Abusehinweis bei Webhosting Paket (kein vServer)

  • Hallo Leute,


    ich habe heute ein Abusehinweis für mein Hosting Paket erhaltenen (kein vServer) und war schon total verwundert wie es dazu kommen konnte, da das Paket zwar schon seit fast 2 Jahren existiert, aber das letzte Jahr absolut 0 benutzt wurde.


    Habt ihr vielleicht eine Ahnung wie es dazu kommen kann und was man in Zukunft dagegen tun kann? Gibt es da evlt. irgendwas mit Zwei-Schritt-Verifizierung oder so?


    Hier mal die Daten die in der eMail von Netcup standen


    -------------------------------------------------------------------------------------------------------


    Weitere Details zum Spamversand:
    *** ENVELOPE RECORDS deferred/A/AF87749DE6 ***

    message_size: 605 181 1 0 605

    message_arrival_time: Fri Jan 11 14:03:05 2019

    create_time: Fri Jan 11 14:03:05 2019

    named_attribute: rewrite_context=local

    sender_fullname:

    sender: sub11469_15@af953.netcup.net

    *** MESSAGE CONTENTS deferred/A/AF87749DE6 ***

    Received: by af953.netcup.net (Postfix, from userid 10028)

    id AF87749DE6; Fri, 11 Jan 2019 14:03:05 +0100 (CET)

    To: shyblack@aol.com

    Subject: advanced Simitrio Roustio feeler

    X-PHP-Originating-Script: 10028:k.v..php

    From: cia-li-s 20mg retailer Raman <nicolle@greenwoodbc.com>

    X-Mailer: Microsoft Outlook Express 6.00.2800.1158

    MIME-Version: 1.0

    Content-Type: text/plain; charset=iso-8859-1

    Content-Transfer-Encoding: 8bit

    Message-Id: <20190111130305.AF87749DE6@af953.netcup.net>

    Date: Fri, 11 Jan 2019 14:03:05 +0100 (CET)

    http://cordob.com.br/leilani.html

    wassup? Simitrio Roustio

    *** HEADER EXTRACTED deferred/A/AF87749DE6 ***

    named_attribute: encoding=8bit

    original_recipient: shyblack@aol.com

    recipient: shyblack@aol.com

    *** MESSAGE FILE END deferred/A/AF87749DE6 ***


    -------------------------------------------------------------------------------------------------------


    Was genau ich daraus jetzt lesen kann ich eigentlich fast nichts. Nur das wohl irrgendwas an shyblack@aol.com geschickt wurde oder?



    Viele Grüße

  • Die Zeile


    X-PHP-Originating-Script: 10028:k.v..php


    sagt Dir, dass ein Script mit dem Dateinamen k.v..php für das Senden von Spam missbraucht wurde. Findest Du diese Datei in Deinem Webspace?

  • Was für Software läuft auf dem Webhosting? Spielst du regelmäßig Updates und vor allem zeitnah Sicherheitsupdates ein?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Hostest du denn etwas auf deinem Webspace oder was heißt

    Zitat

    das letzte Jahr absolut 0 benutzt wurde

    genau?

    Klassiker sind Kontaktformulare, aber das hier sieht eher danach aus als ob jemand einen Mail-Account direkt erstellt hat. Gibt es denn in deiner Mail-Verwaltung den besagten Account sub11469_15? Und weißt du ob du ihn angelegt hast?


    Edit: Originating-Script-Header übersehen

  • also es ist glaube ich Wordpress und auf einer Subdomain ist ein Webshop Installiert, aber nur mit Demo Daten.

    Den hatte ich damals zum testen installiert. Die Tests waren dann vorbei und die DOmain wurde vergessen.


    Ursprünglich wurde sie angemeldet weil wir da auch einen Webshop machen wollte, aber dann ist sie eben vergessen wurden weil das Projekt sich anders entwickelt hat.


    Also über Filezila kann ich aktuell nicht zugreifen weil sie ja gesperrt ist, sobald aber die Sperre aufgehoben ist werde ich alle Daten löschen und alle Passwörter ändern.


    Wirklich komische Sache.


    Wenn das Problem eine k.v..php Datei ist, heißt das doch dass diese auf dem Webspace liegt und das würde bedeuten dass sie jemand hochgeladen hat.

    Das wiederum würde doch bedeuten dass jemand die ftp Daten vom Webhosting Paket hat oder?

  • Wenn das Problem eine k.v..php Datei ist, heißt das doch dass diese auf dem Webspace liegt und das würde bedeuten dass sie jemand hochgeladen hat.

    Das wiederum würde doch bedeuten dass jemand die ftp Daten vom Webhosting Paket hat oder?

    Die wahrscheinlichere Variante ist, dass eine Sicherheitslücke in der installierten Software ausgenutzt wurde. Über so einen Weg können ebenfalls Scripte eingeschleust und abgelegt werden. Du schreibt ja selbst, dass die Installation in Vergessenheit geraten ist, wodurch bestimmt seit längerer Zeit keine Updates mehr eingespielt wurden. Das wäre somit der Klassiker.


    Tipp für jetzt: Daten über FTP für eine eventuell später notwendige Analyse und Beweissicherung irgendwo sichern und danach alles entfernen, wenn es sowieso nur eine Testinstallation war. Datenbank sichern und nachher löschen nicht vergessen.


    Wurde nur der Webshop nicht mehr genutzt oder auch Wordpress? Falls irgendwas davon erhalten bleiben soll, müsste man sich nämlich Gedanken machen, ob das jeweils andere System noch sicher ist oder neu aufgesetzt gehört.


    Empfehlung für die Zukunft: Systeme nicht vergessen und regelmäßig Updates einspielen! :)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Wenn das Problem eine k.v..php Datei ist, heißt das doch dass diese auf dem Webspace liegt und das würde bedeuten dass sie jemand hochgeladen hat.

    Das wiederum würde doch bedeuten dass jemand die ftp Daten vom Webhosting Paket hat oder?

    Nö. Wordpress und Wordpressplugins können auch selbst Dateien anlegen. Wenn es eine Lücke in einem Plugin geht, ist dein Webspace sehr schnell übernommen.


    Deswegen:

    - regelmäßig Wordpress updaten

    - regelmäßig Plugins updaten

    - regelmäßig Plugins ausmisten


    - nach solchen "Tests" Wordpress wieder entfernen.