debianforum.de

Hy,

ich habe einen Spambot auf dem Server und bin natürlich daran interessiert den los zu werden.
Wie sollte ich vorgehen?
Installiert ist Ubuntu 14.2 sowie Plesk 12.0.18.
Wenn ich den Postfix Server stoppe, scheinen keine Mails mehr raus zu gehen, jedenfalls bekomme ich keine Fehler Mail mehr vom Server.
Wie könnte ich vorgehen um das schuldige script oder den verantwortlichen Benutzerzugang heraus zu finden?

Vielen Dank

Ohne jetzt mal darauf einzugehen ob ein eigener Server für dich geeignet ist, rate ich dir nimm den Server sofort vom Netz und lasse jemanden daran der sich damit auskennt. Wenn du lernen möchtest wie ein Server zu administrieren ist eigne dir Grundlagen in einer vm an

Ich würde mich erst gar nicht mit der Verseuchung beschäftigen. Ein System was durch was auch immer eingenommen wurde, ist nicht länger vertrauenswürdig.

Was Ich tun würde:

1. Ein Backup des aktuellen Systems erstellen zur späteren Analyse
2. Den Server offline nehmen und komplett mit einem sauberen Backup überschreiben
3. Mich unmittelbar mit Maßnahmen beschäftigen, um den Server besser gegen Angriffe zu härten
4. Diese Sicherheitsmaßnahmen umsetzen, ehe dem Server erlaubt wird wieder online zu gehen

Hinterher kann man dann damit beginnen, dass Backup zu untersuchen. Von Vorteil wäre natürlich, wenn man ein recht zeitnahes und vor allem sauberes Backup besitzt, und somit beide Sicherungen direkt und einfacher miteinander vergleichen kann. Dann wird sich schon herausstellen was hier nicht hergehört, was allerdings auch Erfahrung erfordert.

Hy,

ich konnte es jetzt lösen ohne eine Neuinstallation.

Ich habe mal in die Mail Warteschlange geschaut und entdeckt, das nur zwei EMail Adressen als Absender drinne stehen.
Bei beiden Accounts das Kennwort geändert, die Warteschlange gelöscht und Postfix wieder gestartet.

thx

Masterraven9 hat geschrieben: Ich habe mal in die Mail Warteschlange geschaut und entdeckt, das nur zwei EMail Adressen als Absender drinne stehen.
Bei beiden Accounts das Kennwort geändert, die Warteschlange gelöscht und Postfix wieder gestartet.

Dann war also nicht der Server infiziert sondern die Zugangsdaten zweier Mailaccounts sind gestolen worden. Wenn dem so ist, dann musst du den Server natuerlich nicht neu installieren.

Das setzt voraus, dass der Threadstarter in der Lage ist, das zutreffend zu beurteilen. Auch, wenn ich mich unbeliebt mache: bei Server mit Buntu und Plesk würde ich das nicht ohne Weiteres als gegeben voraussetzen.

Moin,

die Absender-Mailadressen sagen aber mal so gar nichts über die verwendete (Sicherheits-)lücke aus. Daraus lässt sich unmöglich ableiten, ob nun die Accounts kompromittiert wurden, oder ob die Lücke irgendwo anders klafft.

Daher sollte man das System mindestens mal sehr gut im Auge behalten, ob das denn nun wirklich die Ursache war. Und je nach Setup kann ein kompromittierter Account natürlich auch noch andere Probleme nach sich ziehen.