[Postfixbuch-users] einbruch/hack/spam rausfinden wo/wie die mails kamen etc.

Heiner Mueller hm0 at gmx.net
Do Sep 14 14:51:20 CEST 2006 

> > Ich weiß zwar ca. wie der Einbruch erfolgt ist bzw wie er an
> > root-rechte gelangt ist, es würde mich aber noch interessieren wo/wie
> > die Spam-Mails abgesetzt wurden (haben als Absender uid 0 / root at ...)
> > damit da nicht noch Spam verschickt wird, nachdem die ursprüngliche
> > Lücke gestopft ist. Also z.B. läuft/lief da ein Script local, hat der
> > ein Webform, hat er via SMTP eingeliefert ... ? => kann man das
> > feststellen?
> 
> Wenn die Mails über Postfix liefen, dann schau dir das Log an. Falls die 
> Mails über SMTP eingeliefert wurden, fängt die Sache mit
> "postfix/smtpd [????] connect from ..." an, wenn über die Kommandozeile 
> per /usr/sbin/sendmail gearbeitet wurde, dann mit
> "postfix/pickup [????] Queue-ID: : uid=1234 from=<username>"

danke - werde ich nacher gleich machen.
Hatte zwar (natürlich) in die Logs gesehen - aber da das 2-3 Tage so ging (ca.) ist das halt etwas unübersichtlich

 
> > Da noch einige Spam-Mails in active etc. liegen würde ich die
> natürlich
> > vorm Neustart gerne löschen (arbeite gerade auf nem Notfallsystem). 
> > Kann ich einfach die Order A, B, ... löschen (d.h. werden die wieder
> > frisch angelegt) oder muß ich jede einzelne löschen?
> 
> Setze einfach alle Mails vorerst auf HOLD:
> postsuper -h ALL
> 
> Danach kannst du dann mit "postsuper -d Queue-ID" die Müllmail löschen.
> Für Details schau dir "man postsuper" an.

hm funtktionier aber wohl nur bei laufenden System?!
hab die Platte (via Notsystem) nach /mnt gemountet (also z.B. ist jetzt /mnt/var/spool/postfix/... statt /var/...)
werde den dienst vorm starten aber einfach mal deaktivieren.

> Vergiss es. NICHT neu installieren ist keine Option.

hast du recht - ist aber momentan für den Kundne nicht drin - läuft am Freitag ne wichtige Demo/Anwendung drauf (jaja ich weiß: das verträgt sich mit nem gehackten System nicht besonders...). Daher muß der Server "irgendwie" noch einige Tage durchhalten :(


-- 
"Feel free" - 10 GB Mailbox, 100 FreeSMS/Monat ...
Jetzt GMX TopMail testen: http://www.gmx.net/de/go/topmail

Mehr Informationen über die Mailingliste Postfixbuch-users