Spam über meinen Websever verteilt

  • Alles begann vor einigen Tagen, als auf einmal sämtliche Websiten von mir nicht mehr erreichbar waren.

    Ich loggte mich also bei NetCup ein und sah direkt das ich einen Abusehinweis hatte.


    Angeblich wurde über meinen Account Spam verteilt.


    Unter der Nachricht des NetCup Teams war eine Nachricht des Hackers angehängt.

    Angeblich ein Trojaner auf meinem System, Password ändern bringt nichts, 500€ an seine Bitcoin-Adresse. Das selbe wie immer also.


    Ich bat darauf hin das Netcup Team meinen Webserver zu formatieren und danach den Account wieder freizugeben.

    Netcup allerdings meinte das Sie selber nichts löschen und gaben mir den Account temporär frei. Mir wurde empfohlen den httpdocs Ordner zu löschen und neu zu erstellen.

    Ich dachte nicht, dass das was hilft aber ich mache es trotzdem, ändere alle Passwörter, lösche unnötige Anwendungen, Datenbanken und Benutzer und lasse mir den Account wieder freigeben.

    Zusätzlich habe ich die Postausgangskontrolle auf 10 E-Mails pro Stunde reduziert um möglichst schnell nachvollziehen zu können, ob die Maleware immer noch auf dem Server war.


    Und tatsächlich. Heute morgen logge ich mich wieder ein, checke die Postausgangskontrolle und die betroffene E-Mail ist mit 34 E-Mails drüber (insgesamt also 44 E-Mails)

    Hatte schon einmal jemand mit so einem Problem zu kämpfen ?

    Gibt es irgendwelche Tipps wie ich die Maleware finden und löschen kann ? Kenne mich selber mit der SSH-Shell wenig aus.


    Vielen Dank für eure Hilfe

    Alexander Sachs

  • Ich habe, nachdem mein Account reaktiviert wurde einen neuen httpdoc Ordner erstellt und testhalber eine Website wieder hochgeladen.

    Dabei handelt es sich aber um eine static HTML Seite also nichts spannendes.


    Irgendeine Idee wie ich dieses Script finden kann ?

  • Gehen die Mails über deinen Account raus, den du auch vielleicht bei dir Lokal auf dem Rechner eingerichtet hast? Nicht das bei dir am Rechner etwas nicht in Ordnung ist.

    Hast du so eine Mail vielleicht noch und kannst sie weiterleiten?

    Was heist static? Nur Plain html ohne irgendwelche Scripte?

  • Static HTML und Datenbanken klingt in sich aber auch unschlüssig. Sicher dass deine Webseite keinerlei Scripte verwendet?


    Ansonsten schaue doch einfach mal deinen httpdocs Ordner durch. Wenn es nur eine kleinere static Webseite ist, sollte doch schnell auffallen, was nicht html, css oder Images sind.


    Ferner wäre auch möglich, dass dein Rechner zuhause befallen ist und dadurch ungewollte Software auf dem Webspace abgelegt wird oder Mails versendet.

  • Mit static Website meine ich eine einfache HTML / CSS / JS Website mit ein paar Bildern.

    Ich habe in letzter Zeit mit Node.js, Express und MySQL Datenbanken experimentiert aber alles gelöscht.


    Ich habe tatsächlich erst vor kurzem einer Bekanntin die betroffene E-Mail über SMTP ihres Webmailers eingerichtet. Ich werde sie kontaktieren und schauen ob nach löschen des Zugangs das Problem immer noch auftaucht.


    Trotzdem müsste ja Ihr E-Mail Programm (ich glaube es war outlook) nach Änderung des Passworts keinen Zugang mehr zu dem E-Mail Account haben oder ?