OVH/Kimsufi Server verschickt anscheinend Spam-Mails

[sia]

Hallo Leute,

Bisher wurde ich glücklicherweise damit verschont, aber heute bekam ich eine Mail vom OVH Monitoring, dass mein Kimsufi-Server Spam verschickt.

Inhalt der Mail:

Dear Customer,

Our anti-spam protection layer has detected that your IP 1.1.1.1 is sending spam.

In order to protect our network, we have blocked the port 25 of your server, at the
network level.

To help you investigate about this problem and fix it, here are a sample
are some advanced details on your emails:

Destination IP: 98.136.102.55 - Message-ID: %MSGIDrobaku@aulanet.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDrobaku@aulanet.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700

If you want more information about anti-spam best practices, check-out this guide:

You do not have permission to view link please Anmelden or Registrieren

Der Postfix, der installiert ist, darf nur lokale Mails senden. In dessen Logs habe ich auch keine ausgehenden Mails mit den oben angegebenen Adressen gefunden. Keiner der User lässt ein Script laufen. Keine Infektion feststellbar, auch kein Rootkit, auch nicht über die Recovery-Konsole. Keine offenen Ports. Keine ungewöhnlichen Einträge in der Firewall (listening ist nur 22, 53, 80, 443 erlaubt, outgoing natürlich erst mal alles, habe jetzt aber Port 25, 2525, 465 und 587 geblockt), schon gar nicht zur angegebenen IP.

Welche Methoden würdet ihr in dieser Situation für die Untersuchung nutzen?

 

[Metal_Warrior]

@phre4k: Ich würde persönlich den ausgehenden Mailverkehr (also dport 25 etc.) in iptables mit nem DROP versehen und davor nen Logging-Target setzen. Dann siehst du ziemlich genau, was dein System so treibt...

 

[sia]

Das hab ich ja mit Firewalld getan (

You do not have permission to view link please Anmelden or Registrieren

mit dport 25, [kw]firewall-cmd --set-log-denied=all[/kw]), allerdings scheint die Ursache derzeit nicht zu bestehen (keinerlei Logeinträge). Vielleicht hat der Angreifer als OVH den Port geblockt hat erst mal seine Daten gelöscht? Habe einen bestimmten Nutzer meines Servers im Verdacht, die Logs für ihn sind aber außer ein paar "Hackingversuchen" (Prozessliste, diverse recon-Scripts) unauffällig.

Bin gerade echt ratlos. Maldet, Lynis, ClamAV, rkhunter melden nichts.

 

[saddy]

Kann sich ein Endnutzer/Client mit gespeicherten Zugangsdaten infiziert haben?
Wobei die unauffälligen logs auch dagegen sprechen.

Ansonsten muss es ja nicht der postfix sein, php mail usw gibts ja auch noch.

 

[sia]

Kann sich ein Endnutzer/Client mit gespeicherten Zugangsdaten infiziert haben?

Das habe ich schon gecheckt, wenn das passiert ist, ist die Infektion auf jeden Fall nicht auf dem Server. Und Malware, die über SSH und php mail auf einem Server Spam verschickt, ist mir keine bekannt.

Ansonsten muss es ja nicht der postfix sein, php mail usw gibts ja auch noch.

Good point. Aber warum taucht dann gerade nichts in den Logs der Firewall auf?

 

[electric.larry]

In gehackten Websites findet man oft PHP Shells oder Mailing Scripts, die in der Regel die mail(...) Funktion verwenden. Mach in der Webroot ein grep -lir "mail(" ./* oder grep -lir "eval(" ./* und schau dir die Suchtreffer an. Wenn die Suche nach "eval" etwas liefert, siehst du gleich ob jemand versucht hat, sein Script zu tarnen. Es besteht dann aus unleserlichen, enkodierten Befehlen.

Ich hab hier https://ngb.to/t17570 vor einiger Zeit dazu etwas geschrieben. Kapitel 4 beschreibt, was ich meine. Nicht mehr ganz aktuell der Text, aber die Technik bleibt die gleiche.

 

[sia]

Maldet findet sowas mittlerweile, PHP-Shells sind tatsächlich keine vorhanden.

Gehackt wurde von außen vermutlich nichts, denn es wird vom Webserver gar kein CGI ausgeführt (HTML only).

Ich gehe wie gesagt eher von einem "bösen" User aus und habe auch schon einen Verdacht. Nur wie er es anstellt weiß ich nicht. In der Bash-History habe ich auch nichts gefunden.

Weder in den Cronjobs, noch in den Systemd-Unitfiles für die User steht irgendein Script drin. Normalerweise finde ich bei CTFs auch die Angriffsvektoren, aber hier scheint einer mal ausnahmsweise ein bisschen schlauer zu sein als ich.

EDIT: Habe gerade noch mal geschaut, sind keine Cronjobs vorhanden:

[src=bash]for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done[/src]

EDIT2: Es sind auch keinerlei Scripts vorhanden, die ich mir nicht erklären kann. `eval()` (PHP) und `system()` (Python) habe ich auch nicht gefunden.