Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: [OPGELOST]Er word spam verstuurd  (gelezen 1733 keer)

Offline DrHouse

  • Lid
  • Steunpunt: Nee
[OPGELOST]Er word spam verstuurd
« Gepost op: 2013/12/14, 22:25:01 »
Van de hoster krijgen we mails dat er spam word verstuurd vanaf onze server.
We draaien met ubuntu 12.04LTS desktop.
Dat de server eerst vol raakte hebben we opgelost door alles er opnieuw op te zetten en te updaten.
Nu heeft die persoon die de server heeft ingericht een email in ubuntu gezet waar de spam via gestuurd word.
Die persoon is de komende tijd door persoonlijke problemen niet te benaderen.
Wij hebben wel alle inloggegevens.
Hoe kunnen wij dat email eruit halen en eventueel een nieuwe erin zetten.

Ik heb eens even gekeken op de server, maar vind geen email programma erop.
Wel heb ik in de file etc/virtual/usage/    een file staan genaamt admin.bytes, daar staat een email adres in.
En ook in var/log/exim/mainlog
« Laatst bewerkt op: 2014/01/13, 21:34:26 door DrHouse »

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #1 Gepost op: 2013/12/15, 00:27:51 »
Als noodgreep kun je exim uit zetten met /etc/init.d/exim stop
En even kijken of er andere mailservers draaien.
Verder kan ik niet veel met de opmerking 'een email in ubuntu gezet waar de spam via gestuurd word'.
Een email stuurt geen spam, een email is 1 bericht.
Exim is een mailserver en kan dus berichten versturen naar andere emailservers.
Exim verstuurt echter niets uit zich zelf.
Dat het email adres in /var/log/exim/mainlog staat, zegt alleen dat het ooit gebruikt is.

Is deze machine de enige die op deze locatie staat? En hoe heeft de hoster bepaald dat deze machine de spammachine is?
Welk bewijs is er geleverd?
Het kan natuurlijk ook goed zijn dat deze hoster geen open mailservers toestaat en dat er eigenlijk nog helemaal geen spam is verstuurd.

Zonder kennis van zaken kun je allerlei dingen nu gaan doen, maar dan weet je niets zeker.
Als een andere machine de spam heeft verstuurd en de afkomst heeft vervalst kun je doen wat je wilt, maar dan helpt het niet.
Mocht dit wel de verzendende machine zijn, was het wel spam?
En zo ja.... verstuurt de machine op dit moment nog berichten of was het eenmalig?

Je kunt altijd gewoon de mailserver uitzetten (exim, zie hierboven) maar dan kun je hem ook niet meer als mailserver gebruiken. (dan komt je eigen mail dus ook niet meer binnen als hij daar voor is ingericht)
Anders zul je op de server zelf opzoek moeten gaan naar het programma dat de mail via Exim verstuurt.
Ook moeten de instellingen van Exim een keer goed worden nagekeken om te zien of deze server niet open staat voor de hele wereld (open relay). Dat houdt namelijk in dat iedereen mail kan versturen via deze server, inclusief spammers. Dit zou ik laten controleren door iemand met ervaring (een steunpunt van het forum misschien?)

Wat staat er precies in het exim log?
Kun je hier de output van dat log geven van ongeveer tien regels boven de regel met het adres tot ongeveer tien regels er onder?
Je mag eventueel de email adressen vervangen, zolang je maar onderscheid maakt tussen verschillende adressen. (zodat we zien dat niet alle mails naar 1 adres gaan)

Overigens vind ik het wel vreemd dat je zegt dat er ubuntu desktop staat op een server.
De server editie is specifiek voor servers bedoeld en ook daar kan eventueel een desktop op draaien (al zou ik het niet doen).
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #2 Gepost op: 2013/12/15, 10:27:34 »
Dit is het laatste bericht dat we van de hoster kregen.
Ik heb even ons IP-adres veranderd.
Hoop dat er verder niets instaat wat mensen kunnen misbruiken.
Er is al aangepast dat er iedere keer 15 mails verstuurd kunnen worden.
Per dag gaan er 4 sets van 15 weg.
Ieder keer op dezelfde tijd.
Het email adres dat schijnbaar gebruikt word staat ook in de file's in ubuntu en is een mail adress van de persoon die de server heeft ingericht.
Hij is een goede vriend van ons en is te vertrouwen.
Maar als we het op kunnen lossen door dat email eruit te halen dan doen we dat.

Origineel bericht
> ==============================
> [ SpamCop V4.8.1.007 ]
> This message is brief for your comfort. Please use links below for details.
>
> Email from IP-ADRES ONZE SERVER/ Fri, 06 Dec 2013 05:24:58 -0500
> http://www.spamcop.net/DIT HEB IK OOK EVEN WEGGEHAALD
>
> [ Offending message ]
> Return-Path:
> Delivery-Date: Fri, 06 Dec 2013 05:24:58 -0500
> Received: from server.game-media.nl (hosted.by.pcextreme
> by mx.perfora.net (node=mxus1) with ESMTP (Nemesis)
> id 0Lk6s6-1VIIvT1g3m-00cDS9 for x; Fri, 06 Dec 2013 05:24:58 -0500
> Received: from admin by server.game-media.nl with local (Exim 4.80.1)
> (envelope-from )
> id 1Vosad-0003N7-9R
> for x; Fri, 06 Dec 2013 11:24:55 +0100
> To: x
> Subject: [spam] Voice Message
> X-PHP-Originating-Script: 1003:a7bd4e.php(1) : eval()'d code
> From: "WhatsApp"
> X-Mailer: CSWMSAutoMailer:reg
> Reply-To: "WhatsApp"
> Mime-Version: 1.0
> Content-Type: multipart/alternative;boundary="----------138632549552A1A5F7419A6"
> Message-Id:
> Sender:
> Date: Fri, 06 Dec 2013 11:24:55 +0100
> Envelope-To: x
> X-BitdefenderWKS-SpamStamp: Build: [Engines: 2.15.3.17856, Stamp: 3],
> Multi: [Enabled], BW: [Enabled], APM: [Disabled], URL: [Enabled],
> RTDA: [Enabled, Hit: Yes, Details: v1.7.4; Id:
> 2m1gghj.18aq3lf9q.1e6ok; fipr(1)], total: 1000(775)
> X-BitdefenderWKS-Spam: Yes - 1000
>
> ------------138632549552A1A5F7419A6
> Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
> Content-Transfer-Encoding: 7bit
>
> WhatsApp
>
> You have a new Voice Message!
>
> Message Details:
>
> Time of Call:
> Dec-01 2013 06:26:
> 26
> Lenth of Call:
> 26sec
>
> 111
>
> Play
>
> *If you cannot play, move message to the "Inbox" folder.
>
> 2013 WhatsApp Inc
>
> ------------138632549552A1A5F7419A6
> Content-Type: text/html; charset="ISO-8859-1";
> Content-Transfer-Encoding: 7bit
>
> WhatsApp
>
> You have a new Voice Message!
>
> Message Details:
>
> Time of Call:
> Dec-01 2013 06:26:
> 26
> Lenth of Call:
> 26sec
>
> 111
>
> Play
>
> *If you cannot play, move message to the "Inbox" folder.
>
> 2013 WhatsApp Inc
>
> ------------138632549552A1A5F7419A6--
>

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #3 Gepost op: 2013/12/15, 16:37:05 »
[quote]
> X-PHP-Originating-Script: 1003:a7bd4e.php(1) : eval()'d code

Dit lijkt erop te wijzen dat er een lek zit in je website. De aanvallers hebben dit lek misbruikt om je webserver te hacken en hebben een nieuw php-bestand geplaatst. En dat bestand wordt nu gebruikt om spam te sturen vanaf je server.

Wil je de spam stoppen, dan zal je je website offline moeten halen en helemaal na moeten kijken.

1003 is de uid van de gebruiker die de spam verstuurt (waarschijnlijk de gebruiker waaronder de webserver draait) en a7bd4e.php is de bestandsnaam van het script.
« Laatst bewerkt op: 2013/12/15, 16:41:38 door Johan van Dijk »

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #4 Gepost op: 2013/12/15, 16:49:42 »
Houd er rekening mee, als dat inderdaad waar is: uitzetten van de webserver hoeft niet te helpen!
Php script kunnen ook lokaal worden uitgevoerd, en dan kan het script alsnog mailen via Exim.
Dus laat de machine nakijken door iemand met verstand van zaken a.u.b.
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #5 Gepost op: 2013/12/15, 17:20:03 »
Die a7bd4e.php hadden we dus gevonden en is verwijderd.
Toch word er nog iets verstuurd.

Nog eens even gekeken in de directadmin, vandaag is er niets meer verstuurd, dus ben benieuwd.
Die file is er de 13-12 vanaf gehaald.
« Laatst bewerkt op: 2013/12/15, 17:26:47 door DrHouse »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #6 Gepost op: 2013/12/15, 18:33:36 »
Alleen het weghalen van dat bestand is niet genoeg, want hoe is dat bestand er in de eerste plaats gekomen? Als er een lek zit in je website heb je zo weer een probleem. Verder kunnen er wel meer dingen aangepast zijn behalve dat ene bestand. Denk aan een aanpassing in je php scripts die alle wachtwoorden steelt of alle andere gegevens van je bezoekers. Het is ook nog mogelijk dat men je site zo heeft aangepast dat die de bezoekers probeert te besmetten met malware.

Online Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #7 Gepost op: 2013/12/15, 21:52:47 »
Ik zou allereerst een schone herinstallatie doen. En daarna de bewuste persoon die dit heeft veroorzaakt, nimmermeer met z'n gloeiende tengels aan de server laten komen.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #8 Gepost op: 2013/12/15, 22:01:00 »
Ik zou allereerst een schone herinstallatie doen.
Dat zou je kunnen doen, omdat je niet precies weet wat een evt. indringer allemaal gedaan heeft. Als het alleen een lekker website is en er geen toegang was tot de rest van het systeem dan lijkt me dat wel wat overdreven.

Citaat
En daarna de bewuste persoon die dit heeft veroorzaakt, nimmermeer met z'n gloeiende tengels aan de server laten komen.
Het kan iedereen een keer gebeuren, want er worden dagelijks fouten gevonden in allerlei stukken software. Ben je een keer te laat of heb je iets over het hoofd gezien dan heb je al een probleem. Bij een zgn. zero day-exploit kan je er niets aan doen. Het grootste probleem voor nu is dat hij afhankelijk is van 1 persoon en die is nu niet beschikbaar. Dan zou ik liever versterking zoeken voor die persoon.

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #9 Gepost op: 2013/12/16, 20:44:38 »
Die persoon is even op Skype geweest.
We gaan de wachtwoorden eens veranderen en anders andere hulp in roepen.
Verder hebben wij er niet veel kaas van gegeten dus dat is ook een probleem.
Wanneer ik nog nieuws heb zal ik het melden hier.
De mails zijn er weer en nu geeft hij aan dat het via phpmailer.php gaat

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #10 Gepost op: 2013/12/19, 23:09:14 »
Ik heb ook al een steunpunt ingeschakeld.
Alleen nog even wachten op antwoord.
Ook heb ik al de file admin.bytes en de mainlog van exim geupload.
Als iemand daar misschien iets uit kan halen, dan PM ik die wel naar iemand die misschien kan helpen.
Of misschien via Skype?
« Laatst bewerkt op: 2013/12/19, 23:20:46 door DrHouse »

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #11 Gepost op: 2014/01/04, 13:34:50 »
Dit wilde ik nog even melden.
7 dagen geleden hebben wij een update van Directadmin gehad.
En daarna worden er geen mails meer verstuurd.
Dus hopen dat het nu opgelost is.

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #12 Gepost op: 2014/01/13, 21:32:20 »
Tot nu toe geen spam meer verstuurd.
Dus dit sluit ik maar.