Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Account-Sperrung wegen SPAM-Versand. Was tun?

Frage Internet Hosting & Housing

Mitglied: heutekla

heutekla (Level 1) - Jetzt verbinden

23.09.2014 um 14:46 Uhr, 1945 Aufrufe, 5 Kommentare

Meine Website ist gesperrt worden. Hoster bietet keinen Telefon-Support an. Wie finde ich das Sicherheitsloch im Skript ? Hier die Sperr-Mail des Hosters:

"Wir mussten Ihren Account leider sperren, da dieser eine erhebliche Menge an SPAM (über 10.000 E-Mails) versendet hat und unser Server bereits von einigen Blacklisten für den E-Mail Empfang gesperrt wurde.

Benutzer: web549
Server: lennox.servertools24.de

Ihre Webseite stellt aktuell ein erhöhtes Sicherheitsrisiko dar, daher können sich auch unbefugte Zugriff zu Ihrer Plattform verschaffen und haben dies bereits und von dort aus den SPAM versendet.

--<SPAM-AUSZUG>--

* ENVELOPE RECORDS deferred/5/51BEDED38194 *
message_size: 4048 167 1
0
message_arrival_time: Sat Sep 13 13:58:38 2014
create_time: Sat Sep 13 13:58:38 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: web549@lennox.servertools24.de
* MESSAGE CONTENTS deferred/5/51BEDED38194 *
Received: by lennox.servertools24.de (Postfix, from userid 2377)
id 51BEDED38194; Sat, 13 Sep 2014 13:58:38 +0200 (CEST)
To: aldana13@verizon.net
Subject: In arrears for driving on toll road
From: "E-ZPass Customer Service Center" <refund@kein-korkschmecker.de>
X-Mailer: MicrosoftCDOforExchange2000
Reply-To: "E-ZPass Customer Service Center"
<refund@kein-korkschmecker.de>
Mime-Version: 1.0
Content-Type:
multipart/alternative;boundary="----------14106095185414316E4EEDB"
Message-Id: <20140913115838.51BEDED38194@lennox.servertools24.de>
Date: Sat, 13 Sep 2014 13:58:38 +0200 (CEST)

------------14106095185414316E4EEDB
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit"
Mitglied: Ravers
23.09.2014 um 15:00 Uhr
Hi,

zunächst solltest du alle Passwörter ändern, Mailpasswörter sowie Zugangsdaten.
Ob der Zugang nun über ein unsauberes Script oder einfach per Bruteforce-Attacke gemacht wurde kann man so nicht sagen.

Ändere dei Passwörter, schau dir die Scripts an, die da laufen (vermute jedoch das du dort nix findest) und melde dich bei deinem Hoster und sage Ihm was du gemacht hast und Sie mögen doch deine Seite wieder an`s Netz nehmen.

greetz
ravers
Bitte warten ..
Mitglied: ITvortex
23.09.2014 um 15:06 Uhr
@Ravers, einfach per "Bruteforce"??

Das halte ich widerrum nicht für sehr wahrscheinlich.

Passwörter ändern ist ein guter Tipp.

Was macht dein Skript?

Gruß
Bitte warten ..
Mitglied: Sheogorath
23.09.2014 um 15:07 Uhr
Moin,

du solltest auch Kontaktformulare prüfen, einige sind unsauber implementiert, Kontaktformulare von 3rd-Party Modulen solltest du komplett rauswerfen (falls möglich). CMS Changelogs prüfen, passwörter ändern, Logs und Errorlogs vom Hoster schicken lassen um zu schauen wie angegriffen wurde, ansonsten solltest du alle sonstigen zugänge zu deinen Mails prüfen (eigene Server?).

Viel mehr, kannst du leider nicht tun außer wirklich große Umbaumaßnahmen an der Webseite zu ergreifen und vielleicht ein eigenes CMS zu schreiben.

Gruß
Chris
Bitte warten ..
Mitglied: Ravers
23.09.2014 um 15:17 Uhr
Hi,

halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH möglich.

Wie auch immer Sie daran gekommen sind, Passwörter ändern und gut ist. Scripte checken!
Wenn dann mal Lust da ist - Logs prüfen!

greetz
ravers
Bitte warten ..
Mitglied: Lochkartenstanzer
24.09.2014 um 10:14 Uhr
Zitat von Ravers:

halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein
Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH
möglich.

Manchmal werden auch einfach nur Busg des CMS oder dessen plugins genutzt. Im Prinzip kann man das Problem ernsthaft nur dann gezile eingrenzen, wenn man root-Zugriff auf den Server hat. dann kann man nämlich mitprotokollieren, welcher prozess für den SPAm verantwortlich ist und dnn genauer nachforschen.

Ansonsten kann man nur die Webseite ganz herunternehmen und von ungrund auf neu gestalten, damit da keine "Altlasten" sind. Paßwöter ändern ist sowieso selbstverständlich. Aber wenn das CMS vom Anbieter vorgegeben ist, hat man schlechte Karten, wenn da eine verbuggte version installiert ist.

lks
Bitte warten ..
Ähnliche Inhalte
Windows Server
Account-Sperrungen eines AD-Users auslesen
gelöst Frage von MissJonesWindows Server2 Kommentare

Hallo Zusammen, ist es möglich über Powershell alle Account-Sperrungen von einem AD User auslesen zu lassen? Ich soll quasi ...

E-Mail
Account für SPAM missbraucht, Tipps parat?
Frage von d4shoerncheNE-Mail42 Kommentare

Guten Morgen, ein Kollege von mir hat momentan ein paar Probleme mit seinem T-Online Mail Account. Über diesen wird ...

Rechtliche Fragen
Rechtliche Sicht - Sperrung (Mail)-Account nach Kündigung
Frage von SonnyBlack219Rechtliche Fragen5 Kommentare

Hallo zusammen, hat jemand Erfahrung bzgl. Rechtssprechung zu o.g. Fall? Habe letzte Woche gekündigt. Per Mail und per Post. ...

Microsoft
Microsoft Outlook 2010 und AD-Account Sperrung
Frage von AmistarMicrosoft3 Kommentare

Hallo liebe Community, ich habe folgendes Problem, bei uns in der Domäne melden sich Nutzer normal über AD-Accounts an. ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 2 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit7 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...