Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Account-Sperrung wegen SPAM-Versand. Was tun?

Frage Internet Hosting & Housing

Mitglied: heutekla

heutekla (Level 1) - Jetzt verbinden

23.09.2014 um 14:46 Uhr, 1892 Aufrufe, 5 Kommentare

Meine Website ist gesperrt worden. Hoster bietet keinen Telefon-Support an. Wie finde ich das Sicherheitsloch im Skript ? Hier die Sperr-Mail des Hosters:

"Wir mussten Ihren Account leider sperren, da dieser eine erhebliche Menge an SPAM (über 10.000 E-Mails) versendet hat und unser Server bereits von einigen Blacklisten für den E-Mail Empfang gesperrt wurde.

Benutzer: web549
Server: lennox.servertools24.de

Ihre Webseite stellt aktuell ein erhöhtes Sicherheitsrisiko dar, daher können sich auch unbefugte Zugriff zu Ihrer Plattform verschaffen und haben dies bereits und von dort aus den SPAM versendet.

--<SPAM-AUSZUG>--

* ENVELOPE RECORDS deferred/5/51BEDED38194 *
message_size: 4048 167 1
0
message_arrival_time: Sat Sep 13 13:58:38 2014
create_time: Sat Sep 13 13:58:38 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: web549@lennox.servertools24.de
* MESSAGE CONTENTS deferred/5/51BEDED38194 *
Received: by lennox.servertools24.de (Postfix, from userid 2377)
id 51BEDED38194; Sat, 13 Sep 2014 13:58:38 +0200 (CEST)
To: aldana13@verizon.net
Subject: In arrears for driving on toll road
From: "E-ZPass Customer Service Center" <refund@kein-korkschmecker.de>
X-Mailer: MicrosoftCDOforExchange2000
Reply-To: "E-ZPass Customer Service Center"
<refund@kein-korkschmecker.de>
Mime-Version: 1.0
Content-Type:
multipart/alternative;boundary="----------14106095185414316E4EEDB"
Message-Id: <20140913115838.51BEDED38194@lennox.servertools24.de>
Date: Sat, 13 Sep 2014 13:58:38 +0200 (CEST)

------------14106095185414316E4EEDB
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit"
Mitglied: Ravers
23.09.2014 um 15:00 Uhr
Hi,

zunächst solltest du alle Passwörter ändern, Mailpasswörter sowie Zugangsdaten.
Ob der Zugang nun über ein unsauberes Script oder einfach per Bruteforce-Attacke gemacht wurde kann man so nicht sagen.

Ändere dei Passwörter, schau dir die Scripts an, die da laufen (vermute jedoch das du dort nix findest) und melde dich bei deinem Hoster und sage Ihm was du gemacht hast und Sie mögen doch deine Seite wieder an`s Netz nehmen.

greetz
ravers
Bitte warten ..
Mitglied: ITvortex
23.09.2014 um 15:06 Uhr
@Ravers, einfach per "Bruteforce"??

Das halte ich widerrum nicht für sehr wahrscheinlich.

Passwörter ändern ist ein guter Tipp.

Was macht dein Skript?

Gruß
Bitte warten ..
Mitglied: Sheogorath
23.09.2014 um 15:07 Uhr
Moin,

du solltest auch Kontaktformulare prüfen, einige sind unsauber implementiert, Kontaktformulare von 3rd-Party Modulen solltest du komplett rauswerfen (falls möglich). CMS Changelogs prüfen, passwörter ändern, Logs und Errorlogs vom Hoster schicken lassen um zu schauen wie angegriffen wurde, ansonsten solltest du alle sonstigen zugänge zu deinen Mails prüfen (eigene Server?).

Viel mehr, kannst du leider nicht tun außer wirklich große Umbaumaßnahmen an der Webseite zu ergreifen und vielleicht ein eigenes CMS zu schreiben.

Gruß
Chris
Bitte warten ..
Mitglied: Ravers
23.09.2014 um 15:17 Uhr
Hi,

halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH möglich.

Wie auch immer Sie daran gekommen sind, Passwörter ändern und gut ist. Scripte checken!
Wenn dann mal Lust da ist - Logs prüfen!

greetz
ravers
Bitte warten ..
Mitglied: Lochkartenstanzer
24.09.2014 um 10:14 Uhr
Zitat von Ravers:

halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein
Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH
möglich.

Manchmal werden auch einfach nur Busg des CMS oder dessen plugins genutzt. Im Prinzip kann man das Problem ernsthaft nur dann gezile eingrenzen, wenn man root-Zugriff auf den Server hat. dann kann man nämlich mitprotokollieren, welcher prozess für den SPAm verantwortlich ist und dnn genauer nachforschen.

Ansonsten kann man nur die Webseite ganz herunternehmen und von ungrund auf neu gestalten, damit da keine "Altlasten" sind. Paßwöter ändern ist sowieso selbstverständlich. Aber wenn das CMS vom Anbieter vorgegeben ist, hat man schlechte Karten, wenn da eine verbuggte version installiert ist.

lks
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
Viren und Trojaner
Ransomware .nm4 (14)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

iOS
16 iPads zentrall verwalten (14)

Frage von simonlohr zum Thema iOS ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (11)

Frage von Matsushita zum Thema Microsoft Office ...