f.gruber
Eroberer
... vielleicht eine doofe Frage, aber gibt es eventuell einen Ersatzserver? Oder zumindest etwas, was darauf verweist, dass es im Moment technische Probleme gibt?
Genau da liegt das Problem. Ich kann nicht von heute auf morgen einen Ersatzserver hervorzaubern. Leider laufen alle Services auf der gleichen Maschine. Das ist ein Fehler, ok - aber bis jetzt hat es ja geklappt, immerhin schon 5 Jahre lang.
Aber ich werde mich dieses Wochenende darum bemühen, einen anderen Rechner als Server aufzusetzen.
Zurück zum SPAM-Problem:
Ich habe postfix abgeschaltet. Seitdem ist Ruhe, wie ich an den Logfiles sehe. Immerhin einmal etwas Positives, denke ich ...
Einige Ports habe ich auch zugemacht.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
@Rain_Maker:
Ahh gut, hatte die IP aus der Mail nicht ausprobiert...
Ja da hat man natürlich ne Menge potentielle Löcher...
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Hmm da ist aber einiges nach außen hin offen:
Code:pecos@centurio ~ % nmap -vA xxx.xxx.xxx.xxx Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-23 23:18 CEST Initiating Ping Scan at 23:18 Scanning xxx.xxx.xxx.xxx [1 port] Completed Ping Scan at 23:18, 1.04s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 23:18 Completed Parallel DNS resolution of 1 host. at 23:19, 8.01s elapsed Initiating Connect Scan at 23:19 Scanning xxx.xxx.xxx.xxx [1000 ports] Discovered open port 3306/tcp on xxx.xxx.xxx.xxx Discovered open port 25/tcp on xxx.xxx.xxx.xxx Discovered open port 80/tcp on xxx.xxx.xxx.xxx Discovered open port 22/tcp on xxx.xxx.xxx.xxx Increasing send delay for xxx.xxx.xxx.xxx from 0 to 5 due to 11 out of 15 dropped probes since last increase. Discovered open port 21/tcp on xxx.xxx.xxx.xxx Discovered open port 110/tcp on xxx.xxx.xxx.xxx Connect Scan Timing: About 46.55% done; ETC: 23:20 (0:00:34 remaining) Increasing send delay for xxx.xxx.xxx.xxx from 5 to 10 due to 11 out of 16 dropped probes since last increase. Increasing send delay for xxx.xxx.xxx.xxx from 10 to 20 due to 11 out of 11 dropped probes since last increase. Connect Scan Timing: About 55.90% done; ETC: 23:21 (0:00:52 remaining) Increasing send delay for xxx.xxx.xxx.xxx from 20 to 40 due to 11 out of 12 dropped probes since last increase. Increasing send delay for xxx.xxx.xxx.xxx from 40 to 80 due to 11 out of 12 dropped probes since last increase. Connect Scan Timing: About 70.62% done; ETC: 23:21 (0:00:50 remaining) Discovered open port 143/tcp on xxx.xxx.xxx.xxx Completed Connect Scan at 23:22, 221.16s elapsed (1000 total ports) Initiating Service scan at 23:22 Scanning 7 services on xxx.xxx.xxx.xxx Completed Service scan at 23:23, 23.67s elapsed (7 services on 1 host) SCRIPT ENGINE: Initiating script scanning. Initiating SCRIPT ENGINE at 23:23 Completed SCRIPT ENGINE at 23:23, 0.45s elapsed Host xxx.xxx.xxx.xxx appears to be up ... good. Interesting ports on xxx.xxx.xxx.xxx: Not shown: 991 filtered ports PORT STATE SERVICE VERSION 21/tcp open ftp |_ Anonymous FTP: FTP: Anonymous login allowed |_ FTP bounce check: bounce working! 22/tcp open ssh OpenSSH 5.1 (protocol 2.0) 25/tcp open smtp Postfix smtpd |_ SMTPcommands: EHLO mail.hs-schallerbach.at, PIPELINING, SIZE 10240000, VRFY, ETRN, ENHANCEDSTATUSCODES, 8BITMIME, 250 DSN 80/tcp open http Apache httpd 2.2.10 ((Linux/SUSE)) | robots.txt: has 1 disallowed entry |_ / |_ HTML title: Umleitung 110/tcp open pop3 Dovecot pop3d |_ POP3 Capabilites: USER CAPA UIDL PIPELINING RESP-CODES TOP SASL(PLAIN) 113/tcp closed auth 143/tcp open imap Dovecot imapd 443/tcp closed https 3306/tcp open mysql MySQL 5.0.67 | MySQL Server Information: Protocol: 10 | Version: 5.0.67 | Thread ID: 531 | Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection | Status: Autocommit |_ Salt: y45K\m/?1uy%HxF3jAEs 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : SF-Port21-TCP:V=4.76%I=7%D=6/23%Time=4A4147AB%P=i686-pc-linux-gnu%r(NULL,2 SF:A,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n")%r SF:(GenericLines,76,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schalle SF:rbach\"\r\n530\x20Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n5 SF:30\x20Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n")%r(Help,50, SF:"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n530\x2 SF:0Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n")%r(SMBProgNeg,2A SF:,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n"); Service Info: Host: mail.hs-schallerbach.at Read data files from: /usr/share/nmap Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 254.48 seconds
Ich denke nicht, dass das wirklich alles nach außen hin offen sein muss. Abgesichert wurde da wohl nicht so viel?
Am besten die Kiste schnellst möglich vom Netz nehmen, bis sie ordentlich abgesichert ist...
Hallo,
ich habe eine Bitte:
Kannst du in dem Thread im Code, der die Ausgabel von "nmap" zeigt, die IP Adresse unseres Servers unkenntlich machen.
Ich habe leider in einem meiner Postings übersehen, die IP zu verschleiern.
Übrigens, ich habe einige Ports geschlossen und postfix abgeschaltet. Jetzt ist Ruhe.
Zuletzt bearbeitet: