[Postfixbuch-users] einbruch/hack/spam rausfinden woher die mails kamen (neu)

[Ralf Hildebrandt]

* hm0 at gmx.net <hm0 at gmx.net>:
> (nochmal eigenes thema)
> 
> Hallo,
> 
> in den Server eines Kunden wurde eingebrochen und zum Spam-/Phishing/etc. Versand verwendet.
> 
> Aufgefallen ist das Ganze, weil der Server auf entsprechenden blacklists gelandet ist.
> 
> Ich weiß zwar ca. wie der Einbruch erfolgt ist bzw wie er an root-rechte gelangt ist, es würde mich aber noch interessieren wo/wie die Spam-Mails abgesetzt wurden (haben als Absender uid 0 / root at ...) damit da nicht noch Spam verschickt wird, nachdem die ursprüngliche Lücke gestopft ist.
> Also z.B. läuft/lief da ein Script local, hat der ein Webform, hat er via SMTP eingeliefert ... ?
> => kann man das feststellen?

lokaler Aufruf von sendmail als root.
 
> Da noch einige Spam-Mails in active etc. liegen würde ich die
>natürlich vorm Neustart gerne löschen (arbeite gerade auf nem
>Notfallsystem).

postsuper -d ALL

> Kann ich einfach die Order A, B, ... löschen (d.h. werden die wieder
> frisch angelegt) oder muß ich jede einzelne löschen?   

Bitte, bitte, bitte: Postfix Docs lesen.

> Hat sonst noch jemand generell Tips/Hinweise zum Thema (Einbruch) =>
> hab zwar mit chkrootkit einige manipulierte files gefunden, aber
> /etc/ssh2 z.B. kommt mir auch nicht ganz ok vor (zumal ssh nicht mehr
> ging).    

Na sowas: Kiste neu aufsetzen.
-- 
Ralf Hildebrandt (Ralf.Hildebrandt at charite.de)          spamtrap at charite.de
Postfix - Einrichtung, Betrieb und Wartung       Tel. +49 (0)30-450 570-155
http://www.postfix-buch.com
Why you can't find your system administrators:
ObReason n+x: Your system administrator is walking in circles outside saying "TUESDAY? They want it by TUESDAY? TUESDAY?" -- Stephan Zielinski szielins at us.oracle.com