Ich habe prim?r ein Linux-Problem, vermutlich nicht Froxlor-bezogen. Sofern jemand einen Hinweis hat, w?re ich trotzdem Amazonwishlist-Dankbar...
Folgende Sitaution: User mit Wordpress-Installation, ?bernommen von anderem Server (1: copy inkl. DB). Sp?ter stellt sich heraus, Template vom Wordpress l?dt ein "alternatives" jQuery nach, welches Besucher auf russische Seiten weiterleitet. Gel?scht, gelacht, gut so. Das war es aber noch nicht, drei Tage sp?ter kommen die ersten Abuse-Meldungen. Offenbar hatte der USer die glorreiche Idee seine Cache und Upload Directories auf 777 zu chmoden und das Wordpress-Template war auch noch nicht so richtig sauber. Nach einigen base64 dekodierungen alle m?glichen Spamscripts gefunden, postqueue gel?scht etc.
Konsequenz: rm -R Userfolder.
Jetzt aber wirds dann interessant, denn der Spam hat nicht aufgeh?rt. Spamcop + GMX berichten von Spam, der von diesem Server gekommen sein soll.
[ SpamCop V4.8.2.018 ]
This message is brief for your comfort. Please use links below for details.
Email from 85.25.195.7 / Tue, 14 Apr 2015 17:11:52 -0400
https://www.spamcop.net/w3m?i=z6294233036z971cfd0db37b574fbfcd5b4835d39ac8z
[ Offending message ]
Return-Path: <dow@quingroup.com>
Received: from mx-austrian.atl.sa.earthlink.net ([207.69.195.31])
by mdl-increase.atl.sa.earthlink.net (EarthLink SMTP Server) with SMTP id 1yI87D7rm3Nl36Z0; Tue, 14 Apr 2015 17:11:53 -0400 (EDT)
Received: from spock.bigbytes.at ([85.25.195.7])
by mx-austrian.atl.sa.earthlink.net (EarthLink SMTP Server) with SMTP id 1yI87C6Av3Nl34j0
for <x>; Tue, 14 Apr 2015 17:11:52 -0400 (EDT)
Subject: Kwestcott For precepts over dignified ;-)
Content-Type: text/html; charset=UTF-8
Confident-Conquer-Tartness: cf5d273d
Handles-Identification-Nondeterminacy: 4cd294e9acb
Cranny-Backstop-Breast: slowly
Content-Transfer-Encoding: 7bit
From: Julie <dow@quingroup.com>
MIME-Version: 1.0
To: x
Date: Tue, 14 Apr 2015 23:11:53 +0000
Utilizing-Asiatics: 8a542a7f53
Message-ID: <5af3_____________________________a31c@quingroup.com>
X-ELNK-Received-Info: spv=1;
X-ELNK-AV: 0
<html>
(Blabla hab ich rausgeschnitten)
</html>
- Der Server ist kein Open Relay.
- Die Mail Logs sind clean, es l?uft also nicht ?ber den Mailserver.
- Per PHP scheint das auch nicht zu laufen, phpmail.log (mail.add_x_header / mail.log) ist clean.
- root scheint sicher, keine Auff?ligkeiten in den Logs, ChkrootKit, rkhunter etc. zeigen auch nix
Also was bleibt? Ich schau mit die laufenden Prozesse an und sehe:
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
www-data 1186 7.2 0.0 35776 8700 ? Rs Apr06 1044:28 httpd
www-data 21653 6.8 0.0 36048 7188 ? Ss Mar27 1980:16 httpd
www-data 8241 1.7 0.0 333700 24112 ? S 17:28 0:00 /usr/sbin/apache2
www-data 8233 1.6 0.0 334668 31184 ? S 17:28 0:00 /usr/sbin/apache2
Die beiden www-data an erster und zweiter stelle sind mir dann doch ein wenig verd?chtig vorgekommen. Vor allem bei der CPU-Auslastung...
Prozesse gekillt, einmal gro?es FuckIt und reboot. Derzeit scheint wieder Ruhe eingekehrt zu sein.
Beim durchsehen der /customers f?llt mir auf, dass einige Ordner www-data als Besitzer und Gruppe haben. Eindeutig mein Fehler, hab ich nicht darauf geachtet und inzwischen jedem das zugeordnet, was ihm geh?rt.
Meine Frage: WTF ist hier passiert? Und WTF hab ich hier falsch gemacht? Ich bin kein blutiger Anf?nger, aber das ?berfordert mich jetzt dann schon gewaltig, weil ich derzeit nicht mal verstehe, was passiert, geschweige denn wie ich es in Zukunft verhindern kann...
Question
ometiclan
Hallo Welt!
Ich habe prim?r ein Linux-Problem, vermutlich nicht Froxlor-bezogen. Sofern jemand einen Hinweis hat, w?re ich trotzdem Amazonwishlist-Dankbar...
Folgende Sitaution: User mit Wordpress-Installation, ?bernommen von anderem Server (1: copy inkl. DB). Sp?ter stellt sich heraus, Template vom Wordpress l?dt ein "alternatives" jQuery nach, welches Besucher auf russische Seiten weiterleitet. Gel?scht, gelacht, gut so. Das war es aber noch nicht, drei Tage sp?ter kommen die ersten Abuse-Meldungen. Offenbar hatte der USer die glorreiche Idee seine Cache und Upload Directories auf 777 zu chmoden und das Wordpress-Template war auch noch nicht so richtig sauber. Nach einigen base64 dekodierungen alle m?glichen Spamscripts gefunden, postqueue gel?scht etc.
Konsequenz: rm -R Userfolder.
Jetzt aber wirds dann interessant, denn der Spam hat nicht aufgeh?rt. Spamcop + GMX berichten von Spam, der von diesem Server gekommen sein soll.
- Der Server ist kein Open Relay.
- Die Mail Logs sind clean, es l?uft also nicht ?ber den Mailserver.
- Per PHP scheint das auch nicht zu laufen, phpmail.log (mail.add_x_header / mail.log) ist clean.
- root scheint sicher, keine Auff?ligkeiten in den Logs, ChkrootKit, rkhunter etc. zeigen auch nix
Also was bleibt? Ich schau mit die laufenden Prozesse an und sehe:
Die beiden www-data an erster und zweiter stelle sind mir dann doch ein wenig verd?chtig vorgekommen. Vor allem bei der CPU-Auslastung...
Prozesse gekillt, einmal gro?es FuckIt und reboot. Derzeit scheint wieder Ruhe eingekehrt zu sein.
Beim durchsehen der /customers f?llt mir auf, dass einige Ordner www-data als Besitzer und Gruppe haben. Eindeutig mein Fehler, hab ich nicht darauf geachtet und inzwischen jedem das zugeordnet, was ihm geh?rt.
Meine Frage: WTF ist hier passiert? Und WTF hab ich hier falsch gemacht? Ich bin kein blutiger Anf?nger, aber das ?berfordert mich jetzt dann schon gewaltig, weil ich derzeit nicht mal verstehe, was passiert, geschweige denn wie ich es in Zukunft verhindern kann...
Link to comment
Share on other sites
5 answers to this question
Recommended Posts
Archived
This topic is now archived and is closed to further replies.