könnte auch sein das über einen gehackten Email Account gesendet wird, kommt in letzter Zeit sehr häufig vor ...
Im header der Mails ist dies übrigens auch zu erkennen:
authenticated user ...
oder bei PHP mails sollte auch der System User vuxxx angegeben sein
falls Punkt 1 zutrifft sollten die Passwörter der betroffenen Mailaccounts erst mal durch den Admin geändert werden, der User soll später sichere neue Passwörter verwenden und keine Mails mit Zugangsdaten in Mailaccounts speichern ...
bei Punkt 2 würde ich sofort alle Dateien aus diesem Web irgendwo sichern und dann die im Web löschen, der User muss dann eine neue saubere Installation hochladen, auch den phptmp folder checken.
Auch alle Passwörter des Users sollten geändert werden Panel, FTP usw.
Posts by fulltilt
-
-
-
Hi,
if I have understood correctly, it relates to the module "mod_copy".
When I run "proftpd -vv" there is no module "mod_copy" loaded. So I think, it is secure. What show "proftpd -vv on your server?Greets
ChrisHi Chris, mod_copy was loaded ...
-
now I have disabled mod_copy in /etc/proftpd/modules.conf
# LoadModule mod_copy.c
no idea if it works ... -
I think you must wait for the fix is official or compile ProFTP from Github...
do you think it's possible that also other copys of config files f.ex. imscp.conf can be stored in /tmp
Quotemod_copy module's SITE CPFR/SITE CPTO commands; mod_copy allows these commands
to be used by *unauthenticated clients
### edit ###
this morn I found a /tmp/passwd.copy of four other server -
today I have found a copy of /etc/passwd in /tmp/passwd.copy
seems there is a bug in ProFTPD
http://bugs.proftpd.org/show_bug.cgi?id=4169
https://www.exploit-db.com/exploits/36742/################
you should disable mod_copy in ProFTPD -
wow, excellent !!!
thanks -
if a customer logged into the panel he is able to read important notifications and the admin have a proof that logged customers were informed ...
these contents or maintenance stuff must not be intended for the public -
would it be possible to add a message section in client and reseller overview page?
so the admin can post important news fex. news for maintenance work ... -
I still have to remove the resolv.conf link from /etc and add a new resolv.conf when using external NS
is that ok or may cause problems?