Postfix aus nicht vertrauenswürdigen Quellen

[helsch]

...

[TRex]

Na bei 1) bin ich jetzt etwas misstrauisch... bist du dir da sicher? APT wollte ein update machen. Du hast *jetzt* 2.9.6-2, was hattest du vorher, also vor deinem manuellen update? APT installiert ja nicht aus einer Laune heraus ein Paket neu. Hast du ein Image der Installation vorher gemacht, zwecks Beweissicherung? Kennst du ja von den Krimis, wo sich alle über den Idioten aufregen, der durch den Tatort trampelt und Beweise vernichtet. Der willst du nicht sein.

zu 2,3): weißt du das oder vermutest du das nur? Der Unterschied liegt darin, dass du ein intaktes Schloss siehst und annimmst, dass niemand durch die Tür kam vs. Spuren am Schloss des Fensters (in dem Fall Logs, die beweisen, dass die vorige Version über das Repo kam - apt-cache policy reicht da vermutlich nicht).

Du kannst debsums installieren, danach debsums postfix ausführen (das prüft die aktuelle Installation) und dann nochmal mit der Datei aus /var/cache/apt/archives/postfix* (der Version, die vor dem manuellen Update installiert wurde).

Kannst du erkennen, was die Ursache für die Installation war? webmin-cronjob oder sowas? Du hast meine Aufzählung beantwortet, aber nicht die ausformulierten Fragen, die zur Beantwortung gedacht waren.

[helsch]

...

[helsch]

...

[weshalb]

Im Nachhinein kann ich sagen, dass der wesendliche Fehler bei mir lag. Webmin schaut einmal Wöchendlich nach Updates auf den Debian Server nach und sendet mir eine Mail mit einer Liste der Updates. Sind Updates als Sicherheitsupdates eingestuft, wurden diese auch automatisch installiert. Im Nachhinein ein sehr großer Fehler.

Du schriebst ja, dass Webmin nur von intern aufrufbar ist. Wie ist denn dann der "Hacker" da rauf gekommen? Ich glaube kaum, dass Webmin sich selbst durch Updates da was runtergezogen hat.

[eggy]

Vielleicht seh ich da nen Zusammenhang nicht, aber ich fass mal zusammen:
Du gehst davon aus, dass Dir jemand per DNS ne falsche IP für die Debianserver untergeschoben hat. Und Dein Autoupdate daher ein Paket mit bösem Inhalt installiert hat.

Die Debian Pakete sind alle signiert, wenn also jemand am Paket manipuliert oder es durch was selbstgebautes ersetzt, dann stimmt die Signatur nicht mehr - und der Versuch nen Paket mit kaputter Signatur zu installieren, gibt von der Paketmanagmentseite her, erstmal ne Fehlermeldung.
Jetzt wäre die Frage, wie geht dein Autoupdater (Webmin) mit so einer Meldung um? Ignoriert es das Update? Dann sollte (wäre zumindest hilfreich) etwas im Log dazu stehen (falls da überhaupt geloggt wird). Ignoriert es das Update nicht und installiert trotz Warnung? Das würde dann unter grob fahrlässig laufen und Du solltest Du den Krams schnellstens entsorgen.

Ich bleib dabei, es ist wahrscheinlicher, dass da was Anderes abgelaufen ist.
Wie siehts mit der Remotekonsole aus? Irgendwo Telnet als "sicherer" Login verwendet? Ausversehn das Management-Interface an ne externe IP gebunden?

[DeletedUserReAsG]

Da besteht auch das kleine Problem diese virtuelle Maschine zu Testzwecken in Betreib zu nehmen. Bei jedem Start warten 1/2Mil. eMails im Postausgang von Postfix auf einen Versand

Auch VMs kann man mit ’nem Rettungs- oder auch Livesystem hochfahren (also ohne Postfix zu starten).

[helsch]

...

[eggy]

Wenn ich dir einen falschen Fünfziger unter jubeln will werde ich den bestimmt nicht in rosa ausdrucken - !

Demzufolge nach, müsste es ja jemand geschafft haben ein falsches Paket mit echter Signatur zu versehen - wenn das jemand schafft, dann hat er lohnendere Ziele als "nur ein bisschen Spam versenden".

Läuft APTITUDE durch und das Postfixpaket von Debian wird installiert, ist danach auf Port 25 alles wieder i.O.
Wenn du mir das nachvollziehbar erklären kannst nehme ich dir alles andere auch ab.

kein Problem:
1. Du installierst Postfix aus Debianquellen
2. Du gibst mir root, ich installier mein Postfix drüber, gebaut aus den gleichen Quellen wie das orig .deb, aber mit nem kleinen zusätzlichen Patch, der dafür sorgt, dass Deine config weitgehend ignoriert und meine mit ins binary compilierte default config benutzt wird.
3. Du machst nen Update, das binary verhält sich wieder wie gewohnt, d.h. es beachtet all Deine gewünschten Einstellungen.

[weshalb]

Du gibst mir root

Zumal

Im Syslog habe ich ab der besgaten Uhrzeit sehr viele Root Logins

[r4pt0r]

Starte das System im Rettungsmodus und mach alle ports ausser ssh dicht - Bzw noch besser: erstelle z.B. per clonezilla live-cd ein Abbild und pack eine kopie davon in eine isolierte VM (snapshots nutzen!!). Dann lässt sich das System sezieren ohne dass die verseuchte Kiste weiterhin ins netz spamt...

Werden beim Update des pakets configdateien ersetzt (warnungen von apt bzw hinterher timestamp)?

Hast du mittlerweile die Checksummen der beiden .deb-pakete mit angeblich gleicher version verglichen? Wenn hier wirklich was faul ist lade uns das "fischige" Paket irgendwo hoch damit es untersucht und ggf die Herkunft bestimmt werden kann.



Und nochmal:
Für die Verwaltung braucht man keinen Webmin/ISPConfig/... das dem System komplett die Hosen runterlässt. Für die Verwaltung von Mailusern tuns ein paar scripte für die häufig anfallenden sql-queries - da muss nix übers web zugänglich sein... Gerade Mailserver *müssen* die Angriffsfläche so klein wie möglich halten da sie lieblingsziel nr1 für alle arten von nervigem Abschaum (spammer, phisher, scriptkiddies...) sind. Webmin, ISPConfig & co sind da ne Einladung mit Handkuss wenn öffentlich zugänglich.
Wenn mans schon unbedingt braucht dann zumindest nur per vpn zugänglich!

[helsch]

...

[helsch]

...

[DeletedUserReAsG]

Üblicherweise werden solche Sachen heutzutage eher mehrstufig gefahren. Sind alle Rechner im Netz geprüft worden? SSH via Schlüssel abzusichern bringt zum Beispiel gar nichts, wenn der Schlüssel auf ’ner aufgemachten Maschine liegt. RDP habe ich auch nicht als allzu sicher in Erinnerung. Aber da offensichtlich Windowskisten involviert sind (als Hostsystem, ist mir weiter vorne im Thread gar nicht aufgefallen, dass du sowas bei der Problembeschreibung und im Threadverlauf erwähnt hättest …), ist dies wahrscheinlich eh das falsche Forum zu dem Problem.

Daher werden wir hier das Thema schließen, sorry.

Wer, „wir“?

[helsch]

Wer, „wir“?

Das IT-Unternehmen welches sich der Sache nun freundlicher Weise angenommen hat und mir.

Da hinter dem ganzen mehr steckt als wir geahnt haben gibt es zu dem Thema keine weiteren Infos.
Herzlichsten Dank an alle die hilfreich Beiträge geleistet haben!

Thema noch nicht gelößt aber geschlossen!

[DeletedUserReAsG]

… ich wollte mit der rhetorischen Frage auch eher darauf hingewiesen haben, dass es hier nicht üblich ist, Themen zu schließen.

Wie auch immer – wäre nett, wenn du eine kurze Zusammenfassung geben könntest, sobald die Umstände es erlauben.

[weshalb]

Ja, so kann es nur gewesen sein. Da sitzt Helschi quasi zusammen mit einem IT-Unternehmen (wahrscheinlich sogar in einem abhörsicheren Raum) und man beschließt gemeinsam, obwohl weder Namen noch verwertbare Details genannt wurden, das Thema im Debianforum zu schließen.

[owl102]

und man beschließt gemeinsam, obwohl weder Namen noch verwertbare Details genannt wurden, das Thema im Debianforum zu schließen

...und alle eigenen Beiträge in diesem Thread zu löschen. Sehr schade.

[eggy]

Nein, das ist nicht schade - das ist unverschämt.

Ein Forum dient nicht nur dazu, ein aktuelles Problem zu klären.
Der (für mich) viel größere Vorteil von Foren ist, dass darin Wissen archiviert wird.
D.h. sobald das gleiche oder ein ähnliches Problem, bei mir oder jemand anderem auftritt, kann man auf bereits zusammengetragene Lösungsansätze zurückgreifen.

Durch das Löschen nimmst Du uns und anderen diese Möglichkeit.

[DeletedUserReAsG]

Eine Respektlosigkeit denen gegenüber, die Zeit und Mühe reingesteckt haben, ist das. Traurig, aber solche Leute gibt’s halt

Nun ja – damit hat er diesen Account im Forum jedenfalls verbrannt. Da wird so schnell keine Unterstützung mehr kommn …

[TRex]

Sowas bringt mich auf die Palme.

@helsch:

Such dir deine Hilfe beim nächsten Mal direkt bei nem kommerziellen Anbieter.

[slu]

Ich war auch sehr an dem Problem interessiert, wenn auch passiv.
Alle Beiträge zu vernichten, dazu fällt mir nichts mehr ein.

[weshalb]

Ganz ehrlich, was stand denn da schon?

Ich fasse den Kauderhelsch nochmal grob zusammen:

Server werden in VM's gefahren, zwei Portangaben, Webmin mit automatischen Sicherheitsupdates, vermutete umgebogene DNS,SSH Zugriff mit Schlüssel, Test in isolierter Umgebung (zwischenzeitlich den Fehler gefunden), plötzlich doch keine Testmöglichkeit mehr, Rootlogins ab besagtem Zeitpunkt, obwohl ein fremder Rootzugang ausgeschlossen wurde und zum Schluss die Krönung: RDP Zugriff.

(Habe ich was vergessen?)

Und alles sprachlich ohne die nötige Etiquette. (ich bekam in der Mitte des Threads sogar eine böse PM)

Die Antworten, bezogen auf das Thema, sind für mich trotzdem wertvoll.

[Blackbox]

zum Schluss die Krönung: RDP Zugriff.

Noch so ein Kandidat dem man besser keine Serverthreads mehr beantworten sollte - Hammer, wer hier alles Server betreibt.
Soviel Ahnungslosigkeit sollte doch honoriert werden, denkt euch mal etwas passendes aus... *verstörtkopfschüttel*

[weshalb]

Noch so ein Kandidat dem man besser keine Serverthreads mehr beantworten sollte - Hammer, wer hier alles Server betreibt.
Soviel Ahnungslosigkeit sollte doch honoriert werden, denkt euch mal etwas passendes aus... *verstörtkopfschüttel*

Du scheinst den Thread nicht verfolgt zu haben. Das ist natürlich mehr als d.......