Ankündigung

Einklappen
Keine Ankündigung bisher.

Mailserver versendet spam

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Mailserver versendet spam

    Hey Leute,

    ich verzweifle gerade... seit Freitag versendet mein Server Spam ohne Ende.. ich habe den qMailserver bereits heruntergefahren damit nichts rausgeht. Aber so sieht es momentan in meinem mail.log aus:

    HTML-Code:
    Aug 21 18:53:16 rv1337 qmail-queue-handlers[10853]: to=cjhagen@cox.net
    Aug 21 18:53:16 rv1337 qmail-queue-handlers[10853]: handlers_stderr: SKIP
    Aug 21 18:53:16 rv1337 qmail-queue-handlers[10853]: SKIP during call 'check-quota' handler
    Aug 21 18:53:16 rv1337 qmail-queue-handlers[10853]: starter: submitter[10855] exited normally
    Aug 21 18:53:25 rv1337 qmail-queue-handlers[10861]: Handlers Filter before-queue for qmail started ...
    Aug 21 18:53:25 rv1337 qmail-queue-handlers[10861]: from=garcia1997@afterhoursdj.net
    Aug 21 18:53:25 rv1337 qmail-queue-handlers[10861]: to=1556513830@ehealties.info
    Aug 21 18:53:25 rv1337 qmail-queue-handlers[10861]: handlers_stderr: SKIP
    Aug 21 18:53:25 rv1337 qmail-queue-handlers[10861]: SKIP during call 'check-quota' handler
    Aug 21 18:53:25 rv1337 qmail-queue-handlers[10861]: starter: submitter[10863] exited normally
    Aug 21 18:53:29 rv1337 qmail-queue-handlers[10870]: Handlers Filter before-queue for qmail started ...
    Aug 21 18:53:29 rv1337 qmail-queue-handlers[10870]: from=wach@bredband.net
    Aug 21 18:53:29 rv1337 qmail-queue-handlers[10870]: to=terrilynn@herrealtors.com
    Aug 21 18:53:29 rv1337 qmail-queue-handlers[10870]: handlers_stderr: SKIP
    Aug 21 18:53:29 rv1337 qmail-queue-handlers[10870]: SKIP during call 'check-quota' handler
    Aug 21 18:53:29 rv1337 qmail-queue-handlers[10870]: starter: submitter[10872] exited normally
    Aug 21 18:53:31 rv1337 qmail-queue-handlers[10875]: Handlers Filter before-queue for qmail started ...
    Aug 21 18:53:31 rv1337 qmail-queue-handlers[10875]: from=jodiekaytanakeyowma@cgb.com
    Aug 21 18:53:31 rv1337 qmail-queue-handlers[10875]: to=ncbolda@msn.com
    Aug 21 18:53:31 rv1337 qmail-queue-handlers[10875]: handlers_stderr: SKIP
    Aug 21 18:53:31 rv1337 qmail-queue-handlers[10875]: SKIP during call 'check-quota' handler
    Aug 21 18:53:31 rv1337 qmail-queue-handlers[10875]: starter: submitter[10877] exited normally
    Aug 21 18:53:34 rv1337 qmail-queue-handlers[10880]: Handlers Filter before-queue for qmail started ...
    Aug 21 18:53:34 rv1337 qmail-queue-handlers[10880]: from=takamurahanel@archmil.org
    Aug 21 18:53:34 rv1337 qmail-queue-handlers[10880]: to=svanderbeek@woodlandmotors.com
    Aug 21 18:53:34 rv1337 qmail-queue-handlers[10880]: handlers_stderr: SKIP
    Aug 21 18:53:34 rv1337 qmail-queue-handlers[10880]: SKIP during call 'check-quota' handler
    Aug 21 18:53:34 rv1337 qmail-queue-handlers[10880]: starter: submitter[10882] exited normally
    Aug 21 18:53:38 rv1337 qmail-queue-handlers[10885]: Handlers Filter before-queue for qmail started ...
    Aug 21 18:53:38 rv1337 qmail-queue-handlers[10885]: from=melo1956@xwave.com
    Aug 21 18:53:38 rv1337 qmail-queue-handlers[10885]: to=oud.elbaz@bms.com
    Aug 21 18:53:38 rv1337 qmail-queue-handlers[10885]: handlers_stderr: SKIP
    Aug 21 18:53:38 rv1337 qmail-queue-handlers[10885]: SKIP during call 'check-quota' handler
    Aug 21 18:53:38 rv1337 qmail-queue-handlers[10885]: starter: submitter[10887] exited normally
    Ich schaue schon seit Tagen.. Mein Server ist ein Ubuntu und ich habe alles über Plesk laufen. Dort habe ich auch "relaying" auf "nur mit authorisierung" eingestellt. Ich weiß nicht wie ich weitermachen muss um das problem in den griff zu kriegen. Ich weiß nicht ob jemand direkt auf meinem Server ist und dort ein Script laufen lässt? (finde nix ungewöhnliches in den Prozessen) .. ich weiß nicht ob vielleicht auch nur ein einzelnes E-Mail Konto gehackt wurde (wegen schwachem Passwort?) habe soweit schon fast alle neu gesetzt.. oder ob ich nach außen für irgendeinen exploit offen bin? Könnt ihr mir bitte helfen und sagen wie ich die Ursache einkreise? Gibt es irgendwelche logs wo ich z.B. das Problem auf ein Konto einschränken kann? Oder sehe von wo welche zugriffe kommen?

    Hier noch ein Screenshot von netstat:
    GELÖSCHT


    die durchgestrichnene ips bin ich. die anderen kommen aus holland und kenne ich nicht... ist das ein hinweis? wenn ja was kann ich unternehmen um den loszuwerden? ich will ja grundsätzlich zugriff von überall erlauben. nur halt authorisierten...


  • #2
    problem gelöst.

    eine wordpress installation war scheinbar "gehackt worden". habe gefunden indem ich nach vor kurzem modifizierten php dateien auf dem server gesucht habe.

    habe die wordpress installation in plesk einfach suspended und schon hat der spam aufgehört.

    Kommentar


    • #3
      Ja Wordpress wird leider oft gehackt aufgrund seiner Berühmtheit. Am besten Updates immer relativ zügig einspielen, auch von den Drittherstellern (Plugins)

      Vielleicht hilft dir die Auswahl an Seiten für den nächsten Check:

      https://geekflare.com/online-scan-we...lnerabilities/

      Kommentar

      Lädt...
      X