Hallo,
ich habe seit 14 Tagen einen neuen Server und diesen nach der Anleitung für einen perfekten Server mit Debian Lenny und ISPC 3 installiert. Heute habe ich eine Mail erhalten von Hetzner, dass die eine Abuse Meldung von AOL bekommen haben wegen einer Spammail die von meinem Server verschickt wurde. Dachte erst das ist einen Falschmeldung bis ich mir die Logs mal genauer angeschaut habe. Also das ist der absolute oberhammer aber da ist tatsächlich zeitweise einer dabei wie ein irrer Spam über meinen Server zu schieben. Das hab ich bis jetzt nie bemerkt da eine Mailadresse verwendet wurde die es auf meinem Server nicht gibt und dadurch hab ich natürlich auch die Rückmeldungen nie erhalten. Die Mailadresse ist immer web3@Domain - meiner - Firma . de. Ich finde in den Logs zeitweise 30-40 Einträge pro Sekunde wo wie irre versucht wird Mails nach draußen zu schicken. Allerdings habe ich keinen blassen Schimmer wie ich anhand der Log Einträge prüfen soll welcher PC das sein soll denn ich gehe mal davon aus ein total fremder kann das eigentlich nicht sein außer Jail2ban und alles weitere hätte versagt und es hat jemand wirklich Zugriff auf den Server oder?
Laut auth.log versuchen auch zahllose IP Adressen auf den SSH von meinem Server zu kommen mit verschiedenen Benutzernamen. Und die IP Adressen kommen alle weiß der Teufel woher. Aber soweit ich das im Fail2Ban Log sehe tut der seine Dienste und sperrt die IPs alle für eine gewisse Zeit. Deshalb ist meine Vermutung immer noch das es ein PC sein muss mit Zugriff auf den Server in Form eines Mailkontos oder sowas.
rkhunter hat bis auf Warnungen wegen aktualisierter Pakete und was weiß ich auch nichts gefunden also zumindest keinerleu Rootkits oder so. Spricht also auch wieder für meine Vermutung das noch nieman den Server geknackt hat.
Ich kann im Moment leider nur mit Sicherheit sagen, dass es nicht mein eigener privater PC sein kann da der zu den Zeiten wo der Spam verschickt wurde nicht an war.
In der mailq hängen übrigens auch noch Beweise für verschickten Spam wo Mails nicht zugestellt wurden und die Rückantwort wiederum nicht durch kam da es wie gesagt ja die Absenderadresse auf meinem Server nicht gibt.
Wie sollte ich nun vorgehen um wirklich Sicher zu sein, dass hier nicht schlimmeres passiert? Könnte das auf ein Skript bei einem Webprojekt sein welches unsauber programmiert wurde? Dann müsste ich aber im Apacke Log zur gleichen Zeit irgendwas finden oder? Weil da ist nichts soviel ist sicher.
Meine herren das nervt mich schon wieder. 14 Tage alter Server und schon wird versucht den irre zu machen von allen Ecken und Enden. Sollte ich übrigens die IPs die in der auth.log versuchen den Server zu knacken mit einem route add -host IP reject ganz von meinem Server fern zu halten? Ich hab gelesen wenn ich da hunderte von Routen drin hab wird irgendwann der ganze Server bzw. Netzwerkverkehr langsam.
Da die Logs übrigens mega groß sind poste ich diese nicht einfach. Falls ich das tun soll bitte genau sagen was wichtig ist damit ich den entsprechenden Teil raus kopieren kann.
ich habe seit 14 Tagen einen neuen Server und diesen nach der Anleitung für einen perfekten Server mit Debian Lenny und ISPC 3 installiert. Heute habe ich eine Mail erhalten von Hetzner, dass die eine Abuse Meldung von AOL bekommen haben wegen einer Spammail die von meinem Server verschickt wurde. Dachte erst das ist einen Falschmeldung bis ich mir die Logs mal genauer angeschaut habe. Also das ist der absolute oberhammer aber da ist tatsächlich zeitweise einer dabei wie ein irrer Spam über meinen Server zu schieben. Das hab ich bis jetzt nie bemerkt da eine Mailadresse verwendet wurde die es auf meinem Server nicht gibt und dadurch hab ich natürlich auch die Rückmeldungen nie erhalten. Die Mailadresse ist immer web3@Domain - meiner - Firma . de. Ich finde in den Logs zeitweise 30-40 Einträge pro Sekunde wo wie irre versucht wird Mails nach draußen zu schicken. Allerdings habe ich keinen blassen Schimmer wie ich anhand der Log Einträge prüfen soll welcher PC das sein soll denn ich gehe mal davon aus ein total fremder kann das eigentlich nicht sein außer Jail2ban und alles weitere hätte versagt und es hat jemand wirklich Zugriff auf den Server oder?
Laut auth.log versuchen auch zahllose IP Adressen auf den SSH von meinem Server zu kommen mit verschiedenen Benutzernamen. Und die IP Adressen kommen alle weiß der Teufel woher. Aber soweit ich das im Fail2Ban Log sehe tut der seine Dienste und sperrt die IPs alle für eine gewisse Zeit. Deshalb ist meine Vermutung immer noch das es ein PC sein muss mit Zugriff auf den Server in Form eines Mailkontos oder sowas.
rkhunter hat bis auf Warnungen wegen aktualisierter Pakete und was weiß ich auch nichts gefunden also zumindest keinerleu Rootkits oder so. Spricht also auch wieder für meine Vermutung das noch nieman den Server geknackt hat.
Ich kann im Moment leider nur mit Sicherheit sagen, dass es nicht mein eigener privater PC sein kann da der zu den Zeiten wo der Spam verschickt wurde nicht an war.
In der mailq hängen übrigens auch noch Beweise für verschickten Spam wo Mails nicht zugestellt wurden und die Rückantwort wiederum nicht durch kam da es wie gesagt ja die Absenderadresse auf meinem Server nicht gibt.
Wie sollte ich nun vorgehen um wirklich Sicher zu sein, dass hier nicht schlimmeres passiert? Könnte das auf ein Skript bei einem Webprojekt sein welches unsauber programmiert wurde? Dann müsste ich aber im Apacke Log zur gleichen Zeit irgendwas finden oder? Weil da ist nichts soviel ist sicher.
Meine herren das nervt mich schon wieder. 14 Tage alter Server und schon wird versucht den irre zu machen von allen Ecken und Enden. Sollte ich übrigens die IPs die in der auth.log versuchen den Server zu knacken mit einem route add -host IP reject ganz von meinem Server fern zu halten? Ich hab gelesen wenn ich da hunderte von Routen drin hab wird irgendwann der ganze Server bzw. Netzwerkverkehr langsam.
Da die Logs übrigens mega groß sind poste ich diese nicht einfach. Falls ich das tun soll bitte genau sagen was wichtig ist damit ich den entsprechenden Teil raus kopieren kann.