Der netcup-Server verschickt stündlich immer wieder die gleiche Email

  • "Glaub nicht der Server ist schuld, sondern eher der Admin des Servers"

    Ja, da hast du wohl recht.^^

    Zu meiner Entschuldigung kann ich anführen, dass ich zwar durchaus IT-Erfahrung habe, aber der Bereich Linux-Server noch Neuland für mich ist.

    Dafür ist ja dieser root-Server auch gedacht. Als Testumgebung, um gefahrlos Erfahrungen sammeln zu können.

    Für den privaten "Produktivbereich" hab ich ja dann das Webhosting. ;)


    "Ich habe die Installation diesbezüglich einfach so gelassen, wie sie ist"

    "Scheinbar nicht"

    Ich habe tatsächlich zu mail nix eigenhändig konfiguriert. Daran würde ich mich erinnern. Das ist wohl so schon im Image eingebaut.

    Nur musste ich höchstwahrscheinlich damals eine E-Mail Adresse für den smtp-Versand angeben, sonst wäre die ja nicht integriert. (Diese Adresse hatte mich ja irritiert und auf die falsche Spur geführt) Ich dokumentiere zwar eigentlich immer alles und kann hierzu nix finden aber irgendwo muss die Adresse ja herkommen. Ich habe sie sicher nicht später noch eingebaut.


    Zum Stand der Dinge:

    Gestern Abend habe ich den Server heruntergefahren.

    Seitdem sind keine E-Mails mehr aufgelaufen. Auch nicht in den inzwischen acht Stunden seit der Server wieder läuft. :)

    Hätte ich gleich machen sollen. Ist ja bekannt, dass sich ziemlich viele Probleme durch simples aus- und wieder anschalten lösen lassen.;)


    Es ist natürlich schön, dass nun wieder Ruhe herrscht, aber doch ein klein wenig unbefriedigend. Ich kenne zwar den Auslöser (meine "korrupten" emails) und weiß nun auch, dass die weiteren Probleme an der Quelle (root-Server) lagen und nicht bei netcup (sorry netcup-team), aber was nun ganz genau im Einzelnen ablief ist mir noch unklar. Auch wie ich es hätte stoppen können, wenn der reboot nichts gebracht hätte.


    logfiles gab es keine, bis auf syslog und das war dürftig und nichts zu mail vorhanden. (Das einzige was regelmäßig ausgeführt wurde, war /usr/lib/php/sessionclean, das schaue ich mir nochmal an) In spool oder sonstwo auch keine Hinweise auf irgendwas in Warteposition. (Irgendwo musste diese email ja stecken, wenn sie immer wieder verschickt wurde)


    Aber ich muss mich damit zufrieden geben, dass die E-Mail-Welle eingedämmt ist und kann mich jetzt nicht weiter damit beschäftigen, weil erstmal andere, wichtigere Dinge darauf warten erledigt zu werden.

    Wenn ich irgendwann noch weitere Erkenntnisse zum Problem gewinne, werde ich sie hier aber posten. Vielleicht tappt ja nochmal jemand in diese Falle.

    Wer noch Hinweise hat, darf die gerne hier weiterhin loswerden. ;)


    Vielen Dank noch mal an alle, die mir geholfen haben und Geduld mit dem Neuling hatten. :thumbup:

  • Auch hier der obligatorische Hinweis:
    Server die direkt im Internet stehen sind weder gefahrlos noch Testumgebung, sollte man nicht wissen was man tut. Am besten auf eine VM ausweichen um dort zu testen.

  • Auch hier der obligatorische Hinweis:
    Server die direkt im Internet stehen sind weder gefahrlos noch Testumgebung, sollte man nicht wissen was man tut. Am besten auf eine VM ausweichen um dort zu testen.

    Da hast du zwar durchaus recht, aber ich benötige (zusätzlich zu einem lokalen) auch diesen echten Server, da komme ich nicht drumrum. (Will ich auch garnicht)

    Der Server ist auch nur online, wenn ich daran arbeite und ansonsten runtergefahren und somit vom Netz. Insofern hält sich die Gefahr in Grenzen.

  • Ich habe tatsächlich zu mail nix eigenhändig konfiguriert. Daran würde ich mich erinnern. Das ist wohl so schon im Image eingebaut.

    Nur musste ich höchstwahrscheinlich damals eine E-Mail Adresse für den smtp-Versand angeben, sonst wäre die ja nicht integriert. (Diese Adresse hatte mich ja irritiert und auf die falsche Spur geführt) Ich dokumentiere zwar eigentlich immer alles und kann hierzu nix finden aber irgendwo muss die Adresse ja herkommen. Ich habe sie sicher nicht später noch eingebaut.

    Die Netcup Images kennen nur nicht deine Zugangsdaten zum Webhosting Tarif. Da hat ein Mensch mit Zugriff auf dieses System die Zugangsdaten zu dem Webhosting eingetippt.

  • Die Netcup Images kennen nur nicht deine Zugangsdaten zum Webhosting Tarif. Da, hat ein Mensch mit Zugriff auf dieses System die Zugangsdaten zu dem Webhosting eingetippt.

    Ja, ich wahrscheinlich. ;)

    Bei der Aktivierung des Pakets.

    Nur vergessen, dass das damals abgefragt wurde und nicht notiert.

    Im übrigen sind es ja nicht die Zugangsdaten zum Hostingpaket, sondern nur eine E-Mail Adresse für den smtp-Versand (plus Password)

    Dass das jetzt eine von netcup aus meinem Paket war, ist ja eher Zufall. (Hätte ich damals eine z.B. von gmx genommern, wäre ich erst garnicht auf die falsche Spur gelockt worden)


    Sollte ich mich irren und es tatsächlich später selbst konfiguriert haben (was ich nicht völlig ausschließen kann) dann habe ich es zumindest erfolgreich verdrängt.;)

  • Gestern Abend habe ich den Server heruntergefahren. [...] Hätte ich gleich machen sollen

    Hatte ich auch gleich im ersten Beitrag geschrieben 8o

    Wer noch Hinweise hat, darf die gerne hier weiterhin loswerden.

    Die Mails wurden ja offensichtlich von msmtp versand. Wenn man das stoppt, kommen auch keine Mails mehr ;)

    Ansonsten wie oben geschrieben in der msmtp Konfigurationsdatei eine Logdatei einstellen und die anschauen. Wenn du msmtp mit "-v" oder "--debug" startest, werden mehr Informationen angezeigt. Alternativ die entsprechende Option in der Konfigurationsdatei aktivieren. (oder beim sendmail_path das -v hinzufügen)

  • Ok. Ich muss mich entschuldigen. :huh:


    Ich habe meine Notizen nochmal durchgesehen und tatsächlich war ich es wohl selbst damals, der email für smtp konfiguriert hat, entsprechend dieser Anleitung:

    ubuntu email


    Das lief dann und ich habe mir keine Gedanken mehr darüber gemacht.

    Schon erstaunlich, wie schnell man vergisst. :(


    Sorry.

    Gibt es keinen "peinlich"-Smiley?

  • Da hast du zwar durchaus recht, aber ich benötige (zusätzlich zu einem lokalen) auch diesen echten Server, da komme ich nicht drumrum. (Will ich auch garnicht)

    Was kann der Server bei netcup mehr als eine Linux VM bei dir zu Hause? (Also außer dir mehr Ärger einbringen und nicht abgeschirmt sein, sollte tatsächlich mal etwas passieren.)


    Solange du hier keinen RS 8000 oder ähnliches betreibst, dürfte die heimische VM sogar um einiges performanter sein: Du hast eine CPU, die kein anderer mitnutzt, kannst so viel Arbeitsspeicher und SSD/HDD-Speicherplatz bereitstellen wie du magst und obendrein bezahlst du nur den Strom, den das ganze verbraucht und liegst somit deutlich unter den Kosten eines Rootservers.1
    Noch dazu kannst du problemlos Sicherungspunkte erstellen, die VM mal eben schnell zurücksetzen, klonen und und und... Auch ist der Austausch von Daten im Heimnetz nicht durch dir Bandbreite, die dir dein ISP zur Verfügung stellt, limitiert, solltest du häufig große Datenmengen bewegen.


    Solange ein Dienst nicht zwingend 24/7 im großen weiten Internet erreichbar sein muss — was dein Server ja ohnehin nicht ist, da du ihn nur phasenweise anschaltest —oder eine exorbitant hohe Rechenleistung benötigt, erschließt es sich mir nicht, warum man auf einen Server in einem RZ zurückgreifen sollte.


    1da dein Server ja nicht 24/7 benötigt wird und vermutlich nur dann läuft, wenn du von deinem PC darauf zugreifst.

  • Hängt jetzt zwar nicht mehr mit der Ausgangsfrage zusammen, aber wenn ich den Thread schon mal offen habe ;) und weil das Thema Sicherheit hier ja auch angesprochen wurde...


    Einer der Gründe, warum ich einen root-server als Entwicklungsumgebung wollte (und keine heimische VM) war ja, dass ich bestimme Dinge (wie auch Absicherung, DNS-Records, mail usw) unter Realbedingungen testen muss/will. (Ich war richtig froh, als die Chinesen endlich über meine IP gestolpert sind und brute-force Attacken gestartet haben. ^^)


    Bezüglich Absicherung des Servers: Ich habe:

    • ssh-login für root gesperrt (PermitRootLogin no) und arbeite nur mit sudo
    • die vorinstallierte ufw aktiviert (Nein ich habe mich nicht selbst ausgesperrt ;)) - Läuft korrekt - Finetunig kommt dann später.
    • fail2ban installiert und zwei passende jails erstellt - Läuft auch korrekt

    Habt ihr Profis hier noch Vorschläge, was evtl. noch nötig/nützlich sein könnte um einen Server sicher zu machen?

    (Die Absicherung von installierten Anwendungen, wie joomla oder wordpress ist kein Thema. Da habe ich die nötige Erfahrung)

  • Sorry, sehe jetzt immer noch nix, was zwingend ne Maschine mit Gigabit-Anbindung im Internet benötigt. Nen offener Port 22 auf ner VM Daheim wird auch relativ schnell von Chinesen und Russen wahrgenommen... DNS Records laufen auch mit ner 'dynamic IP' - Mein NAS erreicht auch via Subdomain. Man kann sich eben alles schön reden.


    Du kannst auch einfach sagen es ist dir egal und du willst einfach nen RS und hast keinen Bock auf ne VM. Fände ich persönlich ehrlicher und würde ich auch komplett verstehen. Hab vor 20 Jahren auch direkt mit nem VPS angefangen. Learning by doing.


    In diesem Sinne viel Spaß mit der Kiste!

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • du willst einfach nen RS und hast keinen Bock auf ne VM

    ....

    Learning by doing.

    Ja, ich muss zugeben, das ist auch ein entscheidender Grund gewesen. :)



    "Nen offener Port 22 auf ner VM Daheim wird auch relativ schnell von Chinesen und Russen wahrgenommen... DNS Records laufen auch mit ner 'dynamic IP' - Mein NAS erreicht auch via Subdomain."


    War mir so nicht klar.

    Aber wäre das wirklich einfacher gewesen als das hier?

    Evtl. versuche ich das ja mal zusätzlich oder teste es als Alternative.

  • Ja, ich muss zugeben, das ist auch ein entscheidender Grund gewesen. :)

    Können die Meisten hier auch verstehen. Solange man sich nen bissel mit dem Thema Absichern beschäftigt finde ich das wie gesagt halb so wild. ??

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Was du definitiv noch tun solltest:

    - den ssh Port ändern

    - dich mit nem Key statt Passwort einloggen (wichtig: setz unbedingt eine Passphrase, falls die Schlüsseldatei mal abhanden kommt)


    Man kann generell sehr viel tun, um den Server sicherer (100% gibt‘s nicht) zu machen, jedoch helfen die (auch in den vorherigen Posts) angesprochenen Dinge gegen das Gröbste. Und halte deine Software aktuell und benutz nicht jeden Scheiß.



    Ich hab mir meinen ersten RS übrigens auch ohne Vorwissen gemietet.

  • Wollte nur mal kurz Rückmeldung geben


    Nirgendwo wurde was geloggt, auch nicht im syslog,

    In /etc/msmtprc war einfach kein logfile gesetzt. (Versäumnis meinerseits damals, wie ich jetzt ja weiß)


    Das habe ich jetzt sicherheitshalber mal nachgeholt, aber ich musste dabei eine kleine Hürde umschiffen.

    /var/log/msmtp.log als logfile anzugeben funktioniert zunächst nur für emails, die von root verschickt werden, andernfalls gibt es

    msmtp: cannot log to /var/log/msmtp.log: cannot open: Permission denied


    In der Wiki zu msmtp wird empfohlen die logfiles user-spezifisch zu setzen: ~/.msmtp.log

    Das ist ganz hübsch, aber leider funktionierte das nicht mit emails die von Anwendungsskripten in der docroot über mail() verschickt werden. (Kein Homeverzeichnis)


    Ich habe es nun so gelöst, dass ich doch einen einzigen Logfile in /var/log/ angelegt habe und ihm root:www-data und 664 zugewiesen habe.

    Meinen Arbeitsaccount habe ich dann einfach der Gruppe www-data hinzugefügt.


    Nun werden alle E-Mails, auch die der Anwendungen an dieser einen Stelle geloggt. Falls es wieder Probleme gibt, kann ich da zentral nachsehen.


    Wahrscheinlich ist das umständlich gelöst, aber immerhin funktioniert es. ;)


    Was du definitiv noch tun solltest:

    - den ssh Port ändern

    - dich mit nem Key statt Passwort einloggen (wichtig: setz unbedingt eine Passphrase, falls die Schlüsseldatei mal abhanden kommt)

    Danke für die Hinweise. :thumbup:
    Werde ich mich mal mit auseinandersetzen.

  • Alle läuft nun sehr rund mit meinen E-Mails und der Thread kann wegsacken. Nur noch zwei Bemerkungen zum Schluss, dann bin ich weg. :)


    "Das ist ganz hübsch, aber leider funktionierte das nicht mit emails die von Anwendungsskripten in der docroot über mail() verschickt werden. (Kein Homeverzeichnis)"

    Da hab ich mich natürlich geirrt. Das Homeverzeichnis von www-data ist natürlich /var/www und dort war das logfile auch gelandet.


    Was du definitiv noch tun solltest:

    - den ssh Port ändern

    ...

    Das war ein sehr guter Ratschlag. Ich hab das jetzt gemacht (wiederum ohne mich von ufw selbst aussperren zu lassen ;)) und nun ist praktisch fast Ruhe. Es ist erstaunlich wie viele einfallslose automatisierte Angriffe es auf Port 22 gibt, im Vergleich zu anderen.


    Vielen Dank nochmal an alle und erstmal Tschüss. :)

  • Es ist erstaunlich wie viele einfallslose automatisierte Angriffe es auf Port 22 gibt, im Vergleich zu anderen.

    Naja, ich bekomme sehr schnell eine Shell mit sehr vielen Rechten, wenn alles insgesamt kacke eingerichtet wurde.

    Das bietet dir so kein anderer Dienst, außer evtl. Telnet - das nutzt aber keiner mehr.


    Insofern ist das nicht überraschend. Reine Statistik und Kombinatorik.

  • Ein SSH Port 22 wird auch nur zumeist von den dummen Bots angegriffen. Meine Erfahrung mit mehreren Servern in unterschiedlichsten Rechenzentren hat gezeigt das selbst ein anderer SSH Port wie 34317 angegriffen wird sobald es einmal eine Antowrt "falsches Kennwort" gab. Den SSH Port zu wechseln hält eigentlich nur die Logs sauberer

  • Ein SSH Port 22 wird auch nur zumeist von den dummen Bots angegriffen. Meine Erfahrung mit mehreren Servern in unterschiedlichsten Rechenzentren hat gezeigt das selbst ein anderer SSH Port wie 34317 angegriffen wird sobald es einmal eine Antowrt "falsches Kennwort" gab. Den SSH Port zu wechseln hält eigentlich nur die Logs sauberer

    Naja die Logs werden bei nem verlegten Port genau so geflooded... In meinem Fall kann ich bestätigen, dass Attacken gegen meinen SSH Port seit der Verlegung gegen 0 gehen.


    Halte das mit dem SSH Port nun seit nahezu 20 Jahren so.


    Fun fact, meine Server in China und Hongkong werden durchschnittlich seltener angegriffen als alle anderen. Hier greift wohl die Überwachung des Internets ?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...