wwwrun verschickt SPAM

Dieses Thema im Forum "Web- & File-Services" wurde erstellt von f.gruber, 23.06.2009.

  1. #1 f.gruber, 23.06.2009
    Zuletzt bearbeitet: 24.06.2009
    f.gruber

    f.gruber Eroberer

    Dabei seit:
    07.01.2006
    Beiträge:
    52
    Zustimmungen:
    0
    Hallo,
    seit einigen Tagen stelle ich fest, dass von unserem Server an der Schule anscheinend massenhaft SPAM verschickt wird und zwar vom Benutzer "wwwrun".

    Ich habe schon viel gegoogelt, aber mein Fachwissen reicht nicht aus, um hier eine Lösung zu finden. Ich stehe daneben.
    Kann mir bitte jemand helfen.

    Die von den Empfängern als nicht zustellbare Nachrichten retournierten Mails, wegen denen ich ja überhaupt erst feststellen konnte, was da vorgeht, schauen so aus (Beispiel):

    Code:
     This is an automatically generated Delivery Status Notification
    
    Delivery to the following recipient failed permanently:
    
         164295.90173@deadspin.com
    
       ----- Original message -----
    
    Received: by 10.204.71.65 with SMTP id g1mr3026516bkj.27.1245450451975;
            Fri, 19 Jun 2009 15:27:31 -0700 (PDT)
    Return-Path: <wwwrun@xxxxxxxx.at>
    Received: from mail.xxxxxxxx.at ([xxx.xxx.xxx.xxx])
            by mx.google.com with ESMTP id 11si5664843fxm.65.2009.06.19.15.27.31;
            Fri, 19 Jun 2009 15:27:31 -0700 (PDT)
    Received-SPF: neutral (google.com: xxx.xxx.xxx.xxx is neither permitted nor denied by best guess record for domain of wwwrun@xxxxxxxx.at) client-ip=xxx.xxx.xxx.xxx;
    Authentication-Results: mx.google.com; spf=neutral (google.com: xxx.xxx.xxx.xxx is neither permitted nor denied by best guess record for domain of wwwrun@xxxxxxxx.at) smtp.mail=wwwrun@xxxxxxxx.at
    Received: by mail.xxxxxxxx.at (Postfix, from userid 30)
    	id 7DC431395BB; Sat, 20 Jun 2009 00:19:07 +0200 (CEST)
    To: 164295.90173@deadspin.com
    Subject: Avis important !
    From:services.de.cartes.desjardins@scd.desjardins.com
    Content-Type: text/html
    Message-Id: <20090619221935.7DC431395BB@mail.xxxxxxxx.at>
    Date: Sat, 20 Jun 2009 00:19:07 +0200 (CEST)
    
    
    <img name="x" src="http://google.sumealco.com/.d.png" border="0" id="x" usemap="#x"><map name="x" id="x">
    <area shape="rect" coords="8,232,195,245" href="http://google.sumealco.com/.d.php?x=fr" target="_blank">
    <area shape="rect" coords="8,259,242,271" href="http://google.sumealco.com/.d.php?x=fra" target="_blank"> 
    Hinweis: Die "xxx" habe ich eingefügt, um die Adressen unkenntlich zu machen.

    Hinweis: Seit Jahren läuft alles normal, wie gesagt erst seit einigen Tagen taucht dieses Problem auf.
    System: Suse 11.1 mit Postfix
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Besteht von außerhalb Zugriff auf den Server? Also per Internet? Oder kann der Angriff von innen kommen? (In einer Schule muss man ja auf seine Schüler aufpassen)

    Da die Mails über wwwrun versendet werden, würde ich mal in die Richtung Webserver forschen. Evntl. eine unsichere PHP Anwendung?

    Was läuft denn noch so an Services und Daemons auf dem Server? Welche Webinterface basierten Anwendungen/Scripte? Und wie schon erwähnt: Zugriff aus dem Internet auf den Server also offene / weitergeleitete Ports?

    Als erstes solltest Du den Server nun so schnell wie möglich vom Netz nehmen um größeren Schaden zu vermeiden...schließlich bist Du für das Zeug was der Server raushaut verantwortlich...
     
  4. rygar

    rygar Routinier
    Moderator

    Dabei seit:
    15.07.2002
    Beiträge:
    332
    Zustimmungen:
    0
    Ort:
    Kaarst
    Die Log-Einträge zu der MailId wären ganz interessant.

    Ich seh da im Moment noch 2 Möglichkeiten...

    1. Jemand benutzt ein Script auf deiner Webseite um Mails zu versenden (daher wwwrun)
    2. Jemand verschickt einfach mit dem User wwwrun@domain.

    Kannst dich aber auch gerne per PN melden.

    Gruss,
    Martin
     
  5. Gast1

    Gast1 Guest

    Ich würde mal auf "ja" tippen.

    Hm,

    Welches Schweinderl hättens denn gern?
     
  6. #5 rygar, 23.06.2009
    Zuletzt bearbeitet: 23.06.2009
    rygar

    rygar Routinier
    Moderator

    Dabei seit:
    15.07.2002
    Beiträge:
    332
    Zustimmungen:
    0
    Ort:
    Kaarst
    Uiui... Ja, da würd ich mal auf's Script tippen...

    Also laut dieser komischen SMPT ID ist die Mail am 19.06.2009 um 15:27:31 bei Google eingetroffen. (Die ID ist nie im Leben nach RFC, oder???)

    Jetzt würd ich mal in Weblog schauen, welches Script um diese Zeit aufgerufen wurde und es so schnell wie möglich von meinem Server entfernen.

    Edit:

    Ups, nicht aufgepasst... Die haben PDT wenn mich nicht alles täuscht ist das dann +9 Std. Also 0:27:31.
     
  7. #6 SiS, 23.06.2009
    Zuletzt von einem Moderator bearbeitet: 26.06.2009
    SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    @Rain_Maker:
    Ahh gut, hatte die IP aus der Mail nicht ausprobiert...
    Ja da hat man natürlich ne Menge potentielle Löcher...
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Hmm da ist aber einiges nach außen hin offen:

    Code:
    pecos@centurio ~ % nmap -vA xxx.xxx.xxx.xxx
    
    Starting Nmap 4.76 ( http://nmap.org ) at 2009-06-23 23:18 CEST
    Initiating Ping Scan at 23:18                                  
    Scanning xxx.xxx.xxx.xxx [1 port]                                
    Completed Ping Scan at 23:18, 1.04s elapsed (1 total hosts)    
    Initiating Parallel DNS resolution of 1 host. at 23:18         
    Completed Parallel DNS resolution of 1 host. at 23:19, 8.01s elapsed
    Initiating Connect Scan at 23:19                                    
    Scanning xxx.xxx.xxx.xxx [1000 ports]                                 
    Discovered open port 3306/tcp on xxx.xxx.xxx.xxx                      
    Discovered open port 25/tcp on xxx.xxx.xxx.xxx                        
    Discovered open port 80/tcp on xxx.xxx.xxx.xxx                        
    Discovered open port 22/tcp on xxx.xxx.xxx.xxx                        
    Increasing send delay for xxx.xxx.xxx.xxx from 0 to 5 due to 11 out of 15 dropped probes since last increase.
    Discovered open port 21/tcp on xxx.xxx.xxx.xxx                                                               
    Discovered open port 110/tcp on xxx.xxx.xxx.xxx                                                              
    Connect Scan Timing: About 46.55% done; ETC: 23:20 (0:00:34 remaining)                                     
    Increasing send delay for xxx.xxx.xxx.xxx from 5 to 10 due to 11 out of 16 dropped probes since last increase.
    Increasing send delay for xxx.xxx.xxx.xxx from 10 to 20 due to 11 out of 11 dropped probes since last increase.
    Connect Scan Timing: About 55.90% done; ETC: 23:21 (0:00:52 remaining)                                       
    Increasing send delay for xxx.xxx.xxx.xxx from 20 to 40 due to 11 out of 12 dropped probes since last increase.
    Increasing send delay for xxx.xxx.xxx.xxx from 40 to 80 due to 11 out of 12 dropped probes since last increase.
    Connect Scan Timing: About 70.62% done; ETC: 23:21 (0:00:50 remaining)                                       
    Discovered open port 143/tcp on xxx.xxx.xxx.xxx                                                                
    Completed Connect Scan at 23:22, 221.16s elapsed (1000 total ports)                                          
    Initiating Service scan at 23:22                                                                             
    Scanning 7 services on xxx.xxx.xxx.xxx                                                                         
    Completed Service scan at 23:23, 23.67s elapsed (7 services on 1 host)                                       
    SCRIPT ENGINE: Initiating script scanning.                                                                   
    Initiating SCRIPT ENGINE at 23:23                                                                            
    Completed SCRIPT ENGINE at 23:23, 0.45s elapsed                                                              
    Host xxx.xxx.xxx.xxxappears to be up ... good.                                                                
    Interesting ports on xxx.xxx.xxx.xxx:                                                                          
    Not shown: 991 filtered ports                                                                                
    PORT     STATE  SERVICE VERSION
    21/tcp   open   ftp
    |_ Anonymous FTP: FTP: Anonymous login allowed
    |_ FTP bounce check: bounce working!
    22/tcp   open   ssh     OpenSSH 5.1 (protocol 2.0)
    25/tcp   open   smtp    Postfix smtpd
    |_ SMTPcommands: EHLO mail.hs-schallerbach.at, PIPELINING, SIZE 10240000, VRFY, ETRN, ENHANCEDSTATUSCODES, 8BITMIME, 250 DSN
    80/tcp   open   http    Apache httpd 2.2.10 ((Linux/SUSE))
    |  robots.txt: has 1 disallowed entry
    |_ /
    |_ HTML title: Umleitung
    110/tcp  open   pop3    Dovecot pop3d
    |_ POP3 Capabilites:  USER CAPA UIDL PIPELINING RESP-CODES TOP SASL(PLAIN)
    113/tcp  closed auth
    143/tcp  open   imap    Dovecot imapd
    443/tcp  closed https
    3306/tcp open   mysql   MySQL 5.0.67
    |  MySQL Server Information: Protocol: 10
    |  Version: 5.0.67
    |  Thread ID: 531
    |  Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection
    |  Status: Autocommit
    |_ Salt: y45K\m/?1uy%HxF3jAEs
    1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
    SF-Port21-TCP:V=4.76%I=7%D=6/23%Time=4A4147AB%P=i686-pc-linux-gnu%r(NULL,2
    SF:A,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n")%r
    SF:(GenericLines,76,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schalle
    SF:rbach\"\r\n530\x20Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n5
    SF:30\x20Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n")%r(Help,50,
    SF:"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n530\x2
    SF:0Please\x20login\x20with\x20USER\x20and\x20PASS\.\r\n")%r(SMBProgNeg,2A
    SF:,"220\x20\"FTP\x20Server\x20der\x20HS\x20Bad\x20Schallerbach\"\r\n");
    Service Info: Host:  mail.hs-schallerbach.at
    
    Read data files from: /usr/share/nmap
    Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
    Nmap done: 1 IP address (1 host up) scanned in 254.48 seconds
    
    
    Ich denke nicht, dass das wirklich alles nach außen hin offen sein muss. Abgesichert wurde da wohl nicht so viel?

    Am besten die Kiste schnellst möglich vom Netz nehmen, bis sie ordentlich abgesichert ist...
     
  8. #7 f.gruber, 24.06.2009
    Zuletzt bearbeitet: 24.06.2009
    f.gruber

    f.gruber Eroberer

    Dabei seit:
    07.01.2006
    Beiträge:
    52
    Zustimmungen:
    0
    Das werde ich wohl nicht tun. Es liegt ja unsere Homepage auf diesem Server und wie ihr gesehen habt einige andere Services, die täglich gebraucht werden.

    Ich habe offensichtlich übersehen, die IP unkenntlich zu machen. Jetzt wisst ihr alles, aber vielleicht ist es sogar besser so.
    Interessanterweise sind heute nur mehr 4 solche Retourmails gekommen. Werde natürlich trotzdem Schritt für Schritt der Sache nachgehen.

    Jetzt muss ich einmal diese vielen Infos bzw. Kommentare aufarbeiten. Aber Panik ist, denke ich einmal, doch fehl am Platz - siehe oben!

    Ich habe die Datei /var/log/apache2/access_log nach "wwwrun" durchsucht und bin fündig geworden. Es sieht so aus, als ob sich über unser Webmail (http://hs-schallerbach.at/horde/imp/) der Benutzer wwwrun eingeloggt hätte.
    Wie kann das gehen?
    Ich hätte es versucht, kann mich aber als "wwwrun" nicht einloggen. Der Benutzer hat ja kein Passwort, in der /etc/shadow ist ein * anstelle des Passwortes.
    Hier das Ergebnis von:
    Code:
    cat /var/log/apache2/access_log | grep wwwrun 
    Code:
    78.104.10.236 - - [21/Jun/2009:10:27:26 +0200] "GET /horde/index.php?url=http%3A%2F%2Fhs-schallerbach.at%2Fhorde%2Fimp%2Flogin.php%3Fimapuser%3Dwwwrun%26horde_logout_token%3DkblafBPy15JCkilF9Q5NbkRUUBs%26app%3Dimp%26logout_reason%3Dfailed HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    78.104.10.236 - - [21/Jun/2009:10:27:26 +0200] "GET /horde/imp/login.php?imapuser=wwwrun&horde_logout_token=kblafBPy15JCkilF9Q5NbkRUUBs&app=imp&logout_reason=failed HTTP/1.1" 200 3078 "http://hs-schallerbach.at/horde/imp/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    78.104.10.236 - - [21/Jun/2009:14:26:38 +0200] "POST /horde/imp/redirect.php HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=kblafBPy15JCkilF9Q5NbkRUUBs&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    78.104.10.236 - - [21/Jun/2009:14:26:40 +0200] "GET /horde/index.php?url=http%3A%2F%2Fhs-schallerbach.at%2Fhorde%2F HTTP/1.1" 200 336 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=kblafBPy15JCkilF9Q5NbkRUUBs&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    78.104.16.225 - - [24/Jun/2009:11:46:40 +0200] "GET /horde/index.php?url=http%3A%2F%2Fhs-schallerbach.at%2Fhorde%2Fimp%2Flogin.php%3Fimapuser%3Dwwwrun%26horde_logout_token%3DWgLAdd6NFtL811_IdlVrvEc62NU%26app%3Dimp%26logout_reason%3Dfailed HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    78.104.16.225 - - [24/Jun/2009:11:46:40 +0200] "GET /horde/imp/login.php?imapuser=wwwrun&horde_logout_token=WgLAdd6NFtL811_IdlVrvEc62NU&app=imp&logout_reason=failed HTTP/1.1" 200 3078 "http://hs-schallerbach.at/horde/imp/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    78.104.16.225 - - [24/Jun/2009:11:53:00 +0200] "POST /horde/imp/redirect.php HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=WgLAdd6NFtL811_IdlVrvEc62NU&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    78.104.16.225 - - [24/Jun/2009:11:53:21 +0200] "GET /horde/index.php?url=http%3A%2F%2Fhs-schallerbach.at%2Fhorde%2Fimp%2Flogin.php%3Fimapuser%3Dwwwrun%26horde_logout_token%3DGfnyaFIMpb-MAPMYBEXw6F8eIkc%26app%3Dimp%26logout_reason%3Dfailed HTTP/1.1" 302 26 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=WgLAdd6NFtL811_IdlVrvEc62NU&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    78.104.16.225 - - [24/Jun/2009:11:53:22 +0200] "GET /horde/imp/login.php?imapuser=wwwrun&horde_logout_token=GfnyaFIMpb-MAPMYBEXw6F8eIkc&app=imp&logout_reason=failed HTTP/1.1" 200 3078 "http://hs-schallerbach.at/horde/imp/login.php?imapuser=wwwrun&horde_logout_token=WgLAdd6NFtL811_IdlVrvEc62NU&app=imp&logout_reason=failed" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.11) Gecko/2009060200 SUSE/3.0.11-0.1.1 Firefox/3.0.11"
    
    Horde-IMP verwende ich leider nicht in der neuesten Version, weil das Updaten so aufwändig ist. Ich werde es so bald wie möglich machen ...
    Kann damit jemand mit dem Log was anfangen?
     
  9. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Du solltest Dir aber im klaren sein, dass Du rechtlich dafür verantwortlich bist, was mit dem Server passiert. D.h. Du kannst für den versendeten Spam und was womöglich noch so alles über den Server läuft belangt werden.

    Mit Panik hat das auch nichts zu tun. Du verschaffst Dir dadurch ja sogar mehr Zeit alles in Ruhe wieder abzusichern...und bei dem was wir bis jetzt gesehen haben scheint da wirklich einiges nach außen hin offen zu sein...
     
  10. #9 Bâshgob, 24.06.2009
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    Auch wenns vielleicht nervt:

    Haftpflichtversicherung vorhanden? Zahlt die auch bei grober Fahrlässigkeit? Ggf. auch dienstrechtliche, arbeitsrechtliche oder disziplinarische Konsequenzen bedacht?
     
  11. #10 f.gruber, 24.06.2009
    f.gruber

    f.gruber Eroberer

    Dabei seit:
    07.01.2006
    Beiträge:
    52
    Zustimmungen:
    0
    Was ist offen?

    Der FTP Server bietet nur ein bestimmtes Verzeichnis für den anonymen Zugriff an.
    Die Benutzer können sich über FTP einloggen, allerdings haben sie nur Zugriff auf ihr Home über FTP
    Der Zugriff auf Samba ist nur im lokalen Netzwerk möglich.
    Der Zugriff über SSH kann wohl als sicher gelten, das Root Passwort weiß niemand, habe es erst vor kurzem geändert.
    Ok, wir haben ein Webmail, das können aber nur unsere User nützen - so hat es bisher jedenfalls funktioniert, und das seit Jahren!
    Postfix ist nicht als offenes Relay konfiguriert.
    Der Webserver denke ich, ist auch sicher konfiguriert.

    Einfach den Server abschalten, das geht halt nicht so einfach.

    Bitte um konkrete Tipps, die Rute im Fenster habe ich gesehen, helfen tut das wenig!
     
  12. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.056
    Zustimmungen:
    8
    Naja - offenes root-Login ist eigentlich schon ein NoGo.

    Auch immer schön brav seit Jahren alle Patches eingespielt?

    Die Möglichkeit, Spam über Webscripte zu versenden lässt da eigentlich ein paar schlechte Vermutungen zu...

    Und MySQL sollte auch nicht unbedingt offen sein...
     
  13. #12 f.gruber, 24.06.2009
    f.gruber

    f.gruber Eroberer

    Dabei seit:
    07.01.2006
    Beiträge:
    52
    Zustimmungen:
    0
    Die Authentifizierung erfolgt über Schlüsselpaare ...
    Ich brauche SSH, um von zu Hause aus den Server zu warten.
    Habe soeben über SSH "zypper up" durchgeführt. Verlasse mich da auf Suse.
    Tja, welches Webscript?
    Ist nicht offen. Nur localhost kann MySQL benutzen, also der Webserver, der muss es ja benutzen können. Ich brauch es ja für Wordpress, Joomla, etc. ...
     
  14. #13 marce, 24.06.2009
    Zuletzt bearbeitet: 24.06.2009
    marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.056
    Zustimmungen:
    8
    Aber nicht als root - es empfiehlt sich, einen sep. Zugang zu setzen und dann sudo / su zu verwenden...

    Und absolut alles auf dem System kommt über yast? Also auch Wordpress, Joomla, phpMyAdmin, den Webmailer, ...?

    Wenn ich die nmap-Ausgabe oben richtig interpretiere (oder hab ich mich verlesen?) ist mysql offen...

    Ach ja - das phpMyAdmin würde schleunigst per .htaccess zu machen...
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 bitmuncher, 24.06.2009
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    War zum Zeitpunkt der Änderung bereits eine Schadsoftware bzw. ein Rootkit eingeschleust, hat der Angreifer bereits das neue Passwort. Beliebt sind da z.B. Fake-Logging-Devices in /dev, die die Aufgabe übernehmen Passwörter von speziell modifizierten passwd-Programmen abzufangen und weiterzuleiten u.ä. Du machst jedenfalls nicht den Eindruck, als könntest du einen Rootkit im System erkennen.

    Wann wurde der das letzte Mal aktualisiert ?

    Denken ist nicht wissen. Schon wenn der wwwrun-Benutzer eine richtige Shell hat, ist der Webserver potentiell unsicher. Besteht kein noexec für /tmp und den Ordner, wo die Session-Dateien abgelegt werden, ist der Webserver potentiell unsicher. Ist veraltete Websoftware installiert, ist der Webserver potentiell unsicher. Und da die Kiste offenbar schon Teil eines Bot-Netzwerks geworden ist, ist er nicht nur potentiell, sondern mit absoluter Sicherheit unsicher.

    Dir scheinen deine Pflichten als Admin nicht klar zu sein. Du (bzw. der Betreiber des Servers) machst dich strafbar, wenn du den Rechner nicht vom Netz nimmst und dieser weiterhin andere Leute mit seinem Spam zuschüttet oder ggf. sogar noch für andere Zwecke missbraucht wird, die du offensichtlich nicht einblicken kannst.

    Der einzige sinnvolle konkrete Tipp kam hier schon: Kiste vom Netz nehmen, neu einrichten! Tust du dies nicht, rechne damit, dass Admins wie ich, durchaus auch Anzeige erstatten, wenn sie von Servern mit deutscher IP Spam erhalten. Das kann recht schnell ziemlich teuer für den Betreiber eines solchen Servers werden, vor allem wenn nachgewiesen werden kann, dass trotz bekanntwerden der "Infektion" keine entsprechenden Gegenmaßnahmen getroffen wurden. Das sieht dann nämlich jeder Richter als grob fahrlässig an und spätestens dann bezahlt dafür keine Versicherung mehr.
     
  17. #15 JBR, 24.06.2009
    Zuletzt bearbeitet: 24.06.2009
    JBR

    JBR Fichtenschonung

    Dabei seit:
    18.03.2007
    Beiträge:
    561
    Zustimmungen:
    0
    Ort:
    Nolop
    Na kein Wunder : http://schulen.eduhi.at/schallerbach/Kontakt/Mail.php?Status=webmaster

    Im übrigen haben sie wohl noch nicht das wichtigste der Handbücher, die Bibel jedes Systemadministrators gelesen bei Woche FA heist es da

    aus Florian Schiel - B.a.F.H. - Bastard Assistant from Hell - S. 246 - Goldmann
     
Thema:

wwwrun verschickt SPAM

Die Seite wird geladen...

wwwrun verschickt SPAM - Ähnliche Themen

  1. Valve verschickt erste Steam-Machines

    Valve verschickt erste Steam-Machines: Wie Valve im Blog des Unternehmens bekannt gab, sind die ersten Prototypen der »Steam-Machines« fertig und werden nun an die ausgewählten Spieler...
  2. Cyrus IMAP verschickt mit falschem Domain Namen

    Cyrus IMAP verschickt mit falschem Domain Namen: Hallo! Stehe vor einem hoffentlich trivialem Problem. Und zwar haben ich eine Migration eines Cyrus Mail Server durchgeführt und alle...
  3. Telekom verschickt Werbung per SMS

    Telekom verschickt Werbung per SMS: Hallo, ich hab mal ein ganz off-topic Thema. Ich hab mein Handy bei T-Mobile, seit meiner letzten Vertragsverlängerung ca. 1/2 Jahr bekomme ich...
  4. Sendmail verschickt keine Mails mehr

    Sendmail verschickt keine Mails mehr: Guten Abend :) Ich sitze nun schon 2 Tage hier und versuche das Problem zu finden. Sendmail verschickt keine Mails mehr :( In der php...
  5. Thunderbird verschickt nur über einen SMTP-Server

    Thunderbird verschickt nur über einen SMTP-Server: Hallo! Ich verwende Thunderbird 2 (Beta 2). Da habe ich mehrere Email-Accounts. Wenn ich in der Uni bin, kann ich nur den...