[Postfixbuch-users] FYI: Gehacktes Password festgestellt (FTP-Logins von mehreren dt. Servern erfolgt)
Sven Schumacher
sschu at computerteam.de
Fr Aug 23 10:24:23 CEST 2013
Hallo,
auf einem meiner Server wurde ein Passwort (von einem zum Glück nicht
genutzten Webaccount gehackt).
In Fail2Ban-Logs tauchen dazu leider keine passenden Versuche auf, so
dass ich davon ausgehen muss, dass das Passwort bei einem externen
Anbieter irgendwo auch nochmal verwendet wurde und dort erspäht wurde.
Wie die bösen Buben dann den Benutzernamen auf meinem Server zu dem
Passwort zuordnen konnten, ist mir dennoch ein Rätsel.
Ich konnte allerdings einige FTP-Logins feststellen, von verschiendenen
Servern/Clients, u.a. auch deutscher Provider.
Sollte also hier jemand mitlesen, der sich für diese Server zuständig
fühlt oder jemanden kennt, der... bitte Bescheid geben, auf Anfrage
teile ich auch dann gerne zu den entsprechenden Servern die Zeitpunkte
mit, wann der Zugriff erfolgte:
miller.makeinteractive.co.uk
5.167.241.89
75.125.222.42
ayb2.internetdsl.tpnet.pl (<-- der Zugriff fiel letztlich auf wg.
Upload von ftpchk3.php)
q1-150.quad-srv.de
h2156296.stratoserver.net
ns36888.ovh.net
static.109.71.9.5.clients.your-server.de
46.147.94.118
just55.justhost.com
cp4.webserver.pt
83.137.144.157
xray541.server4you.de
93.179.237.194
host3.difhosting.com
77.120.117.215
ods4.schule.de
lsh1001.lsh.siteprotect.com
vserver3078.vserver-on.de
srv23.sysproserver.de
77.120.117.215
Neben oben besagtem ftpchk3.php-Upload, wurde entweder in den
FTP-Sessions nichts verändert, lt. xferlog, oder wenn aber, dann das
webalizer-Verzeichnis heruntergeladen, bzw. Dateien dahinein hochgeladen.
So, und um nun die Kurve zu Postfix zu bekommen: nach dem ftpchk3.php
Upload wurde eine Datei mit Namen "sys0972300-1.php" hochgeladen, über
die dann SPAM verschickt wurde... Die entsprechenden Bounces hab ich
dann glücklicherweise abbekommen, so dass der Mißbrauch des Passworts
auffiel.
Schöne Grüße
Sven Schumacher
Mehr Informationen über die Mailingliste Postfixbuch-users