gehackt? merkwürdige spam-Mails
Till
- webserver
Guten Abend,
ich habe seit einigen Wochen einen vServer bei HostEurope, auf dem einge Webprojekte von mir laufen. Nun bekomme ich seit einigen Tagen recht merkwürdige Spam-E-Mails - anscheind von mir selber verschickt ?!? Kann mir da bitte jemand weiterhelfen?
Auf dem Server läuft Suse 10 mit Plesk 8.1, gmail mit Horde. Die Header der Mails sehen so aus (dabei ist anzumerken, dass es den Mail-Account "root" gar nicht gibt, lvps[meine-IP].dedicated.hosteurope.de ist mein Servername):
Return-Path: <root@lvps[meine-IP].dedicated.hosteurope.de>
Delivered-To: 5-[benutzer]@[domain].[tld]
Received: (qmail 23968 invoked by uid 30); 27 Feb 2007 13:34:45 +0100
Date: 27 Feb 2007 13:34:45 +0100
Message-ID: <20070227[......].23[...].qmail@lvps[meine-IP].dedicated.hosteurope.de>
From: root@lvps[meine-IP].dedicated.hosteurope.de
To: [benutzer]@[domain].[tld]
Subject: Gewerbe: None
Was ist hier los?
Ich kann in der Access-Log nichts augenscheinliches finden außer etlichen, offensichtlich fehlgeschlagenen, Hack-Versuchen ... Wird vielleicht ein unsicheres PHP-Skript verwendet, um Mails zu versenden? Nicht, dass ich meine, ich hätte ein solches ... aber das schiene mir noch das wahrscheinlichste Szenario. Oder wurde ich komplett gehackt? (Nehme ich eher nicht an.)
Bin für jede (sinnvolle) Antwort dankbar!
Viele Grüße,
Till
Guten Abend,
Received: (qmail 23968 invoked by uid 30); 27 Feb 2007 13:34:45 +0100
Jepp, da lauft was lokal. uid 30 <- der wars.
Ansonsten sehen Received-Header-Einträge anders aus, etwa so:
Received: from 217.233.139.22 (EHLO localhost.localdomain) (217.233.139.22)
by mta331.mail.mud.yahoo.com with SMTP; Sat, 24 Feb 2007 05:13:06 -0800
... in diesem Fall direkt von meinem DIAL-IN an MX zugestellt (was auch nicht jeder MailProvider erlaubt).
--roro
Nabend roro,
und danke für die schnelle Antwort!
Received: (qmail 23968 invoked by uid 30); 27 Feb 2007 13:34:45 +0100
Jepp, da lauft was lokal. uid 30 <- der wars.
Hm, und jetzt??? Wie kam der rein, wie finde ich Spuren von dem, was mache ich als nächstes?
Hat denn niemand einen Hinweis?
Hat denn niemand einen Hinweis?
He Alda, ich kann Dich ja verstehen, aber rumdrängeln wird hier nicht so gern gesehen ;-)
Wer uid = 30 hat, dass kann Dir sicher Dein Systemverwalter mitteilen, und falls Du derjenige bist, der das System verwaltet, dann hast Du mit Sicherheit ein Sicherheitsproblem.
--roro
[...] rumdrängeln wird hier nicht so gern gesehen ;-)
Ok, sorry dafür. Aber ich werde gerade paranoid. ;)
Wer uid = 30 hat, dass kann Dir sicher Dein Systemverwalter mitteilen, und falls Du derjenige bist, der das System verwaltet, dann hast Du mit Sicherheit ein Sicherheitsproblem.
Tja, leider richtig geraten ... Ich frage mich nur, warum ich beim besten Willen keine Spuren von diesem User entdecke. Alles scheint normal zu laufen! Vielleicht könnte mir dazu jemand einen Hinweis geben?
Und: Ich weiß, es nervt, sich mit nicht-Profis abzugeben. Aber jeder hat mal angefangen, etc., und ich bmühe mich auch, Laien auf meinem Fachgebiet gegenüber geduldig zu sein.
Danke im Voraus!
Till
Ich grüsse den Cosmos,
Tja, leider richtig geraten ... Ich frage mich nur, warum ich beim besten Willen keine Spuren von diesem User entdecke.
Weil du keine AHnung hast, wo du suchen sollst? Weil du Google nicht kennst, das dir massenhaft Information zur Serveradministration und Fehlersuche liefern kann?
Stimmt. Und jeder, der halbwegs verantwortungsvoll handelt, betreibt einen öffentlichen Server erst, wenn er genug Ahnung davon hat.
Danke im Voraus!
http://community.de.selfhtml.org/my/zitatesammlung/zitat211
Auch wenn du es nicht hören willst, aber jeder, der ohne ausreichendes Wissen einen Server ins Netz stellt, liefert Spammern und Hackern eine Waffe, die gegen alle verwendet werden kann.
Möge das "Self" mit euch sein
Grüße aus dem All,
Weil du keine AHnung hast, wo du suchen sollst? Weil du Google nicht kennst, das dir massenhaft Information zur Serveradministration und Fehlersuche liefern kann?
Habe verschiedene Logfiles (access_log, error_log von Apache und den Websites) durchgeforstet, mit finger, last, etc. nach einem Benutzer gesucht, im gmail-Verzeichnis nachgeschaut, ...
Stimmt. Und jeder, der halbwegs verantwortungsvoll handelt, betreibt einen öffentlichen Server erst, wenn er genug Ahnung davon hat.
Man sollte überlegen, einen "Führerschein" für Serveradmins einzuführen, ich weiß. Aber da dies ein Hilfe-Forum ist, habe ich die Hoffnung, daß mir trotzdem geholfen wird ...
Till
Hallo!
Man sollte überlegen, einen "Führerschein" für Serveradmins einzuführen, ich weiß. Aber da dies ein Hilfe-Forum ist, habe ich die Hoffnung, daß mir trotzdem geholfen wird ...
Die Hilfe von Manuel ist viel hilfreicher, als wie wenn er dir schnell sagt, wie man das Sicherheitsloch stopft. Er sagt, dass du _lernen_ sollst, wie man einen Server sicher administriert. Etwas anderes zu sagen, oder zu empfehlen wäre grob fahrlässig und auch keines Wegs hilfreich.
ciao, ww
Nabend,
Die Hilfe von Manuel ist viel hilfreicher, als wie wenn er dir schnell sagt, wie man das Sicherheitsloch stopft. Er sagt, dass du _lernen_ sollst, wie man einen Server sicher administriert. Etwas anderes zu sagen, oder zu empfehlen wäre grob fahrlässig und auch keines Wegs hilfreich.
Wie wäre es ausnahmsweise mit learning-by-doing? Also etwa ein Tip von jemandem da draußen und ich suche in der Richtung weiter.
Gruß, Till
ps: Wenn ihr alle wißt, was bei mir auf dem Server los ist bzw. wie ich dahinterkommen wäre es aus meiner sicht von _Euch_ fahrlässig ... aber das schreibe ich wohl besser nicht ...
ps: Wenn ihr alle wißt, was bei mir auf dem Server los ist bzw. wie ich dahinterkommen wäre es aus meiner sicht von _Euch_ fahrlässig ... aber das schreibe ich wohl besser nicht ...
Das sehe ich auch so.
Es ist ja nicht so dass du hier irgendwelche krummen Dinger drehst oder sowas, du hast ein normales Angebot eines Hosters angenommen, das mit der entsprechenden Software ausgestattet ist und zeigst dass du Bock hast dich darum zu kümmern, ob man jetzt wirklich erwarten kann, dass jeder (Klein-)Betrieb, der ein paar Seiten betreibt, sich einen Serveradmin engagiert halte ich auch nicht für fraglich.
Vielleicht kommt ja noch jemand der bereit ist zu helfen. Ich kann's leider auch nicht, steh' aber auch vor der Entscheidung, ob ich für ein Hobbyprojekt einen Server anmieten muss und verfolge daher aus interesse den Thread
Struppi.
Hi Struppi,
Das sehe ich auch so.
Danke für das Mitgefühl von einem alten Forums-"Hasen"! ;)
Ich hoffe also auf weitere Postings ...
Gruß & Dank, Till.
Ich grüsse den Cosmos,
ob man jetzt wirklich erwarten kann, dass jeder (Klein-)Betrieb, der ein paar Seiten betreibt, sich einen Serveradmin engagiert halte ich auch nicht für fraglich.
Sojemand mietet sich Webspace und keinen Rootserver. Wer einen Rootserver mietet, sollte schon wissen, was damit alles verbunden ist.
Möge das "Self" mit euch sein
Sojemand mietet sich Webspace und keinen Rootserver. Wer einen Rootserver mietet, sollte schon wissen, was damit alles verbunden ist.
Im Prinzip magst du recht haben, ich hab aber die Erfahrung gemacht das selbst eine kleine Seite schnell den Webspace überfordern kann und leider sperren dann die Anbieter ohne Ankündigung die Seite (das ist mir bei mehreren Anbietern passiert). Ich hoffe momentan dass mein XXL Paket den Saisonauftakt aushält, wenn nicht bleibt nur der Server.
Struppi.
Im Prinzip magst du recht haben, ich hab aber die Erfahrung gemacht das selbst eine kleine Seite schnell den Webspace überfordern kann und leider sperren dann die Anbieter ohne Ankündigung die Seite (das ist mir bei mehreren Anbietern passiert). Ich hoffe momentan dass mein XXL Paket den Saisonauftakt aushält, wenn nicht bleibt nur der Server.
Und auf eben so eine Weise bin ich an den vServer geraten. Ich hatte die Nase davon voll, ständig an die Einstellungs-Grenzen des Apache zu stoßen. So läuft bei vielen Providern z.B. PHP als CGI, was eine sichere Authentifizierung schwierig macht (wenn htaccess nicht ausreicht).
Und solange nichts passiert, man die Augen aufhält, sich etwas Grundwissen aneignet, etc. (ok, jetzt werden 1000 Einwände kommen, seis drum) ist das eine feine Sache. Zumal bei Preisen von um die 10,- Euro pro Monat ... fürs Hosten von mehreren Websites. Aber etwas unruhig bin ich bei der Sache schon. Zumal ich nun den ersten Kunden selber hosten werde ... da wird die Sache schon ernster.
Naja, schönen Abend wünscht Till
Hallo!
Ich kann dir nicht helfen. Ich habe keine Ahnung. Wäre es vielleicht eine Möglichkeit, deine Projekte auf einen Webspace zu kopieren, der nicht ein VServer ist? Dann könntest du dir in Ruhe das sichere Konfigurieren beibringen und die Gefahr von Missbrauch wäre geringer.
ciao, ww
Nabend Wichtel,
Ich kann dir nicht helfen. Ich habe keine Ahnung.
Schade auch. Aber zumindest eine ehrliche Antwort. ;)
Wäre es vielleicht eine Möglichkeit, deine Projekte auf einen Webspace zu kopieren, der nicht ein VServer ist? Dann könntest du dir in Ruhe das sichere Konfigurieren beibringen und die Gefahr von Missbrauch wäre geringer.
Ich durchforste jetzt erst mal den gesamten Code. Habe nämlich die Vermutung, daß nur jemand ein "offenes" PHP-Skript von mir ausnutzt und es gar kein Server-Übergriff ist (siehe Eingangsposting). Bin mir aber halt nicht wirklich sicher ...
Ciao, Till
ps: Wenn ihr alle wißt, was bei mir auf dem Server los ist bzw. wie ich dahinterkommen wäre es aus meiner sicht von _Euch_ fahrlässig ... aber das schreibe ich wohl besser nicht ...
Nein, das solltest Du besser nicht, zumindest solange Du nicht den bereits vorgeschlagenen ersten Schritt machst und nachschaust, welches Nutzerkonto bzw. welcher Dienst die Nummer 30 auf Deinem Server hat.
Nochmal: Hier kann niemand wissen, wie Du Deinen Spielkram eingerichtet hast. Und Du bist momentan ganz und gar nicht in einer Position, aus der Du anderen Leuten ans Bein pinkeln könntest.
Nabend,
Nein, das solltest Du besser nicht, zumindest solange Du nicht den [...] bereits vorgeschlagenen ersten Schritt [...] machst und nachschaust, welches Nutzerkonto bzw. welcher Dienst die Nummer 30 auf Deinem Server hat.
Ok, aber das Posting kam erst nach dem von Dir zitierten ...
[...] Und Du bist momentan ganz und gar nicht in einer Position, aus der Du anderen Leuten ans Bein pinkeln könntest.
Will ich ja auch gar nicht ...
Till.
Nein, das solltest Du besser nicht, zumindest solange Du nicht den [...] bereits vorgeschlagenen ersten Schritt [...] machst und nachschaust, welches Nutzerkonto bzw. welcher Dienst die Nummer 30 auf Deinem Server hat.
Ok, aber das Posting kam erst nach dem von Dir zitierten ...
Der Hinweis auf die Nutzernummer kam schon um kurz nach acht und nochmal um kurz nach neun. Manchmal sieht man ja den Wald vor lauter Bäumen nicht, aber gerade dann sollte zumindest nach außen hin Ruhe bewahrt werden.
[...] rumdrängeln wird hier nicht so gern gesehen ;-)
Ok, sorry dafür. Aber ich werde gerade paranoid. ;)
Wer uid = 30 hat, dass kann Dir sicher Dein Systemverwalter mitteilen, und falls Du derjenige bist, der das System verwaltet, dann hast Du mit Sicherheit ein Sicherheitsproblem.
Tja, leider richtig geraten ... Ich frage mich nur, warum ich beim besten Willen keine Spuren von diesem User entdecke. Alles scheint normal zu laufen! Vielleicht könnte mir dazu jemand einen Hinweis geben?
Lieber Till, mich interessierts genauso wie Dich, lass mich morgen mal in Ruhe recherchieren (hab hier nur XP).
Bis dann, Rolf
Nabend, roro,
Lieber Till, mich interessierts genauso wie Dich, lass mich morgen mal in Ruhe recherchieren (hab hier nur XP).
das wäre nett! Vielen Dank schon mal im Voraus! Ich werde versuchen, unseren Instituts-Admin morgen anzutreffen, vielleicht hat der eine erhellende Lösung parat ... Werde mich auf jeden Fall wieder melden & nachschauen ...
Gute Nacht, Till
Kleiner Nachtrag:
Ich bin jetzt einen Schritt weiter, was den Benutzer "30" angeht. Das ist augenscheinlich der Webserver selber ... Kein Wunder, dass der nicht als "Benutzer" zu finden ist.
Ist das normal, dass ich in der Prozessliste
/usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
insgesamt 5x drin habe (1x UID 0, 4x UID 30)?
Nebenbei: In den System Services hat "qmail" den Stauts "stopped"? Jetzt bin ich etwas verwirrt ... Oder leigt es daran, dass alles von Plesk aus gesteuert wird?
Gute Nacht, Till
OH MANN!!!
-> normalerweise SCHREIE ich nicht, aber es ist wirklich notwendig!
Ich war auf dem totalen Holzweg! Aber total!
Des Rätzels Lösung: root ist bei mir der default Absender für automatisch per PHP-mail() durch den Apache (UID: 30) verschickte Mails. Ich habe einfach eine Nachricht vom Kontaktformular auf meiner Homepage erhalten, in der Müll stand. Wahnsinn - das war alles. Ich habe die Domain erst vor ein paar Tagen auf den Server umgezogen, daher war ich über den Absender erstaunt.
Ergo müllt mir irgendwer das Kontaktformular zu ... so etwas geschieht ja gelegentlich auch in Gästebüchern. Da wird mir schon etwas einfallen.
Puh, jetzt bin ich erst mal erleichtert!
Gute Nacht, Till
Ich grüsse den Cosmos,
Des Rätzels Lösung: root ist bei mir der default Absender für automatisch per PHP-mail() durch den Apache (UID: 30) verschickte Mails.
Na vielleicht nimmst du das jetzt als Ansporn, zu lernen, wieso sowas passiert. Denn offensichtlich hat nicht nur dein Server ein Problem, sondern deine Scripte auch. Somit verlässt du den Bereich "fahrlässig" und bewegst dich verdammt schnell auf "vörsätzlich" zu.
Möge das "Self" mit euch sein
Na vielleicht nimmst du das jetzt als Ansporn, zu lernen, wieso sowas passiert. Denn offensichtlich hat nicht nur dein Server ein Problem, sondern deine Scripte auch.
Wenn ich das richtig verstanden habe, wird eine Mail verschickt und das ist genau das was das Skript tut und tun soll, seit wann ist das fahrlässig?
Struppi.
Na vielleicht nimmst du das jetzt als Ansporn, zu lernen, wieso sowas passiert. Denn offensichtlich hat nicht nur dein Server ein Problem, sondern deine Scripte auch.
Wenn ich das richtig verstanden habe, wird eine Mail verschickt und das ist genau das was das Skript tut und tun soll, seit wann ist das fahrlässig?
Sehe ich genauso. ;) Warum mein Server ein Problem haben sollte, kann ich nicht nachvollziehen ... Und schließlich bin ich der einzige, dem die Mail zugestellt werden kann. Das Problem ist einfach, dass jemand das Formular benutzt, um mich vollzumüllen. Da helfen wohl nur ständig wechselnde URIs oder eines von den Abfrage á la geben-Sie-den-Text-der-Graphik-in-dieses-Feld-ein. Was etwas nervend für den Benutzer wäre ... Bzw. das eigentliche Problem war, dass ich die Mail nicht als das erkannt habe, was sie war: eine Nachricht von meiner Website ...
Schöne Grüße,
Till
Hallo Till
... Da helfen wohl nur ständig wechselnde URIs oder eines von den Abfrage á la geben-Sie-den-Text-der-Graphik-in-dieses-Feld-ein. Was etwas nervend für den Benutzer wäre ...
Vielleicht könnte dich Bayesscher Kommentarspam-Filter interessieren.
Auf Wiederlesen
Detlef
Hallo Detlef,
Vielleicht könnte dich Bayesscher Kommentarspam-Filter interessieren.
Sehr interessant! Werde ich mir mal näher ansehen und ausprobieren. Danke für den Hinweis!
Grüße, Till
Ich grüsse den Cosmos,
Wenn ich das richtig verstanden habe, wird eine Mail verschickt und das ist genau das was das Skript tut und tun soll, seit wann ist das fahrlässig?
Fahrlässig ist, nicht zu wissen, was auf dem Server passiert. Und das ist definitiv hier der Fall. Wer Skripte schreibt, sollte schon wissen, was diese im Praxiseinsatz so machen.
Möge das "Self" mit euch sein
Wenn ich das richtig verstanden habe, wird eine Mail verschickt und das ist genau das was das Skript tut und tun soll, seit wann ist das fahrlässig?
Fahrlässig ist, nicht zu wissen, was auf dem Server passiert. Und das ist definitiv hier der Fall. Wer Skripte schreibt, sollte schon wissen, was diese im Praxiseinsatz so machen.
Naja, auch das wußte er. Er hatte lediglich die Befürchtung, dass hier Mails eben nicht mit dem Skript verschickt werden.
Das man als Neuling oder Anfänger nicht sofort alles weiß, ist bei solch einem komplexen Thema, das ja Dutzende von Fachgebieten beinhaltet, nichts ungewöhnliches, ich weiß nicht warum dann jemand, der bei dem kleinsten Anzeichen eines Mißbrauchs seines Servers nachfragt, als farhlässig tituliert wird. In meinen Augen ist er genau das gegenteil, sehr Verantwortungsvoll.
Struppi.
Ich bin jetzt einen Schritt weiter, was den Benutzer "30" angeht. Das ist augenscheinlich der Webserver selber ... Kein Wunder, dass der nicht als "Benutzer" zu finden ist.
Eigentlich sollte er in /etc/passwd zu finden sein.
Ist das normal, dass ich in der Prozessliste
/usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
insgesamt 5x drin habe (1x UID 0, 4x UID 30)?
Ja, ein Hauptprozess und vier davon abgespaltete, die sich um jeweils eine aktive Verbindung kümmern bzw. auf eine Verbindung warten. Je mehr Anfragen kommen, desto mehr Kindprozesse werden gestartet; es können durchaus auch mehrere Dutzend in der Liste auftauchen. Diese Prozesse laufen unter einem explizit für den Webserver eingerichtenen Nutzerkonto, das außer den für den Webbetrieb nötigen Rechten keine weiteren auf dem System hat.
Die Mindestzahl an Kindprozessen wird mit MinSpareServers in der Apache-Konfiguration festgelegt, die Benutzernummer der Kindprozesse lässt sich mit User einstellen.
Eigentlich sollte er in /etc/passwd zu finden sein.
Stimmt ... da steht er auch drin. Ich war nur nicht drauf gekommen, weil ich nach etwas gesucht hatte, was da nicht hin gehört. ;)
Ja, ein Hauptprozess und vier davon abgespaltete, die sich um jeweils eine aktive Verbindung kümmern bzw. auf eine Verbindung warten. Je mehr Anfragen kommen, desto mehr Kindprozesse werden gestartet; es können durchaus auch mehrere Dutzend in der Liste auftauchen. Diese Prozesse laufen unter einem explizit für den Webserver eingerichtenen Nutzerkonto, das außer den für den Webbetrieb nötigen Rechten keine weiteren auf dem System hat.
Danke für die Aufklärung ...
Schöne Grüße, Till
echo $begrüßung;
Wer uid = 30 hat, dass kann Dir sicher Dein Systemverwalter mitteilen, und falls Du derjenige bist, der das System verwaltet, dann hast Du mit Sicherheit ein Sicherheitsproblem.
Tja, leider richtig geraten ... Ich frage mich nur, warum ich beim besten Willen keine Spuren von diesem User entdecke. Alles scheint normal zu laufen! Vielleicht könnte mir dazu jemand einen Hinweis geben?
Benutzer sind oft in der Datei /etc/passwd zu finden. Es gibt auch noch andere Systeme der Userverwaltung, aber das wäre mal ein erster Anlaufpunkt. Literaturtipp: http://www.linuxfibel.de/useradmin.htm
Und: Ich weiß, es nervt, sich mit nicht-Profis abzugeben. Aber jeder hat mal angefangen, etc., und ich bmühe mich auch, Laien auf meinem Fachgebiet gegenüber geduldig zu sein.
Für den Betrieb eines Servers ist grundelgendes Systemwissen mehr als angebracht. Du solltest dir dies dringend anlesen. Allerdings ist ein Forum nicht der passende Ort, Wissen, das normalerweise Bücher füllt, zu vermitteln. Es kann nicht schaden, auch die restlichen Kapitel der Linuxfibel zu lesen.
echo "$verabschiedung $name";
Nabend,
Benutzer sind oft in der Datei /etc/passwd zu finden. Es gibt auch noch andere Systeme der Userverwaltung, aber das wäre mal ein erster Anlaufpunkt. Literaturtipp: http://www.linuxfibel.de/useradmin.htm
Danke für den Tip. Dort findet sich nichts ungewöhnliches, auch in der shadow-Datei nicht, und auch in yast nicht - einen User mit der ID 30 scheint nicht zu existieren ...
Für den Betrieb eines Servers ist grundelgendes Systemwissen mehr als angebracht. Du solltest dir dies dringend anlesen. Allerdings ist ein Forum nicht der passende Ort, Wissen, das normalerweise Bücher füllt, zu vermitteln. Es kann nicht schaden, auch die restlichen Kapitel der Linuxfibel zu lesen.
Schon verstanden ... Ich habe hier auch ein paar Bücher liegen und mir etwas Wissen angeeignet. Ganz ohne hätte ich es dann doch nicht gewagt ... ;) Und Linux-Hilfeseiten sind meine besten Freunde ... Aber wie gesagt: Ich finde absolut nichts.
Dank & Gruß,
echo($name="Till");