[Postfixbuch-users] einbruch/hack/spam rausfinden woher die mails kamen (neu)

hm0 at gmx.net hm0 at gmx.net
Do Sep 14 13:59:15 CEST 2006


(nochmal eigenes thema)

Hallo,

in den Server eines Kunden wurde eingebrochen und zum Spam-/Phishing/etc. Versand verwendet.

Aufgefallen ist das Ganze, weil der Server auf entsprechenden blacklists gelandet ist.

Ich weiß zwar ca. wie der Einbruch erfolgt ist bzw wie er an root-rechte gelangt ist, es würde mich aber noch interessieren wo/wie die Spam-Mails abgesetzt wurden (haben als Absender uid 0 / root at ...) damit da nicht noch Spam verschickt wird, nachdem die ursprüngliche Lücke gestopft ist.
Also z.B. läuft/lief da ein Script local, hat der ein Webform, hat er via SMTP eingeliefert ... ?
=> kann man das feststellen?

Da noch einige Spam-Mails in active etc. liegen würde ich die natürlich vorm Neustart gerne löschen (arbeite gerade auf nem Notfallsystem).
Kann ich einfach die Order A, B, ... löschen (d.h. werden die wieder frisch angelegt) oder muß ich jede einzelne löschen?

Hat sonst noch jemand generell Tips/Hinweise zum Thema (Einbruch) => hab zwar mit chkrootkit einige manipulierte files gefunden, aber /etc/ssh2 z.B. kommt mir auch nicht ganz ok vor (zumal ssh nicht mehr ging).

btw.: system komplett neu installieren ist momentan leider keine Option (auch wenn ichs gerne würde)
-- 
"Feel free" - 10 GB Mailbox, 100 FreeSMS/Monat ...
Jetzt GMX TopMail testen: http://www.gmx.net/de/go/topmail



Mehr Informationen über die Mailingliste Postfixbuch-users