[Postfixbuch-users] einbruch/hack/spam rausfinden wo/wie die mails kamen etc.

[Jim Knuth]

Heute (14.09.2006/13:56 Uhr) schrieb hm0 at gmx.net,

> Hallo,

> in den Server eines Kunden wurde eingebrochen und zum
> Spam-/Phishing/etc. Versand verwendet.

> Aufgefallen ist das Ganze, weil der Server auf entsprechenden blacklists gelandet ist.

> Ich weiß zwar ca. wie der Einbruch erfolgt ist bzw wie er an
> root-rechte gelangt ist, es wuerde mich aber noch interessieren
> wo/wie die Spam-Mails abgesetzt wurden (haben als Absender uid
> 0 / root at ...) damit da nicht noch Spam verschickt wird, nachdem
> die urspruengliche Luecke gestopft ist.
> Also z.B. laeuft/lief da ein Script local, hat der ein
> Webform, hat er via SMTP eingeliefert ... ?
=>> kann man das feststellen?

> Da noch einige Spam-Mails in active etc. liegen wuerde ich die
> natuerlich vorm Neustart gerne loeschen (arbeite gerade auf nem Notfallsystem).
> Kann ich einfach die Order A, B, ... loeschen (d.h. werden die
> wieder frisch angelegt) oder muß ich jede einzelne loeschen?

> Hat sonst noch jemand generell Tips/Hinweise zum Thema
> (Einbruch) => hab zwar mit chkrootkit einige manipulierte files
> gefunden, aber /etc/ssh2 z.B. kommt mir auch nicht ganz ok vor (zumal ssh nicht mehr ging).

> btw.: system komplett neu installieren ist momentan leider
> keine Option (auch wenn ichs gerne wuerde)

da wirst du aber nicht drum herum kommen. :-/

-- 
Viele Gruesse, Kind regards,
 Jim Knuth
 jk at jkart.de
 ICQ #277289867
----------
Zufalls-Zitat
----------
Sagt der Walfisch zum Thunfisch, das kannst du nicht tun 
Fisch, sagt der Thunfisch zum Walfisch, du hast keine Wahl 
Fisch.
----------
Der Text hat nichts mit dem Empfaenger der Mail zu tun
----------
Virus free. Checked by NOD32 Version 1.1755 Build 8017  13.09.2006