Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Erkennung und -Abwehr

Wie kann Phishing Serverseitig verhindert werden - geht das überhaupt

Mitglied: Kassoxx

Kassoxx (Level 1) - Jetzt verbinden

16.12.2010 um 14:21 Uhr, 4396 Aufrufe, 8 Kommentare

Hallo,

ich habe von meinem Provider die Mitteilung bekommen, dass irgendwelche Leute Mails von meiner Domain erhalten, welche mit Phishing-Links versehen sind. Ich habe meinen Mailverkehr geprüft und ich kann den Versand dieser diversen Mails nicht nachvollziehen. Daher meine Frage kann ich serverseitg etwas tun um das eindämmen zu können.
Vielen Dank für die, die mir weiterhelfen können.
Mitglied: 60730
16.12.2010 um 14:26 Uhr
moin,

meine Glaskugel sagt - du hast einen root Server mit Betriebsystem xy und da läuft ein Mailserver?

Leider hat meine Glaskugel aber an Tagen, die mit Tag enden Ihre Tage und ochs Migräne...

Ohne Ross und reiter kommen wir also nicht weiter....

Gruß
Bitte warten ..
Mitglied: maretz
16.12.2010 um 14:30 Uhr
und ohne genaue info WAS dein Provider hat kann man dir da eh nicht helfen... Ich kann über meinen Server auch Mails mit jeder beliebigen Adresse schicken -> solang ich dem sag das es ok ist wird der die dann auch mit der Mail-Adresse rausjagen... Und wenn der Empfänger kein Reverse-Lookup macht dann geht die Mail da auch durch.

Von daher ist nicht mal gesichert das die Mails überhaupt je von deinem Server kamen...
Bitte warten ..
Mitglied: Kassoxx
16.12.2010 um 14:57 Uhr
Also mein Provider (Strato) gab mir folgende Meldung raus:


Wir wurden von Dritten auf illegale Inhalte Ihrer Domain (Phishing unter den
folgenden Links:


hXXp://www.meinedomain/js/internetbanking.caixa.gov.br/SIIBC/index.processa.ph
p
<http://www.meinedomain/js/internetbanking.caixa.gov.br/SIIBC/index.proc ..."
hp>

hXXp://www.phishtank.com/phish_detail.php?phish_id=1088715
<http://www.phishtank.com/phish_detail.php?phish_id=1088715>" )


ACHTUNG: http durch hXXp ersetzt!


) aufmerksam gemacht.

...
Dann kommt der Hinweis auf die AGB´s und dass sie die Seite Dicht machen wenn ich nicht reagiere.

Zu meiner Hardware: Ich habe da einen V-Server mit CentOS 5 am laufen. Gesteuert wird die Mailangelegenheit durch ein Plesk 9.5.3. Als MTA habe ich postfix im Einsatz ...

Ist das erstmal ausreichend für die Glaskugel ???
Bitte warten ..
Mitglied: manuel-r
16.12.2010 um 15:04 Uhr
Na dann würde ich mal flugs in das genannte Verzeichnis auf deinem Webserver schauen und den Müll dort entfernen. Als nächstes gilt es herauszufinden auf welchem Weg das Zeugs auf den Webserver gekommen ist.
Bitte warten ..
Mitglied: Tommy70
16.12.2010 um 15:36 Uhr
Das hat dann aber nichts mit deinem Mailserver zu tun. Mails mit deiner Domain versenden kann so ziemlich jeder.
Dein Problem liegt beim Webserver (Falls die Dateien dort wirklich existieren). Da hat es dann anscheinend irgendwer geschafft dir die Phishingseite unterzujubeln.
Also schnell die Dateien überprüfen. Und falls die vorhanden sind solltest du sofort versuchen herauszufinden wer die Dateien dort abgespeichert hat und wie ihm das gelungen ist.
Bitte warten ..
Mitglied: Kassoxx
16.12.2010 um 15:44 Uhr
Vielen Dank - tatsächlich lagen da die besagten Dateien - ich habe mir das letzte Logging angeschaut und auch der RootkitScanner hat nichts finden können, allerdings war das JS-Verzeichnis mit vollen Dateirechten ausgestattet - der Besitzer der Dateien war apache - hat jemand eine Idee wie das Zustande kommt - ich habe die Rechte auf 750 auf das komplette Web-Root -Verzeichnis gesetzt um hier nicht nochmal ein den Fall reinzulaufen ...
Bitte warten ..
Mitglied: manuel-r
16.12.2010 um 15:49 Uhr
Beliebte Einfallstore sind unter anderem Forenscripte, Content-Management-Systeme und derlei Zeugs was sich so auf Webservern tummeln kann. Wahrscheinlich wirst du nie 100%ig herausbekommen auf welchem Weg genau das passieren konnte. Als stolzer Admin eines Rootservers bei irgendeinem Webhoster bleibt dir eigentlich nichts anderes übrig, als
  • das System regelmäßig zu patchen
  • nur das drauf zu haben, was unbedingt notwendig ist
  • regelmäßig Content und Logs prüfen
  • ...
Bitte warten ..
Mitglied: Kassoxx
21.12.2010 um 09:26 Uhr
Ich habe die Dateien gelöscht und auch der Server ist soweit freigegeben - allerdings ist noch der Link bei www.phishtank.com - ich habe hier zwar meinen Link, als "fehlerhaft URL" gemeldet und er hat auch den Status offline, allerdings ist er immer noch als "Verified phish" registriert. Hat hier jemand Erfahrung wie lang das dauert , bis das nochmal gecheckt wird bzw. ob es überhaupt nochmal geprüft wird.
Danke nochmal für die guten Hinweise
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Phishing-Webseiten-Sammelstelle
Frage von StefanKittelErkennung und -Abwehr8 Kommentare

Hallo, nachdem eine Freundin in einem Phising-Web-Shop bestohlen wurde habe ich ein bisschen geschaut. Der Shops ist eigentlich ganz ...

Viren und Trojaner
BSI warnt vor BSI-Phishing...
Information von mrtuxViren und Trojaner

Hi liebe Kollegen! Naja wer sich weit aus dem Fenster lehnt läuft Gefahr selbst missbraucht zu werden. Anscheinend sind ...

iOS
IOS: Passwort-Phishing
Information von sabinesiOS

Ein unglaublich leichter Weg an eine Apple ID zu kommen, wird hier erklärt:

Windows Server
IIS Warmup überhaupt noch nötig?
Frage von CoreknabeWindows Server

Moin, wir sind dabei, eine neue Verwaltungs-Software in unser System zu implementieren. Hierzu wird IIS 8.5 als Webserver verwendet, ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 11 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 11 StundenSicherheit7 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 12 StundenSicherheit8 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 12 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen20 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...