[Postfixbuch-users] einbruch/hack/spam rausfinden wo/wie die mails kamen etc.

[Sandy Drobic]

hm0 at gmx.net wrote:
> Hallo,
> 
> in den Server eines Kunden wurde eingebrochen und zum
> Spam-/Phishing/etc. Versand verwendet.
> 
> Aufgefallen ist das Ganze, weil der Server auf entsprechenden
> blacklists gelandet ist.
> 
> Ich weiß zwar ca. wie der Einbruch erfolgt ist bzw wie er an
> root-rechte gelangt ist, es würde mich aber noch interessieren wo/wie
> die Spam-Mails abgesetzt wurden (haben als Absender uid 0 / root at ...)
> damit da nicht noch Spam verschickt wird, nachdem die ursprüngliche
> Lücke gestopft ist. Also z.B. läuft/lief da ein Script local, hat der
> ein Webform, hat er via SMTP eingeliefert ... ? => kann man das
> feststellen?

Wenn die Mails über Postfix liefen, dann schau dir das Log an. Falls die 
Mails über SMTP eingeliefert wurden, fängt die Sache mit
"postfix/smtpd [????] connect from ..." an, wenn über die Kommandozeile 
per /usr/sbin/sendmail gearbeitet wurde, dann mit
"postfix/pickup [????] Queue-ID: : uid=1234 from=<username>"

> Da noch einige Spam-Mails in active etc. liegen würde ich die natürlich
> vorm Neustart gerne löschen (arbeite gerade auf nem Notfallsystem). 
> Kann ich einfach die Order A, B, ... löschen (d.h. werden die wieder
> frisch angelegt) oder muß ich jede einzelne löschen?

Setze einfach alle Mails vorerst auf HOLD:
postsuper -h ALL

Danach kannst du dann mit "postsuper -d Queue-ID" die Müllmail löschen.
Für Details schau dir "man postsuper" an.

> Hat sonst noch jemand generell Tips/Hinweise zum Thema (Einbruch) =>
> hab zwar mit chkrootkit einige manipulierte files gefunden, aber
> /etc/ssh2 z.B. kommt mir auch nicht ganz ok vor (zumal ssh nicht mehr
> ging).
> 
> btw.: system komplett neu installieren ist momentan leider keine Option
> (auch wenn ichs gerne würde)

Vergiss es. NICHT neu installieren ist keine Option.

Sandy
-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com