Okay. Offenbar ist mein Server als bekannter Spammer auf einer Blacklist gelandet.
http://www.dnsbl.manitu.net/lookup.php?value=92.51.133.22
Ich kann mir nicht vorstellen, dass von meinem Server Spam verschickt worden ist. Ich halte die Serversoftware aktuell. Meine Ressourcenwerte sind unauffällig. Ich bekomme nur Bouncemails auf Mails, die von der Forensoftware verschickt worden sind. Was kann ich machen, um wieder entspammt zu werden? Wirklich nur warten?
Ich brauche Hilfe!
http://zy0.de/q/92.51.133.22
Return-Path: <espelgordoloto@aol.com>
X-Original-To: albaicin.waltrud@SPAMTRAP.INVALID
Received: from mail.gottfabrik.de (mail.gottfabrik.de [92.51.133.22])
by mail.ixlab.de (Spamtrap) with ESMTP
for <albaicin.waltrud@SPAMTRAP.INVALID>; Sun, 10 Sep 2017 20:12:30 +0200 (CEST)
Received: from User (unknown [24.121.225.29])
by mail.gottfabrik.de (Postfix) with ESMTPA id 335EC658D4;
Sun, 10 Sep 2017 03:23:01 +0200 (CEST)
Reply-To: <drjparagonez@consultant.com>
From: "LOTERIA NACIONAL."<espelgordoloto@aol.com>
Subject: Sie gewonnen 915.610,00 Euro.
Date: Sat, 9 Sep 2017 18:22:11 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_010C_01C2A9A6.00E515BA"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-NiX-Spam-Hash0: 364431b1648f3fea217b9c6ed51af85e
X-NiX-Spam-Source-IP: 92.51.133.22
X-NiX-Spam-MX: mail.ixlab.de
X-NiX-Spam-Listed: yes
Offenbar versendet mein Server in der Tat Spam. Ich weiß nicht, woran es liegt, ich finde keine offenen Ports oder andere Schlupflöcher. Seit dem 10. September hat sich das ausgehende Datenvolumen verzehnfacht. Ich habe das Root-Passwort geändert.
@Volker,
@AngelFilia könnt ihr helfen?
Ich weiß nicht, ob es relevant ist, aber bei mir (Hotmail) rauschen seit etwa 20 Uhr Benachrichtigungsmails über PNs und Mentions ein, die selbst Stunden zuvor erfolgt sind. Ich hatte den Tag über gar nicht mitbekommen, dass da Mails ausbleiben.
Ich habe das hier gerade erst gelesen. Bis gerade eben war mir gar nicht aufgefallen, dass ich heute gar keine Benachrichtigungen bekommen habe ... Bzw. zwei kamen und habe ich gerade im Spam-Filter gefunden ... Ich gehe meine E-Mailbenachrichtigungen dann auch mal ausstellen und hoffe, Du findest das Problem bald. Zirkelmails sind mir doch immer Willkommen! :knuddel:
@Malinche Das liegt daran, dass ich gerade den Tintenzirkel temporär von der Blacklist gelöscht habe und damit alle zurückgehaltenen Mails zugestellt werden konnten. Aber: Das war nur vorübergehend.
Ich habe gerade eine Dreiviertelstunde mit einem guten Freund, der sich mit IT auskennt, telefoniert, dabei diverse Diagnostiken für den Server ausgeführt, und das Ergebnis ist niederschmetternd. Der Server versendet Spam. Auch, wenn der Webserver beendet wird (falls sich jemand gewundert hat, das Forum war temporär weg), versendet der Server Spam. Alle laufenden Programme haben die IP 127.0.0.1, sprich: Das, was den Spam versendet, greift dafür nicht von außen auf den Server zu, sondern ist ein Programm, das - wahrscheinlich durch einen Hack im Lauf des gestrigen Tages - auf dem Server installiert wurde und von dort aus jetzt munter seinen Spam versendet - ein sog. Rootkit.
Ich habe jetzt erstmal Tabula Rasa gemacht und postfix abgeschaltet. Das heißt, zum gegenwärtigen Zeitpunkt versendet der Tintenzirkel weder Spam noch sonstige Mails, noch bin ich in der Lage, irgendeine Mail zu empfangen. Das war das kleinere Übel im Vergleich zu einer Spamschleuder, wobei es sein kann, dass der Rootkit über die enthaltenen Rootrechte den Mailserver einfach wieder einschaltet. Aber zuminest bis dahin ist Ruhe.
Leider konnte unser Freund mir nicht weiter helfen. Meine letzte Hoffnung ist, dass
@Volker noch irgendwas einfällt. Ansonsten bleibt mir nicht übrig, als den Server komplett neu aufzusetzen (bzw. innerhalb Hosteuropes auf einen neuen Server zu wechseln). Das ist keine kleine Sache, weil ich nicht riskieren kann, die Daten einfach zu migrieren - da nehme ich das Rootkit schlichtweg mit. Ich lage mir gerade Backups vom 8. und 9. September runter (am 10. September hat sich der ausgehende TRaffic verzehnfacht, es ist relativ leicht, damit den Zeitpunkt des Angriffs zu ermitteln); die Forendatenbank werde ich separat nochmal backuppen, damit wir nicht zu viele Beiträge verlieren. Davon betroffen ist dann auch
@Dahlia mit dem Webspace der Unperfektautoren.
Aber: Das mache ich nicht mal eben nebenbei. Ich halte euch auf dem Laufenden.
Da du eine generelle Idee hast, wann der Angriff erfolgt ist, könntest du theoretisch mittels...
find location -ctime x
find location -mtime x
... schauen, welche Dateien in den letzten x Tagen entweder Änderungen beim Zugriffsrecht (ctime) hatten, oder modifiziert wurden. Eventuell wirst du dort fündig. Aber das klärt nur wo Schadstellen hocken, nicht wie sie reinkamen.
Das Location ist dabei dein Suchort. Musste nachschauen, Linux ist lange her.
./ von soweit oben im Baum wie möglich.
Ich habe es jetzt auch mit chkrootkit versucht, aber der findet nichts.
Das Problem kann auch darin liegen, dass meine Forensoftware veraltet ist. Das heißt, ich habe immer aktuelle Pakete eingespielt, aber die zugrunde liegende Ubuntu-Version ist 14.04. Das ist eine LTS-Version, sprich ich bekomme noch Updates bis 2019, aber der Kernel selbst ist entsprechend alt. Ich könnte jetzt auf ein aktualisiertes Server-Modell wechseln, wo ich etwas mehr Platz zur Verfügung hätte, einen etwas schnelleren Proz und Ubuntu 16.04 LTS als Betriebssystem.
Ich vermute, meine Firewall war unzureichend konfiguriert, aber nun ist das Kind in den Brunnen gefallen. Auf einem neuen Server könnte ich zusehen, dass ich die Türen von Anfang an dicht halte.
Ich weiß, du hast gerade anderes zu tun. Ich hab allerdings keine Ahnung davon, deswegen frage ich lieber einmal nach: Wenn ich das recht verstehe, ist das Rootkit nur der Schlüssel zum Server – aber welche Programme dann dadurch weiter munter installiert wurden, ist nicht sofort ersichtlich? Was ich mich frage, ist: Hat das auch Einflüsse auf unsere Foren-Passwörter u.a.? Also, kann der Eindringling auch munter andere Daten sammeln und nicht nur Spam versenden? Wenn ja, welche Sicherheitsmaßnahmen sollten wir ergreifen?
Die Forenpasswörter sind verschlüsselt, und auch für die E-Mails müsste erst einmal die passwortgeschützte Datenbank geknackt werden. Alles, wofür sich diese Rootkits unterm Strich interessieren, ist, Spam zu verschicken. Sie infizieren ein System - wie hier den Router - laden sich ihre Adressdatenbank runter und verschicken eine Mail nach der anderen. Ich habe zwischenzeitlich 5.800 Mails aus der Warteschlange des Systems gelöscht.
An den forenpasswörtern sollte kein Interesse bestehen. Da mache ich mir um eure Mailadressen mehr Sorgen. Aber: Diese Angriffe erfolgen automatisiert. Es ist den Spammern egal, was für Seiten auf dem Server liegen, und dass wir hier ein Forum mit 400 Mitgliedern haben, wird sie nicht weiter interessieren. Trotzdem kann ich nicht garantieren, dass nicht eure Mailadressen danach in Spam-Datenbanken landen. Es tut mir leid, dass ich da keine positivere Nachricht für euch habe.
Meine Mailadresse ist ohnehin in einer Spam-Datenbank, seit ich mich für den Newsletter eines kleinen Verlages angemeldet habe. ::) Ist nicht so wild, nur öfters das Spam-Postfach leeren, weil sonst Fehlermeldungen von wegen "Postfach-Limit erreicht" kommen.
@Maja: Danke fürs Anschubsen, ich hab dann auch schnell zur Sicherheit ein Backup gemacht. Hoffentlich kannst du das Problem dann bald lösen :knuddel:
Die Mailheader sehen so aus, als ob Dein Postfix ein OpenRelay gewesen wäre, das heißt er hat Mails von fremden Mailsystemen für Fremde angenommen und durchgeleitet. Dann muss gar nichts gehackt worden sein. Das Forum wäre dann gar nicht involviert.
Kannst Du mir mal die /etc/postfix/main.cf als PM weiterleiten?
Wann ist die zuletzt geändert worden (ls -l /etc/postfix/) ?
Gerade ist mir noch eine Sache aufgefallen, weiß aber nicht, ob das damit zusammenhängt: im "Verlage und Agenturen"-Board kann ich meine Beiträge nicht mehr editieren, der Button fehlt schlicht und ergreifend (oben rechts ist nur der "zitieren" Button und unten nur der "melden" Button).
Oder ist das eine generelle Neuerung, die ich verpasst habe?
@Lothen Ich kann euch pauschal sagen: Der Hack hat keine Auswirkung auf irgendwas, das die Forensoftware macht, außer, dass keine Mails mehr verschickt werden können. Das Verlagsboard habe ich letzte Woche per Hand gesperrt, weil ich es leid war, dass Mitglieder ihre Beiträge aus einer Diskussion nachträglich rauslöschen (leereditieren) und eine Dialogruine zurücklassen, mit der niemand etwas anfangen kann. Das hat aber nichts mit dem Rootkit zu tun.
@Volker Wir haben den Server mit der MXToolbox überprüft, und die meint, es ist kein Open Relay (https://mxtoolbox.com/SuperTool.aspx?action=smtp%3amail.gottfabrik.de&run=toolpage#). Dinge, die wir noch ver/untersucht haben:
- Die postfix main.cfg sieht unauffällig aus
- alle Prozesse, die auf dem Server laufen, haben die IP 127.0.0.1
- Es wurde kein neuer Benutzer hinzugefügt (zumindest ist kein neuer Eintrag in der Passwort-Datei hinzugekommen)
- Wenn der Apache beendet wird, füllt sich die Mailqueue weiter mit Spammails
- Nachdem wir postfix beendet haben, ist es auch aus geblieben, niemand hat es neu gestartet
Hältst du die Möglichkeit, den Server wieder sauber zu bekommen, für einen geringeren Arbeitsaufwand, als ihn anhand eines Backups komplett neu aufzusetzen?
Wähle ich dann besser einen komplett neuen Server, oder installiere ich den vothandenen neu?
Und könntest du mir beim Aufsetzen eines neuen Servers helfen, die Firewall richtig zu konfigurieren?
Zitat von: Maja am 12. September 2017, 15:41:30Ich kann euch pauschal sagen: Der Hack hat keine Auswirkung auf irgendwas, das die Forensoftware macht, außer, dass keine Mails mehr verschickt werden können. Das Verlagsboard habe ich letzte Woche per Hand gesperrt, weil ich es leid war, dass Mitglieder ihre Beiträge aus einer Diskussion nachträglich rauslöschen (leereditieren) und eine Dialogruine zurücklassen, mit der niemand etwas anfangen kann. Das hat aber nichts mit dem Rootkit zu tun.
Ahh, okay, alles klar. Dann muss der Tippfehler leider in meinem Post drin bleiben. ;D
Zitat von: Maja am 12. September 2017, 15:41:30
Wir haben den Server mit der MXToolbox überprüft, und die meint, es ist kein Open Relay (https://mxtoolbox.com/SuperTool.aspx?action=smtp%3amail.gottfabrik.de&run=toolpage#).
Naja - aktuell ist der ja auch down. :d'oh:
Zitat von: Maja am 12. September 2017, 15:41:30
- Wenn der Apache beendet wird, füllt sich die Mailqueue weiter mit Spammails
Das hört sich eher nach einem Nicht-Forum-Problem an.
Zitat von: Maja am 12. September 2017, 15:41:30
Hältst du die Möglichkeit, den Server wieder sauber zu bekommen, für einen geringeren Arbeitsaufwand, als ihn anhand eines Backups komplett neu aufzusetzen?
Wähle ich dann besser einen komplett neuen Server, oder installiere ich den vothandenen neu?
Und könntest du mir beim Aufsetzen eines neuen Servers helfen, die Firewall richtig zu konfigurieren?
Ich würd' erst mal weiter analysieren. Kannst Du mir folgende Sachen zukommen lassen - per Mail oder über den Link, den ich Dir als PM geschickt habe?
- /etc/postfix/main.cf
- /etc/postfix/master.cf
- /var/log/mail.log
- die Ausgabe von journalctl -x -u postfix
Alternativ könnte ich mich auch als Root 'draufschalten und umsehen, wenn Du mir den Zugang weiterreichst.
Daten kommen!
Zitat von: Volker am 12. September 2017, 15:57:37
Zitat von: Maja am 12. September 2017, 15:41:30
Wir haben den Server mit der MXToolbox überprüft, und die meint, es ist kein Open Relay (https://mxtoolbox.com/SuperTool.aspx?action=smtp%3amail.gottfabrik.de&run=toolpage#).
Naja - aktuell ist der ja auch down. :d'oh:
Das sagte die Seite auch, bevor wir postfix ausgeschaltet haben.
Sieht stark nach dem Trivialfall geknackter Zugangsdaten für einen Mailaccount aus.
Das Forum dürfte daher nicht weiter betroffen sein.
Wir sind auf dem Weg der Besserung.
Maja muss nur noch die Maileinstellungen des Forums an den leicht gehärteten Mailserver anpassen, dann gehen auch die Meldungen wieder 'raus.
Bis auf die unverbesserlichen Yahoo-Nutzer sollten so langsam wieder alle ihre Benachrichtigungen bekommen.
Bei Yahoo kann's dauern. Yahoo sollte man aber grundsätzlich meiden - die führen sich auf wie der Elefant im Porzellanladen und machen schon länger Mail, Mailinglisten und Weiterleitungen unrettbar kaputt, weil Mailinglisten bieten sie ja selber an (zugekauft und schimmeln gelassen) - außerdem wissen sie natürlich viel besser als der Rest der Welt wie Mail zu gehen hat, entsprechend habe sich die Welt nach ihnen zu richten...
:nöö:
Ich habe jetzt die IP des Server von verschiedenen Blacklisten runterbekommen. Aber das war nicht bei allen möglich. Da beißt sich die Katze in den Schanz: Diese Spamschutzseiten löschen nur IPs, nicht gerade nicht auf anderen Blacklisten stehen. Das heißt, solange ich auf Liste A stehe, komme ich nicht von Liste B runter, aber Liste A löscht mich nicht, weil ich auf Liste B stehe.
Andere Blacklists versprechen mir, dass ich gelöscht werde, sobald dreißig Tage lang keine neuen Spammails verzeichnet wurden, und bieten eine sofortige Löschung an, wenn ich einmalig bis zu 92 Euro bezahle. Ich tendiere dazu, diese Seiten auszusitzen, weil ich gerade nicht so viel Geld übrig habe. Das heißt, je nachden, welche Blacklist euer Mailprovider nutzt, kann es also eine Weile dauern, bis ihr wieder Mails vom Tintenzirkel empfangen könnt.
Ich werde so lange meine Mails über GMX versenden, bin aber wieder regulär erreichbar.
Ihr beiden seid ganz besonders wundervoll! :pompom:
Das würde ich auch nicht zahlen, Maja, das erwartet echt niemand. :knuddel: Danke für den Einsatz und die Problemlösung, bei mir sind gerade alle Nachrichten eingetrudelt. :)
Ich bedanke mich auch! :knuddel:
Danke ihr beiden :knuddel: Und klar sitzt du das aus Maja. 92 Euro ist viel Geld und 30 Tage schaffen wirs bestimmt selbst zu schauen.
Bei mir kommt auch ohne Yahoo nichts an, aber wie gesagt, dann schau ich eben mal öfter. Positiv zu vermelden habe ich allerdings, dass der Spam echt deutlich nachgelassen hat. Ich hatte mich zwischenzeitlich schon gewundert wieso auf einmal Dauerbeschuss war.
Als unverbesserliche Yahoo-Nutzerin kann ich vemelden: Alle Meldungen (kein Spam) kamen gestern ab 18:30 Uhr bei mir an. ;D
Zitat von: Nycra am 13. September 2017, 10:01:26
Als unverbesserliche Yahoo-Nutzerin kann ich vemelden: Alle Meldungen (kein Spam) kamen gestern ab 18:30 Uhr bei mir an. ;D
Bei mir auch ;)
Das erleichtert mich. Die letzten 13 Blacklists, auf denen wir sitzen, sind von der hartnäckigen Sorte, aber ich denke, in einer Woche werden nur noch ein paar übrig sein, und den Resr schaffen wir auch noch.
Danke, Maja und Volker, dass ihr euch da so reinhängt!
Ja, vielen Dank!
Ich freue mich, dass nach einer Woche nur noch drei obskure Blacklists übrig sind und so ziemlich jeder auf der Welt wieder Mails von mir empfangen können sollte. :)
Ich möchte keine Geister heraufbeschwören, aber der TiZi scheint Viren zu versenden ... Siehe Anhang. Das waren zwei verschiedene Mails, eine Warnung erreichte mich um 20:55h, die zweite um 22:05h. Gerade gesehen.
[Dateianhang durch Administrator gelöscht]
Der TiZi versendet immer mit "forum@tintenzirkel.de".
Deine Mail ist vmtl. nur eine einfache Fälschung der Absenderzeile, was keinen geknackten Server braucht.
Für Genaueres müste ich die Header-Zeilen der Mail sehen können.
Ich habe auch ein paar von diesen Mails bekommen. Sie sind an obermotz@tintenzirkel.de gegangen, die Adresse, die an unsere privaten Mailaccounts weitergeleitet wird. Die Spammer haben den Absender aus der Zieldomain generiert. Aus den Headerdaten geht hervor, dass unser Server nichts mit dem Versenden zu tun hatte. Da Spammer grundsätzlich gefälschte Absendeadressen verwenden, ist es eine gängige Praxis, zu tun, als wäre die Zieldomain auch der Absender, in der Hoffnung, damit per Whitelist an den Spamfiltern vorbeizukommen.
Return-Path: <noreply@tintenzirkel.de>
X-Original-To: maja@ilisch.de
Delivered-To: maja@ilisch.de
Received: by mail.gottfabrik.de (Postfix, from userid 30)
id 5098B63C91; Wed, 27 Sep 2017 22:05:00 +0200 (CEST)
X-Original-To: obermotz@tintenzirkel.de
Delivered-To: obermotz@tintenzirkel.de
Received: from static.vnpt.vn (unknown [113.163.187.102])
by mail.gottfabrik.de (Postfix) with ESMTP id BA5E263C83
for <obermotz@tintenzirkel.de>; Wed, 27 Sep 2017 22:04:59 +0200 (CEST)
From: <noreply@tintenzirkel.de>
To: <obermotz@tintenzirkel.de>
Subject: Scanned image from MX-2600N
Date: Thu, 28 Sep 2017 03:05:02 +0700
Message-ID: <20170818533998.12D9.noreply@tintenzirkel.de>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_7688_110E95AC.9AFD3EA1"
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: 0e1d635B8c3D81254389bB866950f2==
Aus der Absender-IP 113.163.187.102 geht hervor, dass die Mail über einen gehackten Server in Vietnam verschickt wurde.
Wenn ihr Spam bekommt - schaut nicht auf die Absenderadresse. Die hat nichts mit dem Versenden der Mail zu tun. Auch der Spam, der über unseren gehackten Server verschickt wurde, hatte sonstwas als Absender, keine von meinen Adressen. Aber in den Headerdaten findet man immer einen Eintrag, der so aussieht
Received: from static.vnpt.vn (unknown [113.163.187.102])
Das ist die Adresse des Servers, über den die Mail verschickt wurde, und die Domain des Providers. Mail, die von meinem Server aus verschickt wurde, erkennt man immer an dem Eintrag
Received: from mail.gottfabrik.de
Wenn ihr Spam bekommt, der auf mail.gottfabrik.de als Absender verweist, dann gebt mir bitte Bescheid.
Schön, dass das Problem gelöst wurde. :prost:
Eigentlich müsste man dazu übergehen, alle Mails von vornherein im Quelltext öffnen zu lassen, so dass man gleich die Header sieht. Dann könnte es einen Button geben »Vertrauenswürdig – springe zum Textteil«, danach ggf. »Noch vertrauenswürdiger – im HTML-Modus öffnen«. ... Und dann hätte ich gerne noch ein Frühstück ans Bett gebracht, liebes Universum.
Viele Mailclients bieten immerhin ein Feature, um gleich alle Mail-Header anzuzeigen. Wer das einschaltet, sieht aber ein, dass das nicht die Voreinstellung sein kann. Und auch obiger Vorschlag ist leider kaum praktikabel angesichts nicht gerade üppig gesähten technischen Verständnisses bei Leuten (davon hab ich zwar ein bisschen mehr, dafür aber bisschen weniger Lebenserfahrung und so Zeug). Wenn schon mein Request »Weniger Kriege auf der Welt« ewig beim Universum in der Pipeline liegt, brauche ich gar nicht erst damit kommen.
Ah, sorry, habe ich leider nicht gesehen - hatte viel zu tun.
Bei dringenden Fällen entweder eine PM, oder eine Mail. Aber Volker hat dir ja helfen können. Bin froh, dass ihr das geschafft habt, ohne den Server neu aufzusetzen (mag ich auch nicht gerne - vor allem daten sichern und backups einspielen dauert so extrem lange).