Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Account-Sperrung wegen SPAM-Versand. Was tun?

Mitglied: heutekla

heutekla (Level 1) - Jetzt verbinden

23.09.2014 um 14:46 Uhr, 1984 Aufrufe, 5 Kommentare

Meine Website ist gesperrt worden. Hoster bietet keinen Telefon-Support an. Wie finde ich das Sicherheitsloch im Skript ? Hier die Sperr-Mail des Hosters:

"Wir mussten Ihren Account leider sperren, da dieser eine erhebliche Menge an SPAM (über 10.000 E-Mails) versendet hat und unser Server bereits von einigen Blacklisten für den E-Mail Empfang gesperrt wurde.

Benutzer: web549
Server: lennox.servertools24.de

Ihre Webseite stellt aktuell ein erhöhtes Sicherheitsrisiko dar, daher können sich auch unbefugte Zugriff zu Ihrer Plattform verschaffen und haben dies bereits und von dort aus den SPAM versendet.

--<SPAM-AUSZUG>--

* ENVELOPE RECORDS deferred/5/51BEDED38194 *
message_size: 4048 167 1
0
message_arrival_time: Sat Sep 13 13:58:38 2014
create_time: Sat Sep 13 13:58:38 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: web549@lennox.servertools24.de
* MESSAGE CONTENTS deferred/5/51BEDED38194 *
Received: by lennox.servertools24.de (Postfix, from userid 2377)
id 51BEDED38194; Sat, 13 Sep 2014 13:58:38 +0200 (CEST)
To: aldana13@verizon.net
Subject: In arrears for driving on toll road
From: "E-ZPass Customer Service Center" <refund@kein-korkschmecker.de>
X-Mailer: MicrosoftCDOforExchange2000
Reply-To: "E-ZPass Customer Service Center"
<refund@kein-korkschmecker.de>
Mime-Version: 1.0
Content-Type:
multipart/alternative;boundary="----------14106095185414316E4EEDB"
Message-Id: <20140913115838.51BEDED38194@lennox.servertools24.de>
Date: Sat, 13 Sep 2014 13:58:38 +0200 (CEST)

------------14106095185414316E4EEDB
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit"
Mitglied: Ravers
23.09.2014 um 15:00 Uhr
Hi,

zunächst solltest du alle Passwörter ändern, Mailpasswörter sowie Zugangsdaten.
Ob der Zugang nun über ein unsauberes Script oder einfach per Bruteforce-Attacke gemacht wurde kann man so nicht sagen.

Ändere dei Passwörter, schau dir die Scripts an, die da laufen (vermute jedoch das du dort nix findest) und melde dich bei deinem Hoster und sage Ihm was du gemacht hast und Sie mögen doch deine Seite wieder an`s Netz nehmen.

greetz
ravers
Bitte warten ..
Mitglied: ITvortex
23.09.2014 um 15:06 Uhr
@Ravers, einfach per "Bruteforce"??

Das halte ich widerrum nicht für sehr wahrscheinlich.

Passwörter ändern ist ein guter Tipp.

Was macht dein Skript?

Gruß
Bitte warten ..
Mitglied: Sheogorath
23.09.2014 um 15:07 Uhr
Moin,

du solltest auch Kontaktformulare prüfen, einige sind unsauber implementiert, Kontaktformulare von 3rd-Party Modulen solltest du komplett rauswerfen (falls möglich). CMS Changelogs prüfen, passwörter ändern, Logs und Errorlogs vom Hoster schicken lassen um zu schauen wie angegriffen wurde, ansonsten solltest du alle sonstigen zugänge zu deinen Mails prüfen (eigene Server?).

Viel mehr, kannst du leider nicht tun außer wirklich große Umbaumaßnahmen an der Webseite zu ergreifen und vielleicht ein eigenes CMS zu schreiben.

Gruß
Chris
Bitte warten ..
Mitglied: Ravers
23.09.2014 um 15:17 Uhr
Hi,

halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH möglich.

Wie auch immer Sie daran gekommen sind, Passwörter ändern und gut ist. Scripte checken!
Wenn dann mal Lust da ist - Logs prüfen!

greetz
ravers
Bitte warten ..
Mitglied: Lochkartenstanzer
24.09.2014 um 10:14 Uhr
Zitat von Ravers:

halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein
Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH
möglich.

Manchmal werden auch einfach nur Busg des CMS oder dessen plugins genutzt. Im Prinzip kann man das Problem ernsthaft nur dann gezile eingrenzen, wenn man root-Zugriff auf den Server hat. dann kann man nämlich mitprotokollieren, welcher prozess für den SPAm verantwortlich ist und dnn genauer nachforschen.

Ansonsten kann man nur die Webseite ganz herunternehmen und von ungrund auf neu gestalten, damit da keine "Altlasten" sind. Paßwöter ändern ist sowieso selbstverständlich. Aber wenn das CMS vom Anbieter vorgegeben ist, hat man schlechte Karten, wenn da eine verbuggte version installiert ist.

lks
Bitte warten ..
Ähnliche Inhalte
Windows Server

Account-Sperrungen eines AD-Users auslesen

gelöst Frage von MissJonesWindows Server2 Kommentare

Hallo Zusammen, ist es möglich über Powershell alle Account-Sperrungen von einem AD User auslesen zu lassen? Ich soll quasi ...

E-Mail

Account für SPAM missbraucht, Tipps parat?

Frage von d4shoerncheNE-Mail42 Kommentare

Guten Morgen, ein Kollege von mir hat momentan ein paar Probleme mit seinem T-Online Mail Account. Über diesen wird ...

Google Android

Massive Spam Flut auf GMX Account

Frage von Thor01Google Android9 Kommentare

Hallo, seit einigen Wochen bekomme ich extrem viele Spam Nachrichten auf meinen GMX Account. Meine eigene Black Liste ist ...

Microsoft

Microsoft Outlook 2010 und AD-Account Sperrung

Frage von AmistarMicrosoft3 Kommentare

Hallo liebe Community, ich habe folgendes Problem, bei uns in der Domäne melden sich Nutzer normal über AD-Accounts an. ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 6 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 6 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Viren und Trojaner
Neue Avira Management Console Egosecure
Information von OSelbeck vor 1 TagViren und Trojaner1 Kommentar

Hallöchen zusammen, ich weiß nicht, wer von euch noch Avira einsetzt Wir haben ein paar Kunden Avira hatte ja ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
Frage von YellowcakeExchange Server15 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...