Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: [OPGELOST]Er word spam verstuurd  (gelezen 2246 keer)

Offline DrHouse

  • Lid
  • Steunpunt: Nee
[OPGELOST]Er word spam verstuurd
« Gepost op: 2013/12/14, 22:25:01 »
Van de hoster krijgen we mails dat er spam word verstuurd vanaf onze server.
We draaien met ubuntu 12.04LTS desktop.
Dat de server eerst vol raakte hebben we opgelost door alles er opnieuw op te zetten en te updaten.
Nu heeft die persoon die de server heeft ingericht een email in ubuntu gezet waar de spam via gestuurd word.
Die persoon is de komende tijd door persoonlijke problemen niet te benaderen.
Wij hebben wel alle inloggegevens.
Hoe kunnen wij dat email eruit halen en eventueel een nieuwe erin zetten.

Ik heb eens even gekeken op de server, maar vind geen email programma erop.
Wel heb ik in de file etc/virtual/usage/    een file staan genaamt admin.bytes, daar staat een email adres in.
En ook in var/log/exim/mainlog
« Laatst bewerkt op: 2014/01/13, 21:34:26 door DrHouse »

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #1 Gepost op: 2013/12/15, 10:27:34 »
Dit is het laatste bericht dat we van de hoster kregen.
Ik heb even ons IP-adres veranderd.
Hoop dat er verder niets instaat wat mensen kunnen misbruiken.
Er is al aangepast dat er iedere keer 15 mails verstuurd kunnen worden.
Per dag gaan er 4 sets van 15 weg.
Ieder keer op dezelfde tijd.
Het email adres dat schijnbaar gebruikt word staat ook in de file's in ubuntu en is een mail adress van de persoon die de server heeft ingericht.
Hij is een goede vriend van ons en is te vertrouwen.
Maar als we het op kunnen lossen door dat email eruit te halen dan doen we dat.

Origineel bericht
> ==============================
> [ SpamCop V4.8.1.007 ]
> This message is brief for your comfort. Please use links below for details.
>
> Email from IP-ADRES ONZE SERVER/ Fri, 06 Dec 2013 05:24:58 -0500
> http://www.spamcop.net/DIT HEB IK OOK EVEN WEGGEHAALD
>
> [ Offending message ]
> Return-Path:
> Delivery-Date: Fri, 06 Dec 2013 05:24:58 -0500
> Received: from server.game-media.nl (hosted.by.pcextreme
> by mx.perfora.net (node=mxus1) with ESMTP (Nemesis)
> id 0Lk6s6-1VIIvT1g3m-00cDS9 for x; Fri, 06 Dec 2013 05:24:58 -0500
> Received: from admin by server.game-media.nl with local (Exim 4.80.1)
> (envelope-from )
> id 1Vosad-0003N7-9R
> for x; Fri, 06 Dec 2013 11:24:55 +0100
> To: x
> Subject: [spam] Voice Message
> X-PHP-Originating-Script: 1003:a7bd4e.php(1) : eval()'d code
> From: "WhatsApp"
> X-Mailer: CSWMSAutoMailer:reg
> Reply-To: "WhatsApp"
> Mime-Version: 1.0
> Content-Type: multipart/alternative;boundary="----------138632549552A1A5F7419A6"
> Message-Id:
> Sender:
> Date: Fri, 06 Dec 2013 11:24:55 +0100
> Envelope-To: x
> X-BitdefenderWKS-SpamStamp: Build: [Engines: 2.15.3.17856, Stamp: 3],
> Multi: [Enabled], BW: [Enabled], APM: [Disabled], URL: [Enabled],
> RTDA: [Enabled, Hit: Yes, Details: v1.7.4; Id:
> 2m1gghj.18aq3lf9q.1e6ok; fipr(1)], total: 1000(775)
> X-BitdefenderWKS-Spam: Yes - 1000
>
> ------------138632549552A1A5F7419A6
> Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
> Content-Transfer-Encoding: 7bit
>
> WhatsApp
>
> You have a new Voice Message!
>
> Message Details:
>
> Time of Call:
> Dec-01 2013 06:26:
> 26
> Lenth of Call:
> 26sec
>
> 111
>
> Play
>
> *If you cannot play, move message to the "Inbox" folder.
>
> 2013 WhatsApp Inc
>
> ------------138632549552A1A5F7419A6
> Content-Type: text/html; charset="ISO-8859-1";
> Content-Transfer-Encoding: 7bit
>
> WhatsApp
>
> You have a new Voice Message!
>
> Message Details:
>
> Time of Call:
> Dec-01 2013 06:26:
> 26
> Lenth of Call:
> 26sec
>
> 111
>
> Play
>
> *If you cannot play, move message to the "Inbox" folder.
>
> 2013 WhatsApp Inc
>
> ------------138632549552A1A5F7419A6--
>

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #2 Gepost op: 2013/12/15, 16:37:05 »
[quote]
> X-PHP-Originating-Script: 1003:a7bd4e.php(1) : eval()'d code

Dit lijkt erop te wijzen dat er een lek zit in je website. De aanvallers hebben dit lek misbruikt om je webserver te hacken en hebben een nieuw php-bestand geplaatst. En dat bestand wordt nu gebruikt om spam te sturen vanaf je server.

Wil je de spam stoppen, dan zal je je website offline moeten halen en helemaal na moeten kijken.

1003 is de uid van de gebruiker die de spam verstuurt (waarschijnlijk de gebruiker waaronder de webserver draait) en a7bd4e.php is de bestandsnaam van het script.
« Laatst bewerkt op: 2013/12/15, 16:41:38 door Johan van Dijk »

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #3 Gepost op: 2013/12/15, 17:20:03 »
Die a7bd4e.php hadden we dus gevonden en is verwijderd.
Toch word er nog iets verstuurd.

Nog eens even gekeken in de directadmin, vandaag is er niets meer verstuurd, dus ben benieuwd.
Die file is er de 13-12 vanaf gehaald.
« Laatst bewerkt op: 2013/12/15, 17:26:47 door DrHouse »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #4 Gepost op: 2013/12/15, 18:33:36 »
Alleen het weghalen van dat bestand is niet genoeg, want hoe is dat bestand er in de eerste plaats gekomen? Als er een lek zit in je website heb je zo weer een probleem. Verder kunnen er wel meer dingen aangepast zijn behalve dat ene bestand. Denk aan een aanpassing in je php scripts die alle wachtwoorden steelt of alle andere gegevens van je bezoekers. Het is ook nog mogelijk dat men je site zo heeft aangepast dat die de bezoekers probeert te besmetten met malware.

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #5 Gepost op: 2013/12/15, 21:52:47 »
Ik zou allereerst een schone herinstallatie doen. En daarna de bewuste persoon die dit heeft veroorzaakt, nimmermeer met z'n gloeiende tengels aan de server laten komen.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #6 Gepost op: 2013/12/15, 22:01:00 »
Ik zou allereerst een schone herinstallatie doen.
Dat zou je kunnen doen, omdat je niet precies weet wat een evt. indringer allemaal gedaan heeft. Als het alleen een lekker website is en er geen toegang was tot de rest van het systeem dan lijkt me dat wel wat overdreven.

Citaat
En daarna de bewuste persoon die dit heeft veroorzaakt, nimmermeer met z'n gloeiende tengels aan de server laten komen.
Het kan iedereen een keer gebeuren, want er worden dagelijks fouten gevonden in allerlei stukken software. Ben je een keer te laat of heb je iets over het hoofd gezien dan heb je al een probleem. Bij een zgn. zero day-exploit kan je er niets aan doen. Het grootste probleem voor nu is dat hij afhankelijk is van 1 persoon en die is nu niet beschikbaar. Dan zou ik liever versterking zoeken voor die persoon.

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #7 Gepost op: 2013/12/16, 20:44:38 »
Die persoon is even op Skype geweest.
We gaan de wachtwoorden eens veranderen en anders andere hulp in roepen.
Verder hebben wij er niet veel kaas van gegeten dus dat is ook een probleem.
Wanneer ik nog nieuws heb zal ik het melden hier.
De mails zijn er weer en nu geeft hij aan dat het via phpmailer.php gaat

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #8 Gepost op: 2013/12/19, 23:09:14 »
Ik heb ook al een steunpunt ingeschakeld.
Alleen nog even wachten op antwoord.
Ook heb ik al de file admin.bytes en de mainlog van exim geupload.
Als iemand daar misschien iets uit kan halen, dan PM ik die wel naar iemand die misschien kan helpen.
Of misschien via Skype?
« Laatst bewerkt op: 2013/12/19, 23:20:46 door DrHouse »

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #9 Gepost op: 2014/01/04, 13:34:50 »
Dit wilde ik nog even melden.
7 dagen geleden hebben wij een update van Directadmin gehad.
En daarna worden er geen mails meer verstuurd.
Dus hopen dat het nu opgelost is.

Offline DrHouse

  • Lid
  • Steunpunt: Nee
Re: Er word spam verstuurd
« Reactie #10 Gepost op: 2014/01/13, 21:32:20 »
Tot nu toe geen spam meer verstuurd.
Dus dit sluit ik maar.