• Willkommen im Forum „Tintenzirkel - das Fantasyautor:innenforum“.
 

Tizi-Server wurde vermutlich gehackt

Begonnen von Maja, 11. September 2017, 22:13:19

« vorheriges - nächstes »

0 Mitglieder und 1 Gast betrachten dieses Thema.

Maja

Okay. Offenbar ist mein Server als bekannter Spammer auf einer Blacklist gelandet.
http://www.dnsbl.manitu.net/lookup.php?value=92.51.133.22

Ich kann mir nicht vorstellen, dass von meinem Server Spam verschickt worden ist. Ich halte die Serversoftware aktuell. Meine Ressourcenwerte sind unauffällig. Ich bekomme nur Bouncemails auf Mails, die von der Forensoftware verschickt worden sind. Was kann ich machen, um wieder entspammt zu werden? Wirklich nur warten?
Niemand hantiert gern ungesichert mit kritischen Massen.
Robert Gernhardt

Maja

#1
Ich brauche Hilfe!
http://zy0.de/q/92.51.133.22

Return-Path: <espelgordoloto@aol.com>
X-Original-To: albaicin.waltrud@SPAMTRAP.INVALID
Received: from mail.gottfabrik.de (mail.gottfabrik.de [92.51.133.22])
by mail.ixlab.de (Spamtrap) with ESMTP
for <albaicin.waltrud@SPAMTRAP.INVALID>; Sun, 10 Sep 2017 20:12:30 +0200 (CEST)
Received: from User (unknown [24.121.225.29])
by mail.gottfabrik.de (Postfix) with ESMTPA id 335EC658D4;
Sun, 10 Sep 2017 03:23:01 +0200 (CEST)
Reply-To: <drjparagonez@consultant.com>
From: "LOTERIA NACIONAL."<espelgordoloto@aol.com>
Subject: Sie gewonnen 915.610,00 Euro.
Date: Sat, 9 Sep 2017 18:22:11 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_010C_01C2A9A6.00E515BA"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-NiX-Spam-Hash0: 364431b1648f3fea217b9c6ed51af85e
X-NiX-Spam-Source-IP: 92.51.133.22
X-NiX-Spam-MX: mail.ixlab.de
X-NiX-Spam-Listed: yes


Offenbar versendet mein Server in der Tat Spam. Ich weiß nicht, woran es liegt, ich finde keine offenen Ports oder andere Schlupflöcher. Seit dem 10. September hat sich das ausgehende Datenvolumen verzehnfacht. Ich habe das Root-Passwort geändert.

@Volker, @AngelFilia könnt ihr helfen?
Niemand hantiert gern ungesichert mit kritischen Massen.
Robert Gernhardt

Malinche

Ich weiß nicht, ob es relevant ist, aber bei mir (Hotmail) rauschen seit etwa 20 Uhr Benachrichtigungsmails über PNs und Mentions ein, die selbst Stunden zuvor erfolgt sind. Ich hatte den Tag über gar nicht mitbekommen, dass da Mails ausbleiben.
»Be suspicious of the lemons.« (Roxi Horror)

Romy

Ich habe das hier gerade erst gelesen. Bis gerade eben war mir gar nicht aufgefallen, dass ich heute gar keine Benachrichtigungen bekommen habe ... Bzw. zwei kamen und habe ich gerade im Spam-Filter gefunden ... Ich gehe meine E-Mailbenachrichtigungen dann auch mal ausstellen und hoffe, Du findest das Problem bald. Zirkelmails sind mir doch immer Willkommen! :knuddel:

Maja

@Malinche
Das liegt daran, dass ich gerade den Tintenzirkel temporär von der Blacklist gelöscht habe und damit alle zurückgehaltenen Mails zugestellt werden konnten. Aber: Das war nur vorübergehend.


Ich habe gerade eine Dreiviertelstunde mit einem guten Freund, der sich mit IT auskennt, telefoniert, dabei diverse Diagnostiken für den Server ausgeführt, und das Ergebnis ist niederschmetternd. Der Server versendet Spam. Auch, wenn der Webserver beendet wird (falls sich jemand gewundert hat, das Forum war temporär weg), versendet der Server Spam. Alle laufenden Programme haben die IP 127.0.0.1, sprich: Das, was den Spam versendet, greift dafür nicht von außen auf den Server zu, sondern ist ein Programm, das - wahrscheinlich durch einen Hack im Lauf des gestrigen Tages - auf dem Server installiert wurde und von dort aus jetzt munter seinen Spam versendet - ein sog. Rootkit.

Ich habe jetzt erstmal Tabula Rasa gemacht und postfix abgeschaltet. Das heißt, zum gegenwärtigen Zeitpunkt versendet der Tintenzirkel weder Spam noch sonstige Mails, noch bin ich in der Lage, irgendeine Mail zu empfangen. Das war das kleinere Übel im Vergleich zu einer Spamschleuder, wobei es sein kann, dass der Rootkit über die enthaltenen Rootrechte den Mailserver einfach wieder einschaltet. Aber zuminest bis dahin ist Ruhe.

Leider konnte unser Freund mir nicht weiter helfen. Meine letzte Hoffnung ist, dass @Volker noch irgendwas einfällt. Ansonsten bleibt mir nicht übrig, als den Server komplett neu aufzusetzen (bzw. innerhalb Hosteuropes auf einen neuen Server zu wechseln). Das ist keine kleine Sache, weil ich nicht riskieren kann, die Daten einfach zu migrieren - da nehme ich das Rootkit schlichtweg mit. Ich lage mir gerade Backups vom 8. und 9. September runter (am 10. September hat sich der ausgehende TRaffic verzehnfacht, es ist relativ leicht, damit den Zeitpunkt des Angriffs zu ermitteln); die Forendatenbank werde ich separat nochmal backuppen, damit wir nicht zu viele Beiträge verlieren. Davon betroffen ist dann auch @Dahlia mit dem Webspace der Unperfektautoren.

Aber: Das mache ich nicht mal eben nebenbei. Ich halte euch auf dem Laufenden.
Niemand hantiert gern ungesichert mit kritischen Massen.
Robert Gernhardt

Denamio

#5
Da du eine generelle Idee hast, wann der Angriff erfolgt ist, könntest du theoretisch mittels...

find location -ctime x
find location -mtime x

... schauen, welche Dateien in den letzten x Tagen entweder Änderungen beim Zugriffsrecht (ctime) hatten, oder modifiziert wurden. Eventuell wirst du dort fündig. Aber das klärt nur wo Schadstellen hocken, nicht wie sie reinkamen.

Das Location ist dabei dein Suchort. Musste nachschauen, Linux ist lange her.
./ von soweit oben im Baum wie möglich.

Maja

Ich habe es jetzt auch mit chkrootkit versucht, aber der findet nichts.

Das Problem kann auch darin liegen, dass meine Forensoftware veraltet ist. Das heißt, ich habe immer aktuelle Pakete eingespielt, aber die zugrunde liegende Ubuntu-Version ist 14.04. Das ist eine LTS-Version, sprich ich bekomme noch Updates bis 2019, aber der Kernel selbst ist entsprechend alt. Ich könnte jetzt auf ein aktualisiertes Server-Modell wechseln, wo ich etwas mehr Platz zur Verfügung hätte, einen etwas schnelleren Proz und Ubuntu 16.04 LTS als Betriebssystem.

Ich vermute, meine Firewall war unzureichend konfiguriert, aber nun ist das Kind in den Brunnen gefallen. Auf einem neuen Server könnte ich zusehen, dass ich die Türen von Anfang an dicht halte.
Niemand hantiert gern ungesichert mit kritischen Massen.
Robert Gernhardt

Zit

Ich weiß, du hast gerade anderes zu tun. Ich hab allerdings keine Ahnung davon, deswegen frage ich lieber einmal nach: Wenn ich das recht verstehe, ist das Rootkit nur der Schlüssel zum Server – aber welche Programme dann dadurch weiter munter installiert wurden, ist nicht sofort ersichtlich? Was ich mich frage, ist: Hat das auch Einflüsse auf unsere Foren-Passwörter u.a.? Also, kann der Eindringling auch munter andere Daten sammeln und nicht nur Spam versenden? Wenn ja, welche Sicherheitsmaßnahmen sollten wir ergreifen?
"I think therefore I am
getting a headache."
Unbekannt

Maja

Die Forenpasswörter sind verschlüsselt, und auch für die E-Mails müsste erst einmal die passwortgeschützte Datenbank geknackt werden. Alles, wofür sich diese Rootkits unterm Strich interessieren, ist, Spam zu verschicken. Sie infizieren ein System - wie hier den Router - laden sich ihre Adressdatenbank runter und verschicken eine Mail nach der anderen. Ich habe zwischenzeitlich 5.800 Mails aus der Warteschlange des Systems gelöscht.

An den forenpasswörtern sollte kein Interesse bestehen. Da mache ich mir um eure Mailadressen mehr Sorgen. Aber: Diese Angriffe erfolgen automatisiert. Es ist den Spammern egal, was für Seiten auf dem Server liegen, und dass wir hier ein Forum mit 400 Mitgliedern haben, wird sie nicht weiter interessieren. Trotzdem kann ich nicht garantieren, dass nicht eure Mailadressen danach in Spam-Datenbanken landen. Es tut mir leid, dass ich da keine positivere Nachricht für euch habe.
Niemand hantiert gern ungesichert mit kritischen Massen.
Robert Gernhardt

Fianna

#9
Meine Mailadresse ist ohnehin in einer Spam-Datenbank, seit ich mich für den Newsletter eines kleinen Verlages angemeldet habe.  ::) Ist nicht so wild, nur öfters das Spam-Postfach leeren, weil sonst Fehlermeldungen von wegen "Postfach-Limit erreicht" kommen.

Dahlia

@Maja: Danke fürs Anschubsen, ich hab dann auch schnell zur Sicherheit ein Backup gemacht. Hoffentlich kannst du das Problem dann bald lösen :knuddel:

Volker

#11
Die Mailheader sehen so aus, als ob Dein Postfix ein OpenRelay gewesen wäre, das heißt er hat Mails von fremden Mailsystemen für Fremde angenommen und durchgeleitet. Dann muss gar nichts gehackt worden sein. Das Forum wäre dann gar nicht involviert.

Kannst Du mir mal die /etc/postfix/main.cf als PM weiterleiten?
Wann ist die zuletzt geändert worden (ls -l /etc/postfix/) ?

Lothen

Gerade ist mir noch eine Sache aufgefallen, weiß aber nicht, ob das damit zusammenhängt: im "Verlage und Agenturen"-Board kann ich meine Beiträge nicht mehr editieren, der Button fehlt schlicht und ergreifend (oben rechts ist nur der "zitieren" Button und unten nur der "melden" Button).

Oder ist das eine generelle Neuerung, die ich verpasst habe?

Maja

#13
@Lothen
Ich kann euch pauschal sagen: Der Hack hat keine Auswirkung auf irgendwas, das die Forensoftware macht, außer, dass keine Mails mehr verschickt werden können. Das Verlagsboard habe ich letzte Woche per Hand gesperrt, weil ich es leid war, dass Mitglieder ihre Beiträge aus einer Diskussion nachträglich rauslöschen (leereditieren) und eine Dialogruine zurücklassen, mit der niemand etwas anfangen kann. Das hat aber nichts mit dem Rootkit zu tun.

@Volker
Wir haben den Server mit der MXToolbox überprüft, und die meint, es ist kein Open Relay. Dinge, die wir noch ver/untersucht haben:
- Die postfix main.cfg sieht unauffällig aus
- alle Prozesse, die auf dem Server laufen, haben die IP 127.0.0.1
- Es wurde kein neuer Benutzer hinzugefügt (zumindest ist kein neuer Eintrag in der Passwort-Datei hinzugekommen)
- Wenn der Apache beendet wird, füllt sich die Mailqueue weiter mit Spammails
- Nachdem wir postfix beendet haben, ist es auch aus geblieben, niemand hat es neu gestartet

Hältst du die Möglichkeit, den Server wieder sauber zu bekommen, für einen geringeren Arbeitsaufwand, als ihn anhand eines Backups komplett neu aufzusetzen?
Wähle ich dann besser einen komplett neuen Server, oder installiere ich den vothandenen neu?
Und könntest du mir beim Aufsetzen eines neuen Servers helfen, die Firewall richtig zu konfigurieren?
Niemand hantiert gern ungesichert mit kritischen Massen.
Robert Gernhardt

Lothen

Zitat von: Maja am 12. September 2017, 15:41:30Ich kann euch pauschal sagen: Der Hack hat keine Auswirkung auf irgendwas, das die Forensoftware macht, außer, dass keine Mails mehr verschickt werden können. Das Verlagsboard habe ich letzte Woche per Hand gesperrt, weil ich es leid war, dass Mitglieder ihre Beiträge aus einer Diskussion nachträglich rauslöschen (leereditieren) und eine Dialogruine zurücklassen, mit der niemand etwas anfangen kann. Das hat aber nichts mit dem Rootkit zu tun.
Ahh, okay, alles klar. Dann muss der Tippfehler leider in meinem Post drin bleiben. ;D