF3jAEs
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port21-TCP:V=4.76%I=7%D=6/23%Time=4A4147AB%P=i686-pc-linux-gnu%r(NULL,2
SF:A,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n")%r
SF:(GenericLines,76,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schalle
SF:rbach\"\r\n530\x20Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n5
SF:30\x20Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n")%r(Help,50,
SF:"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n530\x2
SF:0Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n")%r(SMBProgNeg,2A
SF:,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n");
Service Info: Host:  mail.hs-schallerbach.at

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 254.48 seconds

Ich denke nicht, dass das wirklich alles nach außen hin offen sein muss. Abgesichert wurde da wohl nicht so viel?

Am besten die Kiste schnellst möglich vom Netz nehmen, bis sie ordentlich abgesichert ist...
 
Zuletzt bearbeitet von einem Moderator:
SiS schrieb:
@Rain_Maker:
...
Am besten die Kiste schnellst möglich vom Netz nehmen, bis sie ordentlich abgesichert ist...
Zum Vergrößern anklicken....
Das werde ich wohl nicht tun. Es liegt ja unsere Homepage auf diesem Server und wie ihr gesehen habt einige andere Services, die täglich gebraucht werden.

Ich habe offensichtlich übersehen, die IP unkenntlich zu machen. Jetzt wisst ihr alles, aber vielleicht ist es sogar besser so.
Interessanterweise sind heute nur mehr 4 solche Retourmails gekommen. Werde natürlich trotzdem Schritt für Schritt der Sache nachgehen.

Jetzt muss ich einmal diese vielen Infos bzw. Kommentare aufarbeiten. Aber Panik ist, denke ich einmal, doch fehl am Platz - siehe oben!

Ich habe die Datei /var/log/apache2/access_log nach "wwwrun" durchsucht und bin fündig geworden. Es sieht so aus, als ob sich über unser Webmail (http://hs-schallerbach.at/horde/imp/) der Benutzer wwwrun eingeloggt hätte.
Wie kann das gehen?
Ich hätte es versucht, kann mich aber als "wwwrun" nicht einloggen. Der Benutzer hat ja kein Passwort, in der /etc/shadow ist ein * anstelle des Passwortes.
Hier das Ergebnis von:
Code: 
cat /var/log/apache2/access_log | grep wwwrun
Code: 
78.104.10.236 - - [21/Jun/2009:10:27:26 +0200] "GET /horde/index.php?url=http%3A%2F%2Fhs-schallerbach.at%2Fhorde%2Fimp%2Flogin.php%3Fimapuser%3Dwwwrun%26horde_logout_token%3DkblafBPy15JCkilF9Q5NbkRUUBs%26app%3Dimp%26logout_reason%3Dfailed HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
78.104.10.236 - - [21/Jun/2009:10:27:26 +0200] "GET /horde/imp/login.php?imapuser=wwwrun&horde_logout_token=kblafBPy15JCkilF9Q5NbkRUUBs&app=imp&logout_reason=failed HTTP/1.1" 200 3078 "http://hs-schallerbach.at/horde/imp/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
78.104.10.236 - - [21/Jun/2009:14:26:38 +0200] "POST /horde/imp/redirect.php HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=kblafBPy15JCkilF9Q5NbkRUUBs&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
78.104.10.236 - - [21/Jun/2009:14:26:40 +0200] "GET /horde/index.php?url=http%3A%2F%2Fhs-schallerbach.at%2Fhorde%2F HTTP/1.1" 200 336 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=kblafBPy15JCkilF9Q5NbkRUUBs&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
78.104.16.225 - - [24/Jun/2009:11:46:40 +0200] "GET /horde/index.php?url=http%3A%2F%2Fhs-schallerbach.at%2Fhorde%2Fimp%2Flogin.php%3Fimapuser%3Dwwwrun%26horde_logout_token%3DWgLAdd6NFtL811_IdlVrvEc62NU%26app%3Dimp%26logout_reason%3Dfailed HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
78.104.16.225 - - [24/Jun/2009:11:46:40 +0200] "GET /horde/imp/login.php?imapuser=wwwrun&horde_logout_token=WgLAdd6NFtL811_IdlVrvEc62NU&app=imp&logout_reason=failed HTTP/1.1" 200 3078 "http://hs-schallerbach.at/horde/imp/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
78.104.16.225 - - [24/Jun/2009:11:53:00 +0200] "POST /horde/imp/redirect.php HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=WgLAdd6NFtL811_IdlVrvEc62NU&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
78.104.16.225 - - [24/Jun/2009:11:53:21 +0200] "GET /horde/index.php?url=http%3A%2F%2Fhs-schallerbach.at%2Fhorde%2Fimp%2Flogin.php%3Fimapuser%3Dwwwrun%26horde_logout_token%3DGfnyaFIMpb-MAPMYBEXw6F8eIkc%26app%3Dimp%26logout_reason%3Dfailed HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=WgLAdd6NFtL811_IdlVrvEc62NU&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
78.104.16.225 - - [24/Jun/2009:11:53:22 +0200] "GET /horde/imp/login.php?imapuser=wwwrun&horde_logout_token=GfnyaFIMpb-MAPMYBEXw6F8eIkc&app=imp&logout_reason=failed HTTP/1.1" 200 3078 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=WgLAdd6NFtL811_IdlVrvEc62NU&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
Horde-IMP verwende ich leider nicht in der neuesten Version, weil das Updaten so aufwändig ist. Ich werde es so bald wie möglich machen ...
Kann damit jemand mit dem Log was anfangen?
 
Zuletzt bearbeitet:
f.gruber schrieb:
Das werde ich wohl nicht tun. Es liegt ja unsere Homepage auf diesem Server und wie ihr gesehen habt einige andere Services, die täglich gebraucht werden.

...

Jetzt muss ich einmal diese vielen Infos bzw. Kommentare aufarbeiten. Aber Panik ist, denke ich einmal, doch fehl am Platz - siehe oben!
Zum Vergrößern anklicken....

Du solltest Dir aber im klaren sein, dass Du rechtlich dafür verantwortlich bist, was mit dem Server passiert. D.h. Du kannst für den versendeten Spam und was womöglich noch so alles über den Server läuft belangt werden.

Mit Panik hat das auch nichts zu tun. Du verschaffst Dir dadurch ja sogar mehr Zeit alles in Ruhe wieder abzusichern...und bei dem was wir bis jetzt gesehen haben scheint da wirklich einiges nach außen hin offen zu sein...
 
SiS schrieb:
Am besten die Kiste schnellst möglich vom Netz nehmen, bis sie ordentlich abgesichert ist...
Zum Vergrößern anklicken....

f.gruber schrieb:
Das werde ich wohl nicht tun. Es liegt ja unsere Homepage auf diesem Server und wie ihr gesehen habt einige andere Services, die täglich gebraucht werden.
Zum Vergrößern anklicken....

Auch wenns vielleicht nervt:

Haftpflichtversicherung vorhanden? Zahlt die auch bei grober Fahrlässigkeit? Ggf. auch dienstrechtliche, arbeitsrechtliche oder disziplinarische Konsequenzen bedacht?
 
Was ist offen?

SiS schrieb:
... und bei dem was wir bis jetzt gesehen haben scheint da wirklich einiges nach außen hin offen zu sein...
Zum Vergrößern anklicken....
Der FTP Server bietet nur ein bestimmtes Verzeichnis für den anonymen Zugriff an.
Die Benutzer können sich über FTP einloggen, allerdings haben sie nur Zugriff auf ihr Home über FTP
Der Zugriff auf Samba ist nur im lokalen Netzwerk möglich.
Der Zugriff über SSH kann wohl als sicher gelten, das Root Passwort weiß niemand, habe es erst vor kurzem geändert.
Ok, wir haben ein Webmail, das können aber nur unsere User nützen - so hat es bisher jedenfalls funktioniert, und das seit Jahren!
Postfix ist nicht als offenes Relay konfiguriert.
Der Webserver denke ich, ist auch sicher konfiguriert.

Einfach den Server abschalten, das geht halt nicht so einfach.

Bitte um konkrete Tipps, die Rute im Fenster habe ich gesehen, helfen tut das wenig!
 
f.gruber schrieb:
Der Zugriff über SSH kann wohl als sicher gelten, das Root Passwort weiß niemand, habe es erst vor kurzem geändert.
Zum Vergrößern anklicken....
Naja - offenes root-Login ist eigentlich schon ein NoGo.

f.gruber schrieb:
Ok, wir haben ein Webmail, das können aber nur unsere User nützen - so hat es bisher jedenfalls funktioniert, und das seit Jahren!
Postfix ist nicht als offenes Relay konfiguriert.
Der Webserver denke ich, ist auch sicher konfiguriert.
Zum Vergrößern anklicken....
Auch immer schön brav seit Jahren alle Patches eingespielt?

Die Möglichkeit, Spam über Webscripte zu versenden lässt da eigentlich ein paar schlechte Vermutungen zu...

Und MySQL sollte auch nicht unbedingt offen sein...
 
marce schrieb:
Naja - offenes root-Login ist eigentlich schon ein NoGo.
Zum Vergrößern anklicken....
Die Authentifizierung erfolgt über Schlüsselpaare ...
Ich brauche SSH, um von zu Hause aus den Server zu warten.
Auch immer schön brav seit Jahren alle Patches eingespielt?
Zum Vergrößern anklicken....
Habe soeben über SSH "zypper up" durchgeführt. Verlasse mich da auf Suse.
Die Möglichkeit, Spam über Webscripte zu versenden lässt da eigentlich ein paar schlechte Vermutungen zu ...
Zum Vergrößern anklicken....
Tja, welches Webscript?
Und MySQL sollte auch nicht unbedingt offen sein ...
Zum Vergrößern anklicken....
Ist nicht offen. Nur localhost kann MySQL benutzen, also der Webserver, der muss es ja benutzen können. Ich brauch es ja für Wordpress, Joomla, etc. ...
 
f.gruber schrieb:
Die Authentifizierung erfolgt über Schlüsselpaare ...
Ich brauche SSH, um von zu Hause aus den Server zu warten.
Zum Vergrößern anklicken....
Aber nicht als root - es empfiehlt sich, einen sep. Zugang zu setzen und dann sudo / su zu verwenden...

f.gruber schrieb:
Habe soeben über SSH "zypper up" durchgeführt. Verlasse mich da auf Suse.
Zum Vergrößern anklicken....
Und absolut alles auf dem System kommt über yast? Also auch Wordpress, Joomla, phpMyAdmin, den Webmailer, ...?

f.gruber schrieb:
Ist nicht offen. Nur localhost kann MySQL benutzen, also der Webserver, der muss es ja benutzen können. Ich brauch es ja für Wordpress, Joomla, etc. ...
Zum Vergrößern anklicken....
Wenn ich die nmap-Ausgabe oben richtig interpretiere (oder hab ich mich verlesen?) ist mysql offen...

Ach ja - das phpMyAdmin würde schleunigst per .htaccess zu machen...
 
Zuletzt bearbeitet:
f.gruber schrieb:
Der Zugriff über SSH kann wohl als sicher gelten, das Root Passwort weiß niemand, habe es erst vor kurzem geändert.
Zum Vergrößern anklicken....
War zum Zeitpunkt der Änderung bereits eine Schadsoftware bzw. ein Rootkit eingeschleust, hat der Angreifer bereits das neue Passwort. Beliebt sind da z.B. Fake-Logging-Devices in /dev, die die Aufgabe übernehmen Passwörter von speziell modifizierten passwd-Programmen abzufangen und weiterzuleiten u.ä. Du machst jedenfalls nicht den Eindruck, als könntest du einen Rootkit im System erkennen.

f.gruber schrieb:
Ok, wir haben ein Webmail, das können aber nur unsere User nützen - so hat es bisher jedenfalls funktioniert, und das seit Jahren!
Zum Vergrößern anklicken....
Wann wurde der das letzte Mal aktualisiert ?

f.gruber schrieb:
Der Webserver denke ich, ist auch sicher konfiguriert.
Zum Vergrößern anklicken....
Denken ist nicht wissen. Schon wenn der wwwrun-Benutzer eine richtige Shell hat, ist der Webserver potentiell unsicher. Besteht kein noexec für /tmp und den Ordner, wo die Session-Dateien abgelegt werden, ist der Webserver potentiell unsicher. Ist veraltete Websoftware installiert, ist der Webserver potentiell unsicher. Und da die Kiste offenbar schon Teil eines Bot-Netzwerks geworden ist, ist er nicht nur potentiell, sondern mit absoluter Sicherheit unsicher.

f.gruber schrieb:
Einfach den Server abschalten, das geht halt nicht so einfach.
Zum Vergrößern anklicken....
Dir scheinen deine Pflichten als Admin nicht klar zu sein. Du (bzw. der Betreiber des Servers) machst dich strafbar, wenn du den Rechner nicht vom Netz nimmst und dieser weiterhin andere Leute mit seinem Spam zuschüttet oder ggf. sogar noch für andere Zwecke missbraucht wird, die du offensichtlich nicht einblicken kannst.

f.gruber schrieb:
Bitte um konkrete Tipps, die Rute im Fenster habe ich gesehen, helfen tut das wenig!
Zum Vergrößern anklicken....

Der einzige sinnvolle konkrete Tipp kam hier schon: Kiste vom Netz nehmen, neu einrichten! Tust du dies nicht, rechne damit, dass Admins wie ich, durchaus auch Anzeige erstatten, wenn sie von Servern mit deutscher IP Spam erhalten. Das kann recht schnell ziemlich teuer für den Betreiber eines solchen Servers werden, vor allem wenn nachgewiesen werden kann, dass trotz bekanntwerden der "Infektion" keine entsprechenden Gegenmaßnahmen getroffen wurden. Das sieht dann nämlich jeder Richter als grob fahrlässig an und spätestens dann bezahlt dafür keine Versicherung mehr.
 
Na kein Wunder : http://schulen.eduhi.at/schallerbach/Kontakt/Mail.php?Status=webmaster

Im übrigen haben sie wohl noch nicht das wichtigste der Handbücher, die Bibel jedes Systemadministrators gelesen bei Woche FA heist es da

Im Workstation-Cluster ist ganz schn Betrieb: 24 Benutzer tun so als würden sie wissenschaftlich arbeiten. Alle Netzsegmente funktionieren, und im PC-Labor klickern die Keyboards der Studenten um die Wette- Und alles läuft wie geschmiert.
Ich starte eine Handvoll Jobs mit hoher Prioriät die eine Faktorenanalyse über sämtliche Postleitzahlen Deutschlands(mit neuen Bundesländern!) durchführen und verteile sie auf die am meisten belasteten Worstations ...und vertausche zyklisch alle Drucker-Queues.
Nur damit sich die Mitarbeiter nicht dran gewöhnen, dass immer alles so glatt läuft !
Zum Vergrößern anklicken....
aus Florian Schiel - B.a.F.H. - Bastard Assistant from Hell - S. 246 - Goldmann
 
Zuletzt bearbeitet:
JBR schrieb:
Na kein Wunder : http://schulen.eduhi.at/schallerbach/Kontakt/Mail.php?Status=webmaster
Zum Vergrößern anklicken....

Wäre nett, wenn du mir sagst, was du meinst mit "kein Wunder". Das von dem Formular aufgerufene Mailingscript ist von http://phpmailer.codeworxtech.com/ und wird als sehr sicher beschrieben ...

Zynismus ist eigentlich fehl am Platz. Bis jetzt war ich eigentlich der Meinung, dass in der Community etwas anderes als Arroganz und Schadenfreude herrscht.

Aber bitte: Vielleicht stört dich das Wort "Schule" - da hat halt mancher so seine Komplexe!
 
Ich denke nicht, dass das hier jemand böse meint. Aber Du ignorierst eben ganz bewusst, das was im Moment am wichtigsten ist: Den Server vom Netz nehmen! (Hauptsächlich vom Internet nehmen besser sogar ganz aus (im Debian Howto zur Absicherung wird sogar empfohlen den Stecker zu ziehen um eine Softwareseitige Selbstzerstörung zu verhindern, die von der Schadsoftware im Falle einer Abschottung ausgeführt wird)

Das Wort Schule stört mich übrigens sicherlich nicht, da ich selber ein Schulnetzwerkverwalte
 
...vielleicht eine doofe Frage, aber gibt es eventuell einen Ersatzserver? Oder zumindest etwas, was darauf verweist, das es im Moment technische Probleme gibt?
 
Nun ich denke das man sich alles weitere sparen kann. Ich verfolge diesen Thread auch schon einige Zeit und habe es mir wirklich verkneifen müssen was zu sagen. Aber der Threadstarter ist offensichtlich nicht daran interessiert seinen Server zu sichern, sonst würde er nicht jedem Ratschlag hier wiedersprechen.

Wer nicht hören will muss eben früher oder später zahlen!

In diesem Sinne
 
und wird als sehr sicher beschrieben ...
Zum Vergrößern anklicken....
mh - Ein wenig merkwürdig ist es aber schon die Empfängeradresse als verstecktes Formularfeld zu übermitteln, es gibt eine Anzahl von Programmen die es ermglichen Formulardaten zu maniulieren und genauso ist das natürlich auch mit einem einfach Skript möglich ( z.B. http://search.cpan.org/~gaas/libwww-perl-5.827/lib/HTTP/Request/Common.pm )
Wenn du auch das Skript zum Mailversand gelöscht hast solltest du zumindest diese Sicherheitslücke im Griff haben.

Ansonsten ist eine Neuinstallation nach wie vor ratsam.

Zugegebenermaßen ein wenig Offtopic sind dein Vorwürfe schon
Aber bitte: Vielleicht stört dich das Wort "Schule" - da hat halt mancher so seine Komplexe!
Zum Vergrößern anklicken....

Das ich etwas gegen Schulen habe kann gut sein - Ich bin Schüler und nebenbei auch noch Administrator diverser Server meiner Bildungseinrichtung :) Und nur für den Fall das du wirklich recht hast, frag dich doch einfach mal weshalb da so mancher seine Komplexe hat. Kurz hör auf gleich wie ein trotziges kleines Kind zu reagieren, das ist einfach nicht angemessen.


Zynismus ist eigentlich fehl am Platz. Bis jetzt war ich eigentlich der Meinung, dass in der Community etwas anderes als Arroganz und Schadenfreude herrscht.
Zum Vergrößern anklicken....

Ich weis nicht ob ich zynisch bin - aber das du glaubst das ohne deinen Server gleich der Schulbetrieb zum erliegen kommt ist zumindest merkwürdig. Um es nochmal ganz deutlich zu machen: Das versenden von Spam kann rechtliche Folgen haben
http://de.wikipedia.org/wiki/Spam#Rechtslage_in_.C3.96sterreich
Allerdings bin ich weder Arrogant noch Schadenfroh, hoffe ich zumindest.
 
Anmelden, um zu antworten.

Ähnliche Themen

Modulfehler?
Modulfehler?: Hi Leute, ich hab ein problem... Ich hab mir eine Gigabit Netzwerkkarte gekauft (D-LINK DGE-528T), diese wird jedoch nicht erkannt... ich weiß nicht wo...

OpenSuse 11.1 USB Festplatte wird nicht erkannt
OpenSuse 11.1 USB Festplatte wird nicht erkannt: Hallo, ich habe von einem Arbeitskollegen eine USB Festplatte bekommen, diese wird seit kurzem nichtmehr erkannt, er hat da noch ungesicherte Daten drauf...

Jaunty + Zend + Gdata + xampp
Jaunty + Zend + Gdata + xampp: (irgendwie)Gelöst: Jaunty + Zend + Gdata + xampp Hi @ all! Ich wollte mich aus Uni-Zwecken ein Bisschen in die YouTube-API einarbeiten und hab...

Geforce GT 240m - Aspire 5739G - Treiberproblem - 6 faches Bild
Geforce GT 240m - Aspire 5739G - Treiberproblem - 6 faches Bild: Hallo, ich hab ein Problem mit dem NVidia Treiber, Sowohl mit dem Ubuntu eigenen als auch mit dem aktuellen Treiber von der NIVIDIA Homepage bekomme ich...

Fetchmail FC4 und Scalix
Fetchmail FC4 und Scalix: Hallo. Ich habe Fedora Core 4 mit Scalix am laufen. Ich rufe Mails mittels Pop3 von Strato mit fetchmail ab, was auch funktionierte. Seit dem ich aber...

Neueste Beiträge

Neueste Themen

Zurück
Oben