Ergebnis 1 bis 7 von 7

Thema: OVH/Kimsufi Server verschickt anscheinend Spam-Mails

  1. #1
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    OVH/Kimsufi Server verschickt anscheinend Spam-Mails

    Hallo Leute,

    Bisher wurde ich glücklicherweise damit verschont, aber heute bekam ich eine Mail vom OVH Monitoring, dass mein Kimsufi-Server Spam verschickt.

    Inhalt der Mail:

    Dear Customer,

    Our anti-spam protection layer has detected that your IP 1.1.1.1 is sending spam.

    In order to protect our network, we have blocked the port 25 of your server, at the
    network level.

    To help you investigate about this problem and fix it, here are a sample
    are some advanced details on your emails:

    Destination IP: 98.136.102.55 - Message-ID: %MSGIDrobaku@aulanet.com.ar - Spam score: 700
    Destination IP: 98.136.102.55 - Message-ID: %MSGIDrobaku@aulanet.com.ar - Spam score: 700
    Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
    Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
    Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700

    If you want more information about anti-spam best practices, check-out this guide:

    http://help.ovh.co.uk/AntiSpamBestPractice
    Der Postfix, der installiert ist, darf nur lokale Mails senden. In dessen Logs habe ich auch keine ausgehenden Mails mit den oben angegebenen Adressen gefunden. Keiner der User lässt ein Script laufen. Keine Infektion feststellbar, auch kein Rootkit, auch nicht über die Recovery-Konsole. Keine offenen Ports. Keine ungewöhnlichen Einträge in der Firewall (listening ist nur 22, 53, 80, 443 erlaubt, outgoing natürlich erst mal alles, habe jetzt aber Port 25, 2525, 465 und 587 geblockt), schon gar nicht zur angegebenen IP.

    Welche Methoden würdet ihr in dieser Situation für die Untersuchung nutzen?
    Geändert von phre4k (22.08.18 um 03:47 Uhr)
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  2. #2
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.276
    ngb:news Artikel
    6

    Re: OVH/Kimsufi Server verschickt anscheinend Spam-Mails

    @phre4k: Ich würde persönlich den ausgehenden Mailverkehr (also dport 25 etc.) in iptables mit nem DROP versehen und davor nen Logging-Target setzen. Dann siehst du ziemlich genau, was dein System so treibt...
    Für diesen Beitrag bedankt sich phre4k
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  3. #3
    Mitglied

    (Threadstarter)

    Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: OVH/Kimsufi Server verschickt anscheinend Spam-Mails

    Das hab ich ja mit Firewalld getan (rich rules mit dport 25, firewall-cmd --set-log-denied=all), allerdings scheint die Ursache derzeit nicht zu bestehen (keinerlei Logeinträge). Vielleicht hat der Angreifer als OVH den Port geblockt hat erst mal seine Daten gelöscht? Habe einen bestimmten Nutzer meines Servers im Verdacht, die Logs für ihn sind aber außer ein paar "Hackingversuchen" (Prozessliste, diverse recon-Scripts) unauffällig.

    Bin gerade echt ratlos. Maldet, Lynis, ClamAV, rkhunter melden nichts.
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  4. #4
    Mitglied Avatar von saddy
    Registriert seit
    Jul 2013
    Ort
    Weinberge :)
    Beiträge
    1.044

    Re: OVH/Kimsufi Server verschickt anscheinend Spam-Mails

    Kann sich ein Endnutzer/Client mit gespeicherten Zugangsdaten infiziert haben?
    Wobei die unauffälligen logs auch dagegen sprechen.

    Ansonsten muss es ja nicht der postfix sein, php mail usw gibts ja auch noch.
    Für diesen Beitrag bedankt sich phre4k

  5. #5
    Mitglied

    (Threadstarter)

    Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: OVH/Kimsufi Server verschickt anscheinend Spam-Mails

    Zitat Zitat von saddy Beitrag anzeigen
    Kann sich ein Endnutzer/Client mit gespeicherten Zugangsdaten infiziert haben?
    Das habe ich schon gecheckt, wenn das passiert ist, ist die Infektion auf jeden Fall nicht auf dem Server. Und Malware, die über SSH und php mail auf einem Server Spam verschickt, ist mir keine bekannt.

    Ansonsten muss es ja nicht der postfix sein, php mail usw gibts ja auch noch.
    Good point. Aber warum taucht dann gerade nichts in den Logs der Firewall auf?
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  6. #6
    \''; DROP TABLE user; --

    Administrator

    Avatar von electric.larry
    Registriert seit
    Dec 2014
    Ort
    Raum 43
    Beiträge
    1.503
    ngb:news Artikel
    80

    Re: OVH/Kimsufi Server verschickt anscheinend Spam-Mails

    In gehackten Websites findet man oft PHP Shells oder Mailing Scripts, die in der Regel die mail(...) Funktion verwenden. Mach in der Webroot ein grep -lir "mail(" ./* oder grep -lir "eval(" ./* und schau dir die Suchtreffer an. Wenn die Suche nach "eval" etwas liefert, siehst du gleich ob jemand versucht hat, sein Script zu tarnen. Es besteht dann aus unleserlichen, enkodierten Befehlen.

    Ich hab hier https://ngb.to/t17570 vor einiger Zeit dazu etwas geschrieben. Kapitel 4 beschreibt, was ich meine. Nicht mehr ganz aktuell der Text, aber die Technik bleibt die gleiche.
    Für diesen Beitrag bedankt sich phre4k
    ~❤~

  7. #7
    Mitglied

    (Threadstarter)

    Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: OVH/Kimsufi Server verschickt anscheinend Spam-Mails

    Maldet findet sowas mittlerweile, PHP-Shells sind tatsächlich keine vorhanden.

    Gehackt wurde von außen vermutlich nichts, denn es wird vom Webserver gar kein CGI ausgeführt (HTML only).

    Ich gehe wie gesagt eher von einem "bösen" User aus und habe auch schon einen Verdacht. Nur wie er es anstellt weiß ich nicht. In der Bash-History habe ich auch nichts gefunden.

    Weder in den Cronjobs, noch in den Systemd-Unitfiles für die User steht irgendein Script drin. Normalerweise finde ich bei CTFs auch die Angriffsvektoren, aber hier scheint einer mal ausnahmsweise ein bisschen schlauer zu sein als ich.

    EDIT: Habe gerade noch mal geschaut, sind keine Cronjobs vorhanden:

    Code (Bash):
    1. for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done
    EDIT2: Es sind auch keinerlei Scripts vorhanden, die ich mir nicht erklären kann. `eval()` (PHP) und `system()` (Python) habe ich auch nicht gefunden.
    Geändert von phre4k (22.08.18 um 17:36 Uhr)
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •