5
Account-Sperrung wegen SPAM-Versand. Was tun?
Meine Website ist gesperrt worden. Hoster bietet keinen Telefon-Support an. Wie finde ich das Sicherheitsloch im Skript ? Hier die Sperr-Mail des Hosters:
"Wir mussten Ihren Account leider sperren, da dieser eine erhebliche Menge an SPAM (über 10.000 E-Mails) versendet hat und unser Server bereits von einigen Blacklisten für den E-Mail Empfang gesperrt wurde.
Benutzer: web549
Server: lennox.servertools24.de
Ihre Webseite stellt aktuell ein erhöhtes Sicherheitsrisiko dar, daher können sich auch unbefugte Zugriff zu Ihrer Plattform verschaffen und haben dies bereits und von dort aus den SPAM versendet.
--<SPAM-AUSZUG>--
* ENVELOPE RECORDS deferred/5/51BEDED38194 *
message_size: 4048 167 1
message_arrival_time: Sat Sep 13 13:58:38 2014
create_time: Sat Sep 13 13:58:38 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: web549@lennox.servertools24.de
* MESSAGE CONTENTS deferred/5/51BEDED38194 *
Received: by lennox.servertools24.de (Postfix, from userid 2377)
id 51BEDED38194; Sat, 13 Sep 2014 13:58:38 +0200 (CEST)
To: aldana13@verizon.net
Subject: In arrears for driving on toll road
From: "E-ZPass Customer Service Center" <refund@kein-korkschmecker.de>
X-Mailer: MicrosoftCDOforExchange2000
Reply-To: "E-ZPass Customer Service Center"
<refund@kein-korkschmecker.de>
Mime-Version: 1.0
Content-Type:
multipart/alternative;boundary="----------14106095185414316E4EEDB"
Message-Id: <20140913115838.51BEDED38194@lennox.servertools24.de>
Date: Sat, 13 Sep 2014 13:58:38 +0200 (CEST)
14106095185414316E4EEDB
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit"
"Wir mussten Ihren Account leider sperren, da dieser eine erhebliche Menge an SPAM (über 10.000 E-Mails) versendet hat und unser Server bereits von einigen Blacklisten für den E-Mail Empfang gesperrt wurde.
Benutzer: web549
Server: lennox.servertools24.de
Ihre Webseite stellt aktuell ein erhöhtes Sicherheitsrisiko dar, daher können sich auch unbefugte Zugriff zu Ihrer Plattform verschaffen und haben dies bereits und von dort aus den SPAM versendet.
--<SPAM-AUSZUG>--
* ENVELOPE RECORDS deferred/5/51BEDED38194 *
message_size: 4048 167 1
message_arrival_time: Sat Sep 13 13:58:38 2014
create_time: Sat Sep 13 13:58:38 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: web549@lennox.servertools24.de
* MESSAGE CONTENTS deferred/5/51BEDED38194 *
Received: by lennox.servertools24.de (Postfix, from userid 2377)
id 51BEDED38194; Sat, 13 Sep 2014 13:58:38 +0200 (CEST)
To: aldana13@verizon.net
Subject: In arrears for driving on toll road
From: "E-ZPass Customer Service Center" <refund@kein-korkschmecker.de>
X-Mailer: MicrosoftCDOforExchange2000
Reply-To: "E-ZPass Customer Service Center"
<refund@kein-korkschmecker.de>
Mime-Version: 1.0
Content-Type:
multipart/alternative;boundary="----------14106095185414316E4EEDB"
Message-Id: <20140913115838.51BEDED38194@lennox.servertools24.de>
Date: Sat, 13 Sep 2014 13:58:38 +0200 (CEST)
14106095185414316E4EEDB
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit"
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 249933
Url: https://administrator.de/contentid/249933
Printed on: April 25, 2024 at 07:04 o'clock
5 Comments
Latest comment
Hi,
zunächst solltest du alle Passwörter ändern, Mailpasswörter sowie Zugangsdaten.
Ob der Zugang nun über ein unsauberes Script oder einfach per Bruteforce-Attacke gemacht wurde kann man so nicht sagen.
Ändere dei Passwörter, schau dir die Scripts an, die da laufen (vermute jedoch das du dort nix findest) und melde dich bei deinem Hoster und sage Ihm was du gemacht hast und Sie mögen doch deine Seite wieder an`s Netz nehmen.
greetz
ravers
zunächst solltest du alle Passwörter ändern, Mailpasswörter sowie Zugangsdaten.
Ob der Zugang nun über ein unsauberes Script oder einfach per Bruteforce-Attacke gemacht wurde kann man so nicht sagen.
Ändere dei Passwörter, schau dir die Scripts an, die da laufen (vermute jedoch das du dort nix findest) und melde dich bei deinem Hoster und sage Ihm was du gemacht hast und Sie mögen doch deine Seite wieder an`s Netz nehmen.
greetz
ravers
@Ravers, einfach per "Bruteforce"??
Das halte ich widerrum nicht für sehr wahrscheinlich.
Passwörter ändern ist ein guter Tipp.
Was macht dein Skript?
Gruß
Das halte ich widerrum nicht für sehr wahrscheinlich.
Passwörter ändern ist ein guter Tipp.
Was macht dein Skript?
Gruß
Moin,
du solltest auch Kontaktformulare prüfen, einige sind unsauber implementiert, Kontaktformulare von 3rd-Party Modulen solltest du komplett rauswerfen (falls möglich). CMS Changelogs prüfen, passwörter ändern, Logs und Errorlogs vom Hoster schicken lassen um zu schauen wie angegriffen wurde, ansonsten solltest du alle sonstigen zugänge zu deinen Mails prüfen (eigene Server?).
Viel mehr, kannst du leider nicht tun außer wirklich große Umbaumaßnahmen an der Webseite zu ergreifen und vielleicht ein eigenes CMS zu schreiben.
Gruß
Chris
du solltest auch Kontaktformulare prüfen, einige sind unsauber implementiert, Kontaktformulare von 3rd-Party Modulen solltest du komplett rauswerfen (falls möglich). CMS Changelogs prüfen, passwörter ändern, Logs und Errorlogs vom Hoster schicken lassen um zu schauen wie angegriffen wurde, ansonsten solltest du alle sonstigen zugänge zu deinen Mails prüfen (eigene Server?).
Viel mehr, kannst du leider nicht tun außer wirklich große Umbaumaßnahmen an der Webseite zu ergreifen und vielleicht ein eigenes CMS zu schreiben.
Gruß
Chris
Hi,
halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein Schädling findet sich doch wohl nicht auf einen Admin-Rechner (
) - aber auch das wäre REIN THEORETSICH möglich.
Wie auch immer Sie daran gekommen sind, Passwörter ändern und gut ist. Scripte checken!
Wenn dann mal Lust da ist - Logs prüfen!
greetz
ravers
halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein Schädling findet sich doch wohl nicht auf einen Admin-Rechner (
) - aber auch das wäre REIN THEORETSICH möglich.Wie auch immer Sie daran gekommen sind, Passwörter ändern und gut ist. Scripte checken!
Wenn dann mal Lust da ist - Logs prüfen!
greetz
ravers
Zitat von @Ravers:
halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein
Schädling findet sich doch wohl nicht auf einen Admin-Rechner ( ) - aber auch das wäre REIN THEORETSICH
möglich.
halte Bruteforce auch für unwahrscheinlich (Logon nach 3 Fehlversuchen für Zeit X gesperrt vermutlich); aber auch ein
Schädling findet sich doch wohl nicht auf einen Admin-Rechner (
) - aber auch das wäre REIN THEORETSICHmöglich.
Manchmal werden auch einfach nur Busg des CMS oder dessen plugins genutzt. Im Prinzip kann man das Problem ernsthaft nur dann gezile eingrenzen, wenn man root-Zugriff auf den Server hat. dann kann man nämlich mitprotokollieren, welcher prozess für den SPAm verantwortlich ist und dnn genauer nachforschen.
Ansonsten kann man nur die Webseite ganz herunternehmen und von ungrund auf neu gestalten, damit da keine "Altlasten" sind. Paßwöter ändern ist sowieso selbstverständlich. Aber wenn das CMS vom Anbieter vorgegeben ist, hat man schlechte Karten, wenn da eine verbuggte version installiert ist.
lks
