Abuse / SPAM Sperre beim Webhosting ohne email Accounts

  • Guten Tag,


    heute wurde eines meiner Webhosting Pakete gesperrt, weil es gestern zu einen Spam Versand gekommen sein soll.


    Halo ist die FQDN der Hosting Node.

    Das Ganze spiele sich zwischen localhost:34318 sowie localhost:10025 via ESMTP ab, wo ja üblicherweise schon nen milter sitzt. Einen Eingang des Spams von extern ist mit den mir bereitgestellten Informationen nicht zu erkennen.


    Denn:

    Recived By sind keine angebende. Auch keine IP anders als 127.0.0.1.


    Sender soll „hosting12345@hosting12345.node123.Netcup.de“ sein.


    Email Benutzer gibt in dem Hosting Paket keine. Es läuft nur eine kleines WordPress Blog dadrauf, ohne große Plugins oder relevante Last.


    Ich bin in sofern etwas ratlos, wie ich das Problem eingrenzen sollte, wo sich das alles auf dem localhost des offenbar Hostingserver/Node (nicht Mailserver …) abspielen soll, geschweige denn in Zukunft verhindern soll.


    Tips ? Ich habe das netcup erstmal so geschrieben und hoffen das sich das klär.

    Vielen Dank !


    Es ist ja kein vServer. Wenn es einer wäre, wüsste ich schnell was da los ist.

  • Willkommen im Forum. Hier ist nur ein Nutzerforum, wir können dir da also nicht helfen. Du musst dich an den Support wenden (hast du ja getan). Von so einem Fall habe ich noch nie gehört., Wäre Spannend was sich da tut, halte uns auf dem Laufenden! ;)

    Könnte es sein, dass dein Wordpress versucht Mails zu verschicken?


    Frohe Weihnachten!

  • Ist auch meine einzige Erklärung.

    Es gibt tatsächlich noch einen Hinweis mit "X-PHP-Originating-Script: 31136:infodata.php", das ein kompromittiertes Script eingeschleust wurde.


    Das Wordpress wird in dem Fall nicht mehr zu retten sein. Sei es drum. Dann ist ja gut, das es aufgefallen ist. Die von Netcup bereitgestellten Informationen sind aber sehr dünn. Und eigentlich bilde ich mir ein, das man ESMTP auch auf dem Localhost mal mit SASLauth o.ae. absichern sollte und auf so eine vNode keinen sendmail Aufruf gestatten. Werde den Kram wohl wieder auf einen vServer legen.

  • […] Werde den Kram wohl wieder auf einen vServer legen.

    Was ändert das, wenn eine PHP-Anwendung kompromittiert wird? Klar, man kann den User noch mehr abschotten und z.B. die Firewall komplett dicht machen.


    Aber realistisch betrachtet ändert das nichts daran, dass die Website kompromittiert werden kann und z.B. an Besucher Schadcode ausliefert…

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Doch, änderte es. Da geht sendmail gegen /dev/null und der Mailserver nimmt Port 25 nur Mails für bekannter User an im sinne eines localen Relais und erfordert sonst Authenfizierung via SASLauth & TLS/SSL auf 587 sowie 465.

    Das dieses eine große Sicherheitslücke ist, ist ja durchaus bekannt.


    Was eine Firewall da bringen soll, nunja. Ist in meinen Augen ne rausgehauene Aussage. Spammails verhindert man damit nicht.

  • Was eine Firewall da bringen soll, nunja. Ist in meinen Augen ne rausgehauene Aussage. Spammails verhindert man damit nicht.

    Wenn jemand eigenen Code ausführen kann, also eine RCE, könnte er auch direkt ein Socket zu den fremden Mailservern der Empfänger öffnen. Das Script würde somit selbst Mailserver spielen, dafür braucht es definitiv kein lokales sendmail! Dieses Szenario kommt in der Praxis bei Schadsoftware gar nicht sooooo selten vor. ;)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Möglicherweise hilft Dir @Rudi78 die Erweiterte PHP-Einstellung um zu verhindern das Scripte die funktion Mail() nutzen.

    Leider hast Du keinen VPS oder RS / DS mit Plesk sonst könnte man die Ausführung des Mailversandes via Scripte direkt deaktivieren. (was es bewirkt weiß ich nicht da ich dies nicht unterdrücke)


    Jedenfalls hast Du ja ein Webhosting Paket und solltest (soweit ich mich erinnere) die php-Einstellungen Deiner dort befindlichen Domain ändern können.

    Siehe: https://support.plesk.com/hc/e…n-Plesk-for-Linux-server-

    Zusätzlich könntest Du folgendes eintragen:

    Code
    disable_functions = mail
    sendmail_path = "/dev/null"


    Damit Dein Wordpress nun dennoch Mails versenden kann (bei bedarf) könntest Du das Plugin WP Mail SMTP konfigurieren und nutzen.

  • Solche "Firewalls" bringt aber nix, wenn durch einen Sicherheitslücke ein Script im Dokumentenroot abgelegt wird und direkt - also nicht über / => Index.php - aufgerufen wird. In sofern ist das nur Scheinsicherheit. Oben genanntes ist halt bei meiner Installation passiert.


    Wirklich sicher ist es nur, auf PHP Ebene halt entsprechende Funktionen zu deaktivieren. Das mache ich auf dem vServer standartmässig. Das auf einem Webhostingpaket, wo keine Mail Account aktiv sind, trotzdem von local in alle Welt versendet werden kann, darauf muss man erstmal kommen.


    @DeCysos: Man kann die Mail Funktion und auch ein sendmail_path = /dev/null leider nicht selbst nutzen. Habe es jetzt ausgiebig versucht. Habe den Support angeschrien. Die sollte es können bzw. wo anders i Forum wurde gesagt, das sie es auch Anfrage machen.