Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Account-Sperrung wegen SPAM-Versand. Was tun?

Frage Internet Hosting & Housing

Mitglied: heutekla

heutekla (Level 1) - Jetzt verbinden

23.09.2014 um 14:46 Uhr, 1784 Aufrufe, 5 Kommentare

Meine Website ist gesperrt worden. Hoster bietet keinen Telefon-Support an. Wie finde ich das Sicherheitsloch im Skript ? Hier die Sperr-Mail des Hosters:

"Wir mussten Ihren Account leider sperren, da dieser eine erhebliche Menge an SPAM (über 10.000 E-Mails) versendet hat und unser Server bereits von einigen Blacklisten für den E-Mail Empfang gesperrt wurde.

Benutzer: web549
Server: lennox.servertools24.de

Ihre Webseite stellt aktuell ein erhöhtes Sicherheitsrisiko dar, daher können sich auch unbefugte Zugriff zu Ihrer Plattform verschaffen und haben dies bereits und von dort aus den SPAM versendet.

--<SPAM-AUSZUG>--

* ENVELOPE RECORDS deferred/5/51BEDED38194 *
message_size: 4048 167 1
0
message_arrival_time: Sat Sep 13 13:58:38 2014
create_time: Sat Sep 13 13:58:38 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: web549@lennox.servertools24.de
* MESSAGE CONTENTS deferred/5/51BEDED38194 *
Received: by lennox.servertools24.de (Postfix, from userid 2377)
id 51BEDED38194; Sat, 13 Sep 2014 13:58:38 +0200 (CEST)
To: aldana13@verizon.net
Subject: In arrears for driving on toll road
From: "E-ZPass Customer Service Center" <refund@kein-korkschmecker.de>
X-Mailer: MicrosoftCDOforExchange2000
Reply-To: "E-ZPass Customer Service Center"
<refund@kein-korkschmecker.de>
Mime-Version: 1.0
Content-Type:
multipart/alternative;boundary="----------14106095185414316E4EEDB"
Message-Id: <20140913115838.51BEDED38194@lennox.servertools24.de>
Date: Sat, 13 Sep 2014 13:58:38 +0200 (CEST)

------------14106095185414316E4EEDB
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit"
Mitglied: Ravers
23.09.2014 um 15:00 Uhr
Hi,

zunächst solltest du alle Passwörter ändern, Mailpasswörter sowie Zugangsdaten.
Ob der Zugang nun über ein unsauberes Script oder einfach per Bruteforce-Attacke gemacht wurde kann man so nicht sagen.

Ändere dei Passwörter, schau dir die Scripts an, die da laufen (vermute jedoch das du dort nix findest) und melde dich bei deinem Hoster und sage Ihm was du gemacht hast und Sie mögen doch deine Seite wieder an`s Netz nehmen.

greetz
ravers
Bitte warten ..
Mitglied: ITvortex
23.09.2014 um 15:06 Uhr
@Ravers, einfach per "Bruteforce"??

Das halte ich widerrum nicht für sehr wahrscheinlich.

Passwörter ändern ist ein guter Tipp.

Was macht dein Skript?

Gruß
Bitte warten ..
Mitglied: Sheogorath
23.09.2014 um 15:07 Uhr
Moin,

du solltest auch Kontaktformulare prüfen, einige sind unsauber implementiert, Kontaktformulare von 3rd-Party Modulen solltest du komplett rauswerfen (falls möglich). CMS Changelogs prüfen, passwörter ändern, Logs und Errorlogs vom Hoster schicken lassen um zu schauen wie angegriffen wurde, ansonsten solltest du alle sonstigen zugänge zu deinen Mails prüfen (eigene Server?).

Viel mehr, kannst du leider nicht tun außer wirklich große Umbaumaßnahmen an der Webseite zu ergreifen und vielleicht ein eigenes CMS zu schreiben.

Gruß
Chris
Bitte warten ..
Mitglied: Ravers
23.09.2014 um 15:17 Uhr
Hi,

halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH möglich.

Wie auch immer Sie daran gekommen sind, Passwörter ändern und gut ist. Scripte checken!
Wenn dann mal Lust da ist - Logs prüfen!

greetz
ravers
Bitte warten ..
Mitglied: Lochkartenstanzer
24.09.2014 um 10:14 Uhr
Zitat von Ravers:

halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein
Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH
möglich.

Manchmal werden auch einfach nur Busg des CMS oder dessen plugins genutzt. Im Prinzip kann man das Problem ernsthaft nur dann gezile eingrenzen, wenn man root-Zugriff auf den Server hat. dann kann man nämlich mitprotokollieren, welcher prozess für den SPAm verantwortlich ist und dnn genauer nachforschen.

Ansonsten kann man nur die Webseite ganz herunternehmen und von ungrund auf neu gestalten, damit da keine "Altlasten" sind. Paßwöter ändern ist sowieso selbstverständlich. Aber wenn das CMS vom Anbieter vorgegeben ist, hat man schlechte Karten, wenn da eine verbuggte version installiert ist.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft
Microsoft Outlook 2010 und AD-Account Sperrung (3)

Frage von Amistar zum Thema Microsoft ...

E-Mail
SPAM E-Mails GMX Account durch Adressbuch Diebstahl (2)

Frage von ilninio zum Thema E-Mail ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...

E-Mail
gelöst Mail Spam fremde IP (10)

Frage von BerndP zum Thema E-Mail ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...