gehackt ?

M

mike1970

Guest
hilfe... ich glaube das stimmt was nicht.
ich verwende ispconfig 3.0.4.6 und habe soeben von hetzner eine mail bekommen das eine abuse anfrage von paypal co.uk gekommen ist.

es waren 52850 mails in der mailq.
habe nun den postfix vorerst abgedreht um schlimmeres zu verhindern. die mailq hab ich gelöscht, im postfix hab ich recipent an paypal.co.uk mit REJECT (hoffentlich) abgedreht.

wie kann ich nun feststellen was passiert ist ?
welche logs werden benötigt ?

lg

mike

EDIT: sobald ich postfix wieder aktiviere habe ich im netstat -a jede menge verbindungen auf smtp ..

tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49763 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49631 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49787 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49673 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49637 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49685 ESTABLISHED
tcp 0 0 localhost:52350 localhost:mysql ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49625 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49793 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49691 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49745 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49817 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49577 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49697 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49715 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49661 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49859 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49811 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49535 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49511 TIME_WAIT
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49769 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49781 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49805 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49799 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49655 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49775 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49847 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49559 ESTABLISHED
tcp 0 0 localhost:mysql localhost:52350 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49517 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49571 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49757 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49601 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49667 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49679 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49835 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49751 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49643 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49829 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49595 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49547 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49589 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49733 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49709 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49523 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49613 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49583 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49739 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49841 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49649 ESTABLISHED
tcp 0 5892 defcontrol.com:ssh 178-190-96-255.ad:53832 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49703 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49607 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49823 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49505 TIME_WAIT
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49529 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49619 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49721 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49565 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49727 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49541 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49853 ESTABLISHED
tcp 0 0 defcontrol.com:smtp lbn-247-97.tm.net:49553 ESTABLISHED

die gespamte mail adresse laut info von hetzner war service AFFE paypal co uk
 
Zuletzt von einem Moderator bearbeitet:

nowayback

Well-Known Member
Hi,

ich glaube kaum das sich jemand die Arbeit machen möchte und das alles für dich analysieren wird, aber es wäre schon interessant zu wissen wie oder wodurch dein System "gehackt" wurde.

Als erstes solltest du das System vom Netz nehmen und nur interne Verbindungen erlauben, sodass keine Verbindungen mit "außen" bestehen. Damit du dann dein System trotzdem administrieren kannst, wäre KVM oder sowas in der Art hilfreich. Danach kannste dich an die Logfiles machen.

Du kannst dir dazu eigentlich alle Logfiles anschauen die irgendwie was damit zutun haben:
/var/log/mail.log
/var/log/mail.err
/var/log/syslog
/var/log/other-vhosts.log
/var/log/ispconfig/httpd/*
...
(Diese Liste ist nicht vollständig ;) )

Schau nach über welches Konto die Mails verschickt wurden, wenn es ein Kundenaccount ist, dann informiere den Kunden, wenn es einer von dir ist, denke nach ob und wo du dieses Passwort noch verwendet hast. Ändere ggf. alle betreffenden Passwörter. Such nach Rootkits und andere Auffälligkeiten. Sollte das Passwort den gängigen Regeln entsprechen und nicht durch einen Brute-Force Angriff geknackt worden sein, könnte auch ein Trojaner auf deinem Heim-PC in Frage kommen...

In jedem Fall hast du nun viel Arbeit vor dir :)

Grüße
nwb
 
M

mike1970

Guest
Hi,

ich glaube kaum das sich jemand die Arbeit machen möchte und das alles für dich analysieren wird, aber es wäre schon interessant zu wissen wie oder wodurch dein System "gehackt" wurde.

Als erstes solltest du das System vom Netz nehmen und nur interne Verbindungen erlauben, sodass keine Verbindungen mit "außen" bestehen. Damit du dann dein System trotzdem administrieren kannst, wäre KVM oder sowas in der Art hilfreich. Danach kannste dich an die Logfiles machen.

Du kannst dir dazu eigentlich alle Logfiles anschauen die irgendwie was damit zutun haben:
/var/log/mail.log
/var/log/mail.err
/var/log/syslog
/var/log/other-vhosts.log
/var/log/ispconfig/httpd/*
...
(Diese Liste ist nicht vollständig ;) )

Schau nach über welches Konto die Mails verschickt wurden, wenn es ein Kundenaccount ist, dann informiere den Kunden, wenn es einer von dir ist, denke nach ob und wo du dieses Passwort noch verwendet hast. Ändere ggf. alle betreffenden Passwörter. Such nach Rootkits und andere Auffälligkeiten. Sollte das Passwort den gängigen Regeln entsprechen und nicht durch einen Brute-Force Angriff geknackt worden sein, könnte auch ein Trojaner auf deinem Heim-PC in Frage kommen...

In jedem Fall hast du nun viel Arbeit vor dir :)

Grüße
nwb

danke mal für die antwort.

kunden accounts gibts nur mich
wie finde ich heraus über welche mail adresse das ausgelöst wurde ?
rootkits wurden keine gefunden
trojaner am pc schliesse ich aus ..


syslog die einträge schaun so aus

Nov 22 06:26:10 defcontrol postfix/smtp[12214]: 08F221CE573A: to=<info@osw.org.uk>, relay=none, delay=68935, delays=68913/22/0.12/0, dsn=4.4.1, status=deferred (connect to mail.osw.org.uk[216.92.160.80]:25: Connection refused)
Nov 22 06:26:10 defcontrol postfix/smtp[12075]: 339F11CEFAEF: to=<service@paypal.co.uk>, relay=data.ebay.com[216.113.167.215]:25, conn_use=13, delay=300357, delays=298835/1521/0.87/0.43, dsn=4.0.0, status=deferred (host data.ebay.com[216.113.167.215] said: 452 Too many recipients received this hour (in reply to RCPT TO command))
Nov 22 06:26:10 defcontrol postfix/smtp[11647]: 35C791CE6B44: to=<service@paypal.co.uk>, relay=data.ebay.com[216.113.167.215]:25, delay=142806, delays=141284/1521/1.4/0, dsn=4.0.0, status=deferred (host data.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)
Nov 22 06:26:10 defcontrol postfix/smtp[11579]: 0D4BE1CE9DB5: host mail01.nspcc.org.uk[94.31.13.7] refused to talk to me: 554 n-pdc-mail-01.net.nspcc.org.uk
Nov 22 06:26:10 defcontrol postfix/smtp[11604]: 392981CE1DD3: to=<service@paypal.co.uk>, relay=gort.ebay.com[216.113.167.215]:25, delay=240014, delays=238492/1522/1.2/0, dsn=4.0.0, status=deferred (host gort.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)
Nov 22 06:26:10 defcontrol postfix/smtp[12063]: connect to theAteam.com[208.87.35.108]:25: Connection refused
Nov 22 06:26:10 defcontrol postfix/smtp[11805]: 308A51CE81FB: host gort.ebay.com[216.113.167.215] said: 452 Too many recipients received this hour (in reply to RCPT TO command)
Nov 22 06:26:10 defcontrol postfix/smtp[16894]: 302C31CEB2B6: to=<service@paypal.co.uk>, relay=gort.ebay.com[216.113.167.215]:25, delay=66935, delays=65412/1521/1.4/0, dsn=4.0.0, status=deferred (host gort.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)

davon extrem viele

mail.log


Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E1AB11CECFB0: to=<service@paypal.co.uk>, relay=none, delay=12291, delays=10583/1708/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/smtpd[1319]: disconnect from www.airaltay.ru[83.246.139.236]
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E7BC81CEC701: to=<service@paypal.co.uk>, relay=none, delay=159878, delays=158170/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: EAC971CEC6A0: to=<service@paypal.co.uk>, relay=none, delay=160014, delays=158306/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E0B141CE32C3: to=<service@paypal.co.uk>, relay=none, delay=309161, delays=307453/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E30221CEBC4B: to=<service@paypal.co.uk>, relay=none, delay=167743, delays=166035/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: EA9361CE7392: to=<service@paypal.co.uk>, relay=none, delay=260556, delays=258848/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E06F81CEBAEE: to=<service@paypal.co.uk>, relay=none, delay=168123, delays=166415/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E4A3B1CE5D76: to=<service@paypal.co.uk>, relay=none, delay=96393, delays=94684/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)

usw.
 

Till

Administrator
Poste bitte mal Deine /etc/postfix/main.cf Datei und teste ob Dein Server ein offenes Relay ist:

Mail relay testing

Es wäre interessant die Mail Header der mails in der queue zu analysieren, an den Inhalt kommst Du mit dem Befehl postcat heran. Beispiel:

postcat /var/spool/postfix/deferred/E/E06F81CEBAEE

Wobei es sich beim vorletzten Verzeichnis im Pfad um den ersten Buchstaben der mail ID handelt und dann kommt als Dateiname nochmal die komplette mailid so wie sie im log bzw. in der mailqueue steht.
 
M

mike1970

Guest
220 server.defcontrol.com ESMTP Postfix (Debian/GNU)


Test Result SMTP Transaction Time 0.858 seconds - Good on Transaction Time Session Transcript:
EHLO please-read-policy.mxtoolbox.com
250-server.defcontrol.com
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [140 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 2.1.0 Ok [156 ms]
RCPT TO: <test@example.com>
554 5.7.1 <test@example.com>: Relay access denied [140 ms]
QUIT
221 2.0.0 Bye [140 ms]
mail relay hab ich anfangs schon überprüft das scheint ok zu sein .. die log datei ist wahnsinnig gross .. ich lege eine neue an um frische daten zu bekommen .. ich poste das ergebnis dann ..

readme_directory = /usr/share/doc/postfix

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
myhostname = server.defcontrol.com
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
myorigin = /etc/mailname
mydestination = server.defcontrol.com, localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.0/8 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
html_directory = /usr/share/doc/postfix/html
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf, hash:/var/lib/mailman/data/virtual-mailman
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination
smtpd_tls_security_level = may
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps
smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
smtpd_client_message_rate_limit = 100
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = dovecot
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
owner_request_special = no
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
message_size_limit = 0
 
Zuletzt von einem Moderator bearbeitet:
M

mike1970

Guest
mail.warn

Nov 22 16:48:46 server postfix/smtpd[23542]: fatal: no SASL authentication mechanisms
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 52 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23546]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23546]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23546]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23546]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23547]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23546]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23547]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23546]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23547]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23546]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23547]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23543]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23548]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23545]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23546]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23547]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
Nov 22 16:48:46 server postfix/smtpd[23544]: warning: Connection concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp

was ich noch gefunden habe ..

Nov 22 15:37:05 server postfix/master[2192]: warning: process /usr/lib/postfix/smtp pid 2333 exit status 1
Nov 22 15:37:06 server postfix/qmgr[2729]: warning: private/smtp socket: malformed response
Nov 22 15:37:06 server postfix/qmgr[2729]: warning: transport smtp failure -- see a previous warning/fatal/panic logfile record for the problem description
Nov 22 15:37:06 server postfix/error[3145]: warning: connect to mysql server 127.0.0.1: Too many connections
Nov 22 15:37:06 server postfix/error[3145]: fatal: mysql:/etc/postfix/mysql-virtual_relaydomains.cf(0,lock|fold_fix): table lookup problem
Nov 22 15:37:06 server postfix/master[2192]: warning: process /usr/lib/postfix/smtp pid 3049 exit status 1
Nov 22 15:37:06 server postfix/qmgr[2729]: warning: private/smtp socket: malformed response
Nov 22 15:37:06 server postfix/qmgr[2729]: warning: transport smtp failure -- see a previous warning/fatal/panic logfile record for the problem description
Nov 22 15:37:07 server postfix/smtp[3054]: warning: connect to mysql server 127.0.0.1: Too many connections
 

F4RR3LL

Active Member
Ohne jetzt die Logs genauer gelesen zu haben. Sind php Seiten auf dem Server. Wie sind die eingebunden. Veraltete CMS, veraltetes Roundcube, exec in /tmp erlaubt usw usw.... mir fallen grade alleine im Webserverbereich x Einfallstore ein.
Ist der Server aktuell, alle Pakete aktuell. Etc etc.... sowas genau zu analysieren dürfte den Rahmen hier glatt sprengen.

Gruß Sven
 
M

mike1970

Guest
der server ansich ist frisch installiert (ca. 4 wochen)
es läuft natürlich der indianer und auf 2 webseiten sind CMS installiert.

Wordpress 3.4.2 ist hier etwas bekannt ?

kann ich mit ispconfig 3.0.4.6 den server selber gefahrlos updaten ohne ispconfig selber ändern zu müssen ?
 

Till

Administrator
Die postfix main.cf sieht soweit ok aus. Versuch mal bitte an den Inhalt einer Mail mit postcat ran zu kommen, denn in den mail headern kann man wahrscheinlich sehen ob sie über php versendet wurde.

Des weiteren ändere bitte mal die Passworte Deiner mailkonten, es kann sein dass jemand wie auch immer an eines Deiner mail Passworte gekommen ist und sich dadurch im postfix zum mailversnad authentifizieren kann.
 
M

mike1970

Guest
vorerst vielen dank für eure unterstützung ... seit dem vorfall hab ich einiges getan. zb. die gezippten log files runtergeladen um zu sehen über welchen account das ganze passiert ist ..

dabei hab ich eine testmail adresse gesehen über diese dürfte das ganze passiert sein. das kann ich mir auch gut vorstellen, denn bei der mail adresse hatte ich ein ganz einfach passwort. diesen account hab ich gelöscht.

dann auf euren rat hab ich ein update gemacht bei dem 17 pakete betroffen waren, darunter auch der postfix.

bis jetzt ist ruhe im gebüsch, keine weiteren abuse meldungen mehr. die mailq ist "normal".

fail2ban hab ich jetzt mit 1 try eingestellt, bantime hab ich 84600 eingestellt.

zwei fragen hätt ich jetzt noch.

1.) fail2ban ohne timeout, ist das möglich ? gebannt soll gebannt bleiben!
2.) mit iptables kann ich immer nur eine ip sperren, wie kann ich mehrere ip`s mittels iptables sperren?

habe bis jetzt immer das hier verwendet :
iptables -A INPUT -p ALL -s xx.xx.xx.xx -j REJECT

jedoch überschreibt mir der befehl immer die letzte eingabe ..

lg
mike
 

Brainfood

Member
save the server

Was ich dir so generell empfehlen könnte:


  • - aktuelle Systemversionen benutzen z.B. Debian 6.0.6
    - aller 2-3 Tage mal ein apt-get update/upgrade durchführen
    - ISPConfig3 Firewall aktivieren
    - sofern IPv6 im Einsatz ist ... IPv6 Firewallregelsatz benutzen
    - Dienste mit sowenig Aussagekraft wie möglich einstellen: Postfix mit "smtpd_banner = $myhostname ESMTP" Apache antwortet mit "ServerTokens Prod" BIND mit version "BIND Server"; etc.
    - SSH Root deaktivieren (sshd_config) mit "PermitRootLogin no"
    - deine Leute sollen "gute" Passwörter verwenden
    - alle Dienste nur per SSL/TLS verwenden, CMS & Co. Anmeldungen auf https umleiten
    - SSL Strong Ciphers Encryption benutzen
    - SSH Jails installieren
    - vnstat zur täglichen traffic auswerten per mail schicken lassen, dann siehst du traffic peaks die dir ungewöhnlich erscheinen
    - MySQL Fernzugriff deaktiveren, sofern du kein Multiserver-Setup verwendest
    - PHPMyAdmin Root-Zugriff deaktivieren config.inc.php "$cfg['Servers'][$i]['AllowRoot'] = FALSE;"
    - DNS TXT / SPF Einträge verwenden
    - Postfix Client Reject DNS Listen verwenden main.cf "reject_rbl_client zen.spamhaus.org" etc.
    - ab und an mal nen Nessus Penetrationtest
    - täglich mal die Serverlogs durchschauen ... mail.warn / apache error.log etc.
    ... und natürlich die eingesetzte Websoftware auf den laufenden halten ... Wordpress ist da so ein Kandidat der über Jahre schon Kummer bereitet, Stichwort "BulletProof Security Addon"
    ... usw ...

- wenn du die Möglichkeiten hast, stell dir einen externen syslog server hin und lass dort die logs auswerten
 
Zuletzt bearbeitet:

Brainfood

Member
meine fail2ban:

jail.conf

Code:
# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
# DNS: CCC 213.73.91.35 Tunnelbroker 74.82.42.42 OpenDNS 208.67.222.222 208.67.220.220
# dnscheck.pingdom.com: 176.221.80.21
ignoreip = 127.0.0.1 192.168.250.0/24 176.221.80.21
bantime  = 31536000
maxretry = 5

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = unixadmin@domain.tld

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
 
# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_mwl)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME] 
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
bantime  = 31536000
maxretry = 5

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter	= pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = false
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port	= http,https
filter	= apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port	  = http,https
filter	  = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

### ### ### PLITC ### ### ###
[apache-noscript]

enabled = true
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 5
bantime  = 31536000
### ### ### PLITC ### ### ###

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled  = false
port	 = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port	 = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port	 = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

### ### ### PLITC ### ### ###
# enabled  = false
# port     = smtp,ssmtp
# filter   = postfix
# logpath  = /var/log/mail.log

enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
bantime  = 31536000
maxretry = 5

### ### ### PLITC ### ### ###


[couriersmtp]

enabled  = false
port	 = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = true
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.warn
bantime  = 31536000
maxretry = 5

# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connectionless protocol, spoofing of IP and immitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

### ### ### PLITC ### ### ###
[named-refused-udp]

enabled  = true
port     = domain,953
protocol = udp
filter   = named-refused
logpath  = /var/log/bind/named_security.log
bantime  = 31536000
maxretry = 99
### ### ### PLITC ### ### ###

[named-refused-tcp]

enabled  = true
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/bind/named_security.log
bantime  = 31536000
maxretry = 25

# EOF
 

Brainfood

Member
jail.local

jail.local

Code:
[pureftpd]

enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
bantime  = 31536000
maxretry = 10


[dovecot-pop3imap]

enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
bantime  = 31536000
maxretry = 10


[roundcube]

enabled = true
port = http,https
filter = roundcube
logpath = /var/log/syslog
bantime  = 31536000
maxretry = 10

... sind nur ein paar Anregungen ...

Auch wenn hier einige Leute gerne Drittanbieter Addons wie RoundCube als Addon für ISPConfig hätten, halte ich nichts davon ...

Lieber etwas selbst handanlegen und patchen, denn diese git pull kaspereien ...

Die jüngsten Vorfälle beim FreeBSD Team bestätigen es aufs Neue ... wenn die Entwickler "Ziel" von Attacken werden, reicht ein kompromittierter Developer Account aus ... um hunderten von automatisierten Servern ... schmutzigen Code unterzujubeln ...
 
Zuletzt bearbeitet:
M

mike1970

Guest
Zuerst mal vielen Dank, war jetzt länger nicht in der Lage hier rein zu schauen.
Muss sagen, zum Glück ist seit dem Vorfall wieder Ruhe.
Fail2Ban bannt jeden Tag 4-10 IP`s am häufigsten davon betroffen ist SSH.


aktuelle Systemversionen benutzen z.B. Debian 6.0.6
Wie oft sollte ich da nachschauen wegen updates ?


sollte sein ..


sofern IPv6 im Einsatz ist ... IPv6 Firewallregelsatz benutzen
IPv6 hab ich abgedreht


Dienste mit sowenig Aussagekraft wie möglich einstellen: Postfix mit "smtpd_banner = $myhostname ESMTP" Apache antwortet mit "ServerTokens Prod" BIND mit version "BIND Server"; etc.
Mit der Info fange ich nichts an :(


SSH Root deaktivieren (sshd_config) mit "PermitRootLogin no"
Ok


deine Leute sollen "gute" Passwörter verwenden
Das ist halt ein Problem :) Werds weiterleiten.


alle Dienste nur per SSL/TLS verwenden, CMS & Co. Anmeldungen auf https umleiten
Keine Ahnung was meine Jungs da am laufen haben, muss ich mir anschauen.


hmm ? :)


SSH sollte chrooted sein.


vnstat zur täglichen traffic auswerten per mail schicken lassen, dann siehst du traffic peaks die dir ungewöhnlich erscheinen
Bekomm ich von Hetzner täglich.


MySQL Fernzugriff deaktiveren, sofern du kein Multiserver-Setup verwendest
Hab ich nicht, wie prüf ich das ?


PHPMyAdmin Root-Zugriff deaktivieren config.inc.php "$cfg['Servers'][$i]['AllowRoot'] = FALSE;"
Ok


Mein Server verwaltet keinen Zonen.


Postfix Client Reject DNS Listen verwenden main.cf "reject_rbl_client zen.spamhaus.org" etc.
Wo trag ich das ein ?


Wie was wo ? :)


täglich mal die Serverlogs durchschauen ... mail.warn / apache error.log etc.
Mach ich seit dem Vorfall


... und natürlich die eingesetzte Websoftware auf den laufenden halten ... Wordpress ist da so ein Kandidat der über Jahre schon Kummer bereitet, Stichwort "BulletProof Security Addon"
Da sorg ich eh dafür das die Jungs das aktuell halten


aller 2-3 Tage mal ein apt-get update/upgrade durchführen
Mach ich seit dem Vorfall


wenn du die Möglichkeiten hast, stell dir einen externen syslog server hin und lass dort die logs auswerten
Nein, diese Möglichkeit hab ich nicht

lg
Mike
 

Brainfood

Member
Punk 1:

derzeit laufen bei mir 9 Sparc und 3 AMD64 ISPConfig Kisten, im Schnitt bekomme ich ca. 30-50 Fail2Ban Mails am Tag

Punkt 2:

trage dich in die:

Debian Mailing Lists -- Index for debian-security-announce

ein

(der deutsche debian ftp mirror scheint mir gefühlt immer 1 Tag nach jeder Ankündigung die Pakete bereit zu stellen)

Punkt 3:

"Dienste mit sowenig Aussagekraft wie möglich einstellen"

schau dir die Konfigurationen der Dienste im einzelnen an und deaktiviere Hinweise ... die Rückschlüsse auf die verwendete Versionsnummer schließen könnten

z.B Apache antwortet nicht mit Apache/Linux 2.2.16 sondern nur als "Apache"

Punkt 4:

SSL Strong Ciphers Encryption benutzen

siehe dazu: SSL cipher settings - For the good of all of us

die Seite mit den ausführlichen Erklärungen scheint mir jedoch derzeit down zu sein:

such in meinem Müllhaldenblog auf: SBSHosting.biz

nach SSL Strong Ciphers Encryption

Punkt 5:

MySQL absichern:

/etc/mysql/my.cnf
Code:
### ### ### PLITC ### ### ###
[B]bind-address          = 127.0.0.1[/B]
### ### ### PLITC ### ### ###

sowie in der ISPConfig3 Firewall den TCP/UDP Port 3306 herausnehmen

Punkt 6:

Postfix Client Reject DNS Listen verwenden - sofern du Postfix im Einsatz hast:

/etc/postfix/main.cf
Code:
### ### ### PLITC ### ### ###
smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
        reject_unauth_destination,
        reject_invalid_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_rbl_client dnsbl.ahbl.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client dul.dnsbl.sorbs.net,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client zen.spamhaus.org
###

Punkt 7:

Was Nessus anbelangt:

siehe: Nessus Product Overview | Tenable Network Security

für Privatkunden gibts nen kostenlosen Key

Punkt 8:

ne aktuelle Fail2ban Config mit Berücksichtigung der Apache ISPConfig3 error.logs findest du ebenso in meinem wurschtel Blog unter dem Stichwort:

ISPConfig3 - gute fail2ban jail.conf

Grüße vom Brain :D
 
M

mike1970

Guest
Das ist ein Kampf :)

Die Signatur hab ich jetzt mal so ..


HTTP/1.1 200 OK
Date: Wed, 05 Dec 2012 06:14:44 GMT
Server: Apache
Last-Modified: Wed, 17 Oct 2012 07:20:00 GMT
ETag: "1ce0bdd-b1-4cc3c19374800"
Accept-Ranges: bytes
Content-Length: 177
Vary: Accept-Encoding
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

ServerSignature = Off
und Token auf Prod.

Bevor ich im "security" File die 2 Zeilen umgeändert habe, stand bei Server alles ... also Versionsnummer welches Linux usw.

Das hast gemeint mit der Server Signatur oder ?

wenn ich das mit dem SQL mache bekomme ich das hier
Stopping MySQL database server: mysqld.
Starting MySQL database server: mysqld.
Checking for corrupt, not cleanly closed and upgrade needing tables..

Was nun ?
 
Zuletzt von einem Moderator bearbeitet:

Brainfood

Member
genau einfach so viele Beschreibungen wie Möglich "deaktivieren" ...

Debian User sind nach wie vor vom SSL/TLS Renegotiation Designbug betroffen ...

im Grunde kannst du derzeit ALLE auf Debian basierenden ISPConfig3 Server die Postfix/Dovecot/Curier-IMAP & Co. im Einsatz haben komplett (mit thc-ssl-dos) DOSn und lahmlegen ...
 

Werbung

Top