Abusehinweis - Fehler 503 - Spamverdacht

  • Hallo zusammen,


    seit 4 Tagen wurde mein Hosting gesperrt mit dem Verdacht auf Spamversand über Malware.


    Leider wird mir aus der Mail von Netcup nicht klar, wo sich der Fehler befinden könnte:


    ========== Abusemeldung / Abuse report ==========


    COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

    ramf 15866 hosting125852 8u IPv4 3568466532 0t0 TCP 46.38.xxx.xxx:xxxxx->47.43.xx.x:smtp (ESTABLISHED)

    ramf 15866 hosting125852 44u IPv4 3568469184 0t0 TCP 46.38.xxx.xxx:xxxxx->213.205.xx.xx:smtp (ESTABLISHED)

    ramf 15866 hosting125852 60u IPv4 3568466538 0t0 TCP 46.38.xxx.xxx:xxxxx->47.43.xx.xx:smtp (ESTABLISHED)

    ramf 15866 hosting125852 62u IPv4 3568466539 0t0 TCP 46.38.xxx.xxx:xxxxx->47.43.xx.x:smtp (ESTABLISHED)

    ramf 15866 hosting125852 72u IPv4 3568472338 0t0 TCP 46.38.xxx.xxx:xxxxx->80.12.xx.x:smtp (ESTABLISHED)

    ramf 15866 hosting125852 97u IPv4 3568466540 0t0 TCP 46.38.xxx.xxx:xxxxx->47.43.xx.x:smtp (ESTABLISHED)

    ramf 15866 hosting125852 102u IPv4 3568466541 0t0 TCP 46.38.xxx.xxx:xxxxx->47.43.xx.x:smtp (ESTABLISHED)

    ramf 15866 hosting125852 121u IPv4 3568465290 0t0 TCP 46.38.xxx.xxx:xxxxx->213.205.xx.xx:smtp (ESTABLISHED)

    ramf 15866 hosting125852 125u IPv4 3568472331 0t0 TCP 46.38.xxx.xxx:xxxxx->80.12.xx.x:smtp (ESTABLISHED)

    Die IP's habe ich mal unkenntlich gemacht.


    Ich habe eine Wordpress installation und 1-2 Tage vor der Abusemeldung das Plugin "WP Forms" installiert. Ein Kontaktformular für Wordpress. Evtl. liegt es daran - Also habe ich es deaktiviert. Leider kein Erfolg.


    Dann habe ich ein Security-Pluging (Firewall) für Wordpress installiert. Leider auch kein Erfolg.


    Da ich ja leider nur auf Anfrage mal 30min auf meinen Webspace darf, frage ich mich, wie ich das Problem denn lösen soll? Welcher "Unwissende" soll in dieser Zeit ein Problem lösen, wovon er keine Ahnung hat?


    Weiß hier jemand weiter?||


    Danke ich vielmals im Voraus.


    Gruß

    LB

  • Wenn das Deaktivieren der Kontaktformulare nicht hilft, ist vermutlich die Instanz schon infiziert, dann ist es jetzt zu spät noch mit Plugins gegen an zu kämpfen.

    Kannst du auch während der Sperre per FTP an die Daten? Dann könntest du die mal gesammelt runterladen und ggf. analysieren und die Infektion beseitigen. Wenn du das nicht kannst / willst, dann bleibt vermutlich nur die Neuinstallation oder Rückspielen eines Backups von vor mehr als 4 Tagen.


    Erfahrungsgemäß empfehle ich meinen Kunden bei sowas Neuaufsetzen oder halt Backup einspielen. Seltenst macht es Sinn die Infektion händisch zu beseitigen, da immer das Restrisiko bleibt etwas übersehen zu haben. (Zumal es für Kunden in der Regel teurer ist, wenn ich da anfange zu analysieren). Interessehalber ziehe ich mir manchmal noch ein Abbild von der infizierten Instanz und schau dann später selber mal rein, meistens ist es aber halt "Standardkram" (= über eine Lücke eine php Datei auf dem Webspace angelegt / hochgeladen, die ausgeführt werden kann )

  • H6G Hier nochmal die Meldung. Wie gesagt, ich hatte oben nur die IPs unkenntlich gemacht. :)


    Habe jetzt ALLE empfohlenen Sicherheitspunkte im CCP mal durchgeführt und anscheinend wurde das Hosting wieder entsperrt. Zumind. kam die Meldung.


    Jetzt ist allerdings das Problem, dass nur die Startseite funktioniert. Sobald ich eine Unterseite anklicke bekomme ich 404 not Found...

    aber im Wordpress Dashboard kann ich alle Seiten wie gewohnt anzeigen lassen.