• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

OVH/Kimsufi Server verschickt anscheinend Spam-Mails

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Hallo Leute,

Bisher wurde ich glücklicherweise damit verschont, aber heute bekam ich eine Mail vom OVH Monitoring, dass mein Kimsufi-Server Spam verschickt.

Inhalt der Mail:

Dear Customer,

Our anti-spam protection layer has detected that your IP 1.1.1.1 is sending spam.

In order to protect our network, we have blocked the port 25 of your server, at the
network level.

To help you investigate about this problem and fix it, here are a sample
are some advanced details on your emails:

Destination IP: 98.136.102.55 - Message-ID: %MSGIDrobaku@aulanet.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDrobaku@aulanet.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700

If you want more information about anti-spam best practices, check-out this guide:

http://help.ovh.co.uk/AntiSpamBestPractice

Der Postfix, der installiert ist, darf nur lokale Mails senden. In dessen Logs habe ich auch keine ausgehenden Mails mit den oben angegebenen Adressen gefunden. Keiner der User lässt ein Script laufen. Keine Infektion feststellbar, auch kein Rootkit, auch nicht über die Recovery-Konsole. Keine offenen Ports. Keine ungewöhnlichen Einträge in der Firewall (listening ist nur 22, 53, 80, 443 erlaubt, outgoing natürlich erst mal alles, habe jetzt aber Port 25, 2525, 465 und 587 geblockt), schon gar nicht zur angegebenen IP.

Welche Methoden würdet ihr in dieser Situation für die Untersuchung nutzen?
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@phre4k: Ich würde persönlich den ausgehenden Mailverkehr (also dport 25 etc.) in iptables mit nem DROP versehen und davor nen Logging-Target setzen. Dann siehst du ziemlich genau, was dein System so treibt...
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #3
Das hab ich ja mit Firewalld getan (rich rules mit dport 25, [kw]firewall-cmd --set-log-denied=all[/kw]), allerdings scheint die Ursache derzeit nicht zu bestehen (keinerlei Logeinträge). Vielleicht hat der Angreifer als OVH den Port geblockt hat erst mal seine Daten gelöscht? Habe einen bestimmten Nutzer meines Servers im Verdacht, die Logs für ihn sind aber außer ein paar "Hackingversuchen" (Prozessliste, diverse recon-Scripts) unauffällig.

Bin gerade echt ratlos. Maldet, Lynis, ClamAV, rkhunter melden nichts.
 

saddy

Aktiver NGBler

Registriert
16 Juli 2013
Beiträge
4.027
Ort
*.*
Kann sich ein Endnutzer/Client mit gespeicherten Zugangsdaten infiziert haben?
Wobei die unauffälligen logs auch dagegen sprechen.

Ansonsten muss es ja nicht der postfix sein, php mail usw gibts ja auch noch.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #5
Kann sich ein Endnutzer/Client mit gespeicherten Zugangsdaten infiziert haben?
Das habe ich schon gecheckt, wenn das passiert ist, ist die Infektion auf jeden Fall nicht auf dem Server. Und Malware, die über SSH und php mail auf einem Server Spam verschickt, ist mir keine bekannt.

Ansonsten muss es ja nicht der postfix sein, php mail usw gibts ja auch noch.
Good point. Aber warum taucht dann gerade nichts in den Logs der Firewall auf?
 

electric.larry

\''; DROP TABLE user; --
Teammitglied

Registriert
13 Dez. 2014
Beiträge
4.549
Ort
Raum 43
In gehackten Websites findet man oft PHP Shells oder Mailing Scripts, die in der Regel die mail(...) Funktion verwenden. Mach in der Webroot ein grep -lir "mail(" ./* oder grep -lir "eval(" ./* und schau dir die Suchtreffer an. Wenn die Suche nach "eval" etwas liefert, siehst du gleich ob jemand versucht hat, sein Script zu tarnen. Es besteht dann aus unleserlichen, enkodierten Befehlen.

Ich hab hier https://ngb.to/t17570 vor einiger Zeit dazu etwas geschrieben. Kapitel 4 beschreibt, was ich meine. Nicht mehr ganz aktuell der Text, aber die Technik bleibt die gleiche.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #7
Maldet findet sowas mittlerweile, PHP-Shells sind tatsächlich keine vorhanden.

Gehackt wurde von außen vermutlich nichts, denn es wird vom Webserver gar kein CGI ausgeführt (HTML only).

Ich gehe wie gesagt eher von einem "bösen" User aus und habe auch schon einen Verdacht. Nur wie er es anstellt weiß ich nicht. In der Bash-History habe ich auch nichts gefunden.

Weder in den Cronjobs, noch in den Systemd-Unitfiles für die User steht irgendein Script drin. Normalerweise finde ich bei CTFs auch die Angriffsvektoren, aber hier scheint einer mal ausnahmsweise ein bisschen schlauer zu sein als ich.

EDIT: Habe gerade noch mal geschaut, sind keine Cronjobs vorhanden:

[src=bash]for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done[/src]

EDIT2: Es sind auch keinerlei Scripts vorhanden, die ich mir nicht erklären kann. `eval()` (PHP) und `system()` (Python) habe ich auch nicht gefunden.
 
Zuletzt bearbeitet:
Oben