[Postfixbuch-users] Spam-Versand via Localhost

Peer Heinlein p.heinlein at heinlein-support.de
Sa Jan 19 13:08:57 CET 2013 

Am 19.01.2013 10:59, schrieb Dominic Pratt:


Hi,

> Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige
> Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

Also zunächst kannst Du mit "lsof -i :25" mal schauen, wer hier welche
Prozesse zu Deinem Port 25 offen hat. Dann siehst Du, wer die
TCP-Verbindung geöffnet hat.

Anschließend muß man die Ergebnisse natürlich auch interpretieren. Ist
tatsächlich ein gehacktes System im spiel, werden die Port-25-Clients
typischerweise unter wwwrun/www-data-Rechten laufen. Ist ein echtes
Rootkit im spiel, laufen sie unter root-Rechten. Häufig haben die
Programme dahinter einen komischen Namen oder versuchen sich irgendwie
zu tarnen. Bei einem meiner letzten Fälle hieß das Programm einfach nur
"3" damit es im zahlengewusel untergeht.

Wenn Du die Prozesse siehst, dann hast Du auch die Prozeß-ID davon. Mit
der kannst Du dann rangehen, näheres darüber zu erfahren.

Ein "lsof | grep <prozessid>" liefert Dir zum beispiel eine Übersicht,
welche Filehandles dieser Prozeß offen hat.

Oft haben die dann als eigentliches Binary eine Datei in /tmp, die
mittlerweile wieder gelöscht wirden ist (steht dann "deleted" dahinter).
Das sind dann so typische Fälle wenn beispielsweise über PHP-Injection
der Code auf die Platte gespeichert und mittels system() und exec()
gestartet worden ist und sich dann gleich wieder selber löscht (aber ja
trotzdem weiterläuft).

Am Ende bleibt dann natürlich noch die Analyse, WIE und WOHER der Code
auf die Platte kam.

Aber, auch das kann ja sein: Am Ende hat das ganz andere Ursachen und
das sind "zulässige" Verbindungen, die doch auf ganz anderem Wege
zustande kommen.

> Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind
> mit unseren Latein am Ende.

Wenn die Luft wirklich brennt können wir Dir bei sowas helfen:

030 / 40 50 5 - 110

ist unser 24/7/365-Hotline und gehackte spammende Server haben wir da
mehrmals die Woche.

Demnächst werde ich zwei schöne Fälle gehackter Server bei uns im Blog
veröffentlichen, bzw. auf der CeBIT haben wir einen Vortrag dazu...

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin

Mehr Informationen über die Mailingliste Postfixbuch-users