wwwrun verschickt SPAM

... vielleicht eine doofe Frage, aber gibt es eventuell einen Ersatzserver? Oder zumindest etwas, was darauf verweist, dass es im Moment technische Probleme gibt?

Genau da liegt das Problem. Ich kann nicht von heute auf morgen einen Ersatzserver hervorzaubern. Leider laufen alle Services auf der gleichen Maschine. Das ist ein Fehler, ok - aber bis jetzt hat es ja geklappt, immerhin schon 5 Jahre lang.

Aber ich werde mich dieses Wochenende darum bemühen, einen anderen Rechner als Server aufzusetzen.

Zurück zum SPAM-Problem:
Ich habe postfix abgeschaltet. Seitdem ist Ruhe, wie ich an den Logfiles sehe. Immerhin einmal etwas Positives, denke ich ...
Einige Ports habe ich auch zugemacht.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

@Rain_Maker:
Ahh gut, hatte die IP aus der Mail nicht ausprobiert...
Ja da hat man natürlich ne Menge potentielle Löcher...
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Hmm da ist aber einiges nach außen hin offen:

Code:
pecos@centurio ~ % nmap -vA xxx.xxx.xxx.xxx

Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-23 23:18 CEST
Initiating Ping Scan at 23:18                                  
Scanning xxx.xxx.xxx.xxx [1 port]                                
Completed Ping Scan at 23:18, 1.04s elapsed (1 total hosts)    
Initiating Parallel DNS resolution of 1 host. at 23:18         
Completed Parallel DNS resolution of 1 host. at 23:19, 8.01s elapsed
Initiating Connect Scan at 23:19                                    
Scanning xxx.xxx.xxx.xxx [1000 ports]                                 
Discovered open port 3306/tcp on xxx.xxx.xxx.xxx                      
Discovered open port 25/tcp on xxx.xxx.xxx.xxx                        
Discovered open port 80/tcp on xxx.xxx.xxx.xxx                        
Discovered open port 22/tcp on xxx.xxx.xxx.xxx                        
Increasing send delay for xxx.xxx.xxx.xxx from 0 to 5 due to 11 out of 15 dropped probes since last increase.
Discovered open port 21/tcp on xxx.xxx.xxx.xxx                                                               
Discovered open port 110/tcp on xxx.xxx.xxx.xxx                                                              
Connect Scan Timing: About 46.55% done; ETC: 23:20 (0:00:34 remaining)                                     
Increasing send delay for xxx.xxx.xxx.xxx from 5 to 10 due to 11 out of 16 dropped probes since last increase.
Increasing send delay for xxx.xxx.xxx.xxx from 10 to 20 due to 11 out of 11 dropped probes since last increase.
Connect Scan Timing: About 55.90% done; ETC: 23:21 (0:00:52 remaining)                                       
Increasing send delay for xxx.xxx.xxx.xxx from 20 to 40 due to 11 out of 12 dropped probes since last increase.
Increasing send delay for xxx.xxx.xxx.xxx from 40 to 80 due to 11 out of 12 dropped probes since last increase.
Connect Scan Timing: About 70.62% done; ETC: 23:21 (0:00:50 remaining)                                       
Discovered open port 143/tcp on xxx.xxx.xxx.xxx                                                                
Completed Connect Scan at 23:22, 221.16s elapsed (1000 total ports)                                          
Initiating Service scan at 23:22                                                                             
Scanning 7 services on xxx.xxx.xxx.xxx                                                                         
Completed Service scan at 23:23, 23.67s elapsed (7 services on 1 host)                                       
SCRIPT ENGINE: Initiating script scanning.                                                                   
Initiating SCRIPT ENGINE at 23:23                                                                            
Completed SCRIPT ENGINE at 23:23, 0.45s elapsed                                                              
Host xxx.xxx.xxx.xxx appears to be up ... good.                                                                
Interesting ports on xxx.xxx.xxx.xxx:                                                                          
Not shown: 991 filtered ports                                                                                
PORT     STATE  SERVICE VERSION
21/tcp   open   ftp
|_ Anonymous FTP: FTP: Anonymous login allowed
|_ FTP bounce check: bounce working!
22/tcp   open   ssh     OpenSSH 5.1 (protocol 2.0)
25/tcp   open   smtp    Postfix smtpd
|_ SMTPcommands: EHLO mail.hs-schallerbach.at, PIPELINING, SIZE 10240000, VRFY, ETRN, ENHANCEDSTATUSCODES, 8BITMIME, 250 DSN
80/tcp   open   http    Apache httpd 2.2.10 ((Linux/SUSE))
|  robots.txt: has 1 disallowed entry
|_ /
|_ HTML title: Umleitung
110/tcp  open   pop3    Dovecot pop3d
|_ POP3 Capabilites:  USER CAPA UIDL PIPELINING RESP-CODES TOP SASL(PLAIN)
113/tcp  closed auth
143/tcp  open   imap    Dovecot imapd
443/tcp  closed https
3306/tcp open   mysql   MySQL 5.0.67
|  MySQL Server Information: Protocol: 10
|  Version: 5.0.67
|  Thread ID: 531
|  Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection
|  Status: Autocommit
|_ Salt: y45K\m/?1uy%HxF3jAEs
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port21-TCP:V=4.76%I=7%D=6/23%Time=4A4147AB%P=i686-pc-linux-gnu%r(NULL,2
SF:A,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n")%r
SF:(GenericLines,76,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schalle
SF:rbach\"\r\n530\x20Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n5
SF:30\x20Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n")%r(Help,50,
SF:"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n530\x2
SF:0Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n")%r(SMBProgNeg,2A
SF:,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n");
Service Info: Host:  mail.hs-schallerbach.at

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 254.48 seconds

Ich denke nicht, dass das wirklich alles nach außen hin offen sein muss. Abgesichert wurde da wohl nicht so viel?

Am besten die Kiste schnellst möglich vom Netz nehmen, bis sie ordentlich abgesichert ist...

Hallo,
ich habe eine Bitte:
Kannst du in dem Thread im Code, der die Ausgabel von "nmap" zeigt, die IP Adresse unseres Servers unkenntlich machen.
Ich habe leider in einem meiner Postings übersehen, die IP zu verschleiern.
Übrigens, ich habe einige Ports geschlossen und postfix abgeschaltet. Jetzt ist Ruhe.
 
Zuletzt bearbeitet:
ich habe eine Bitte:
Kannst du in dem Thread im Code, der die Ausgabel von "nmap" zeigt, die IP Adresse unseres Servers unkenntlich machen.
Ich habe leider in einem meiner Postings übersehen, die IP zu verschleiern.

Dafür dürfte es jetzt schon deutlich zu spät sein. Das Internet vergisst nie, Google-Cache Beispielsweise auch selten.
 
sim4000, was möchtest du uns damit mitteilen? Wie man an von Google gecachte Inhalte gelangt dürfte doch eigentlich klar sein, oder?

Und wenn überhaupt, dann so:

http://209.85.129.132/search?q=cach...owthread.php?t=43212&cd=1&hl=de&ct=clnk&gl=de

Dies ist der Cache von Google von http://www.unixboard.de/vb3/showthread.php?t=43212. Es handelt sich dabei um ein Abbild der Seite, wie diese am 24. Juni 2009 10:25:45 GMT angezeigt wurde.

Und da ist jetzt die IP noch zu lesen.
 
Fahr doch mal postfix wieder hoch und entferne das Kontaktformular vollständig vom Server und schau was so alles passiert.
 
Hallo,
ich habe eine Bitte:
Kannst du in dem Thread im Code, der die Ausgabel von "nmap" zeigt, die IP Adresse unseres Servers unkenntlich machen.
Ich habe leider in einem meiner Postings übersehen, die IP zu verschleiern.
Übrigens, ich habe einige Ports geschlossen und postfix abgeschaltet. Jetzt ist Ruhe.

Goodspeed scheint das jetzt schon gemacht zu haben...
Aber auch wenn jetzt erstmal Ruhe ist solltest Du den Dich doch nochmal INTENSIV mit der Absicherung beschäftigen und am besten sogar die Kiste komplett neu aufsetzen, da man nie wissen kann ob das System nicht an anderer Stelle noch kompromittiert ist...

Ich fand zum Absichern immer das Handbuch zum Absichern von Debian nicht schlecht...
 
Aber auch wenn jetzt erstmal Ruhe ist solltest Du den Dich doch nochmal INTENSIV mit der Absicherung beschäftigen und am besten sogar die Kiste komplett neu aufsetzen, da man nie wissen kann ob das System nicht an anderer Stelle noch kompromittiert ist...
... und die anfertigung von Bakups machen einen Reset in Zukunft erheblich leichter.....

In diesem Sinne
 

Ähnliche Themen

Modulfehler?

OpenSuse 11.1 USB Festplatte wird nicht erkannt

Jaunty + Zend + Gdata + xampp

Geforce GT 240m - Aspire 5739G - Treiberproblem - 6 faches Bild

Fetchmail FC4 und Scalix

Zurück
Oben