Spamproblem - Mails von eigener E-Mail-Adresse

Hinweis: In dem Thema Spamproblem - Mails von eigener E-Mail-Adresse gibt es 15 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.

    @slughorn
    Weißt Du, ob ich die Datei und damit die Protokollierung einfach wiederherstellen kann?


    @Flytronik
    Habe die beiden Ausgaben in Dateien gespeichert.


    Die Ausgabe von lsof hat 8348 Zeilen
    Die Ausgabe von lsof -i hat 171Zeilen


    Man kann dort allerdings sehr viel "interne" Infromationen vom Server rauslesen. (Sämtliche Homepages die auf dem Server laufen, die MySQL-Dateien usw...)
    Kann ich die Datei kürzen bzw. zensieren? Was für Informationen brauchst Du?



    Nicht falsch verstehen! Ich bin sehr sehr dankbar dass Du bzw ihr mir hilfst/helft! Aber ich möchte nicht noch mehr Sicherheitslücken provozieren indem ich solche Sachen im Internet poste.


    Kann ich Dir die Datei auch per PN schicken?



    Viele Grüße
    Hotte

    Einmal editiert, zuletzt von <hotte> ()

    Für den Inhalt des Beitrages 52657 haftet ausdrücklich der jeweilige Autor: <hotte>

    Kannst dir alles sparen.


    Deine Kiste ist gehackt.
    Punkt.


    Wie schon jemand schrieb, ist der Befehl "last" dazu da, dir zu zeigen, wer sich erfolgreich eingeloogt hat.
    Und "lastb" heißt LAST Bad . Dort werden also gescheiterte Loginversuche protokolliert.
    Das wurde absichtlich aus der Konfig genommen.
    Und absichtlich gelöscht.


    Nein, du kannst das nicht wiederherstellen.


    Und nochmal nein: Das Sperren dieser IP nutzt NullKommaGarNix.
    Das war ein Router. Die haben wohl irgendwie die NameServer gehackt. Und die Routingtabellen gefaket.
    Es ist egal, was du sperrst. Sie kommen immer rein.
    Nimm die Kiste vom Netz. Es wird nicht lange dauern, bis eure Domain auf der Blacklist landet. Dann ist erstmal Schluß für euch.


    Auch ein "lsof" halte ich für sinnlos.
    Wenn ich schon "root" bin und mir die Mühe mache alles zu verschleiern, dann würde ich als eine der ersten Aktionen eben auch "lsof" so patchen, dass du es nicht merken kannst.
    Angriffe sind heutzutage sehr ausgefeilt.


    Kauf dir jemanden, der deine Kiste forensisch analysiert.


    Und du hast das falsche Denken:
    Macht es Sinn, hier serverinterne Daten (die du ja sogar schwärzen könntest) nicht zu zeigen, wenn gleichzeitig die ganze dunkle Sektion des Internets munter alles liest und der Server für sie sperrangelweit offen ist?


    Wenn du ein weiteres Sicherheitsloch akzeptierst, würde ich mal draufgucken.
    Dazu brauche ich ssh Zugriff und das Rootpasswort.
    Ansonsten gilt, was oben gesagt: Viel Kohle bereitlegen und jemanden beauftragen, der das kann.
    Für Leute dieser Klasse kannst du Sätze ab 1600€ rechnen.
    Es werden Tagessätze abgerechnet.
    Sei kritisch und sehr, sehr vorsichtig, wenn euch das jemand billiger anbietet. Das ist nicht realistisch.
    Ich wäre schon bei Tagessätzen unter 2000€ misstrauisch.

    2 Mal editiert, zuletzt von uhelp ()

    Für den Inhalt des Beitrages 52658 haftet ausdrücklich der jeweilige Autor: uhelp

    Zitat von uhelp

    Auch ein "lsof" halte ich für sinnlos.


    Lsof war, glaube ich, bei 11.0 nicht Standard und musste nachinstalliert werden, deshalb immer solche Tools löschen und neu vom Server laden.


    Zitat von uhelp


    Wenn ich schon "root" bin und mir die Mühe mache alles zu verschleiern, dann würde ich als eine der ersten Aktionen eben auch "lsof" so patchen, dass du es nicht merken kannst.
    Angriffe sind heutzutage sehr ausgefeilt.


    Da gebe ich dir recht, aber wirkliche Profs in der Hacker Szene sind selten geworden, viele der Systeme die so alt sind werden nur gehackt weil die Infos wie, im Usenet oder im Freenet (freenetproject.org) zu lesen sind.


    Das gilt natürlich auch für Windows!


    Ich persönlich muss leider sagen, so gerne ich Linux habe meine Server sind alle BSD Systeme und in 10 Jahren noch nie gehackt worden. :D Vielleicht aber auch nur Glück gehabt.


    Das hilft hotte aber nicht weiter. Ich gehe auch davon aus das ein solches System auch zum senden von Spam genutzt wird. Einziege Lösung die ich sehe neu aufsetzen. Problem, wenn die es einmal geschafft haben dann kann es wieder geschehen da es ja leider keine Updates mehr gibt.


    Hotte, versuch so viel wie möglich zu sichern. Prüfe mal ob BSD bei 1und1 angeboten wird und stelle auf BSD um wenn du es dir zutraust, so groß sind die Unterschiede nicht.

    Keiner wird gezwungen OpenSUSE zu benutzen !


    Ich genieße jeden Tag mit meinem SuSE Rechnern seit 1996 ^^

    Einmal editiert, zuletzt von Flytronik ()

    Für den Inhalt des Beitrages 52659 haftet ausdrücklich der jeweilige Autor: Flytronik

    Zitat von <hotte>

    @slughorn
    Weißt Du, ob ich die Datei und damit die Protokollierung einfach wiederherstellen kann?


    Nicht wirklich.
    Ich habe mich lediglich durch den Verzeichnisbaum gehangelt und bei mir (openSUSE 12.2, openSUSE 12.3 RC1 und ubuntu 12.4) nachgesehen ob die Datei /var/log/btmp vorhanden ist.


    Ich habe hier noch was zum Erstellen einer Log-Datei gefunden: www.linux-club.de.


    Aber wahrscheinlich ist es nützlich, mit einem der folgenden Tools vorzugehen: z. B.
    + aide
    * rkhunter
    * clamav
    Diese Programme findest Du unter Sicherheit im Wiki.

    Einmal editiert, zuletzt von slughorn ()

    Für den Inhalt des Beitrages 52660 haftet ausdrücklich der jeweilige Autor: slughorn

    Zitat


    Aber wahrscheinlich ist es nützlich, mit einem der folgenden Tools vorzugehen: z. B.
    + aide
    * rkhunter
    * clamav


    Auch das wird nichts nutzen.


    "rkhunter" müsste schon installiert gewesen sein, BEVOR der Angriff erfolgte.
    Es bildet Prüfsummen für alle systemrelevanten Programme, und checkt die gegen die aktuell errechneten.


    "clamav" müsste erst mal auf den neuesten Stand gebracht werden. Zudem checkt das nur nach bekannten Viren.
    In diesem Falle wohl vergebens.


    "aide" ist wohl umfangreicher, als "rkhunter"
    Aber auch hier ist das Problem gleich: Es taugt nur, wenn es seine DB mit einem cleanen System erstellen konnte.
    Ebenfalls vergebens.

    Für den Inhalt des Beitrages 52668 haftet ausdrücklich der jeweilige Autor: uhelp


    Danke für Deine Info.
    Bisher habe ich nur hin und wieder clamav mit mäßigem Erfolg bei "Fenster"-Betriebssystemen verwendet. Das Programm benötigt sehr viel Zeit zum Scannen einer Festplatte.

    Für den Inhalt des Beitrages 52674 haftet ausdrücklich der jeweilige Autor: slughorn