Spammails - Server kompromittiert

  • Hallo ihr Lieben, könnt ihr mir wohl helfen? Ich denke mein Server wurde gehackt, aber ich weiß nicht so ganz wie und was ich jetzt machen kann.


    Debian 8


    mail.log:


  • What makes you think that you have been hacked?

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

  • Hast Du irgendetwas auf Deinem Server eingerichtet um solche Meldungen zu prüfen

    Code
    1. warning: ds7478.dedicated.turbodns.co.uk[94.136.53.87]: SASL LOGIN authentication failed: UGFzc3

    Dafür gibt es Fail2Ban..

  • warning: ds7478.dedicated.turbodns.co.uk[94.136.53.87]: SASL LOGIN authentication failed: UGFzc3

    But that doesn't mean that it server has been hacked... That's why I asked him... The problem with people that don't known much about how the services are working is that they are getting stressed each time they see a simple warning. Fail2ban will help mitigate dictionary attacks but this will not help him to understand how the thing is working ^^

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

  • I do get a lot of "undelivered mail returned to sender"


    First I thought it might be a compromised php website and I catched all the phpmails, but they havent been the issue.



    Code
    1. 20.5. 18:02 was the outgouing mail
    2. Final-Recipient: rfc822; dr.malinka@azet.sk
    3. Original-Recipient: rfc822;dr.malinka@azet.sk
    4. Action: failed
    5. Status: 5.1.1
    6. Remote-MTA: dns; 127.0.0.1
    7. Diagnostic-Code: smtp; 550 5.1.1 <dr.malinka@azet.sk>: Recipient address
    8. rejected: User unknown

    it might also be possible that I only get rebounds of the mailservers who doesnt check rdns and think that for example server2.axxx.de is one of my servers

  • This is no indiez for hacking your server. Possibly a customer has sent a newsletter and there are so many returns

  • This is the mail content, and there are a few similar mails every day


  • Hi @Moonraker136,


    ein ähnliches Problem hatte ich im Januar und April.
    Da wurde nicht mein Server gehackt, sondern es wurde von vServern eines Mitbewerbers in meinem Namen SPAM verschickt.


    Schau Dir den kompletten Quelltext der Mail an und such dort nach dem letzten Received from


    BEISPIEL:

    Der Bereich:
    Received: from vps-xxxxxx.xxxxxxx-xxxx.com (vps-xxxxxxxx-xxxxx.xxxxx-xxxxx.com [999.999.999.999]) <-- NICHT MEIN SERVER
    Meiner ist der 1.2.2.1


    Nachdem ich mit dem Anbieter gesprochen habe und die den vServer vom Netz genommen haben, war Ruhe.


    Schau mal ob das bei Dir auch so ist. Wenn ja, dann such den Anbieter und klopf ihm auf die Finger.

  • Nuxwin

    Closed the thread.