Webserver blijft SPAM versturen. mxs.mail.ru - Serversoftware en Windows Servers

donderdag 29 augustus 2013 22:58

Acties:

0Henk 'm!

Ik zit met een probleem.
Ik heb een Webserver Windows 2008 R2 64bits, met IIS7.
Hierop draaien enkele websites. (20 stuks)

Wanneer men via een contactformulier een mail verstuurd op een van de website,
dan gebeurt door sendmail.exe welke op de server staat.
Deze wordt aangeroepen vanuit de php.ini

sendmail_path = "d:\sendmail\sendmail.exe -t"

Echter verstuurd de server om de zoveel uur flink wat SPAM vanuit mxs.mail.ru (IP 94.100.176.20)
Ik heb de server gescand met, MSERT, MBAR, Malware Bytes Pro (versie gekocht),
Kaspersky 6. Tevens heb ik alle Windows updates gedraaid.
Echter blijft de server aan de gang, wel met een iets lagere frequentie maar het blijft doorgaan.

Ik vermoed allemaal dat er ergens iets in de code van een van de websites zal zitten.
Alleen hoe kom ik er achter welke website het is. (ik kan niet zomaar websites offline gaan halen)

Ik heb ook een debug log aangezet op de sendmail tool.
Maar die geeft alleen maar de volgende info

13-08-29 22:17:02 ** --- MESSAGE END ---
13-08-29 22:17:02 ** Connecting to smtp.com:25
13-08-29 22:17:03 ** Connected.
13-08-29 22:17:03 << 220 smtp.com ESMTP Service ready<EOL>
13-08-29 22:17:03 >> EHLO server.domein.nl<EOL>
13-08-29 22:17:03 << 250-smtp.com Hello [1.2.3.4], nice to meet you<EOL>250-SIZE 35000000<EOL>250 HELP<EOL>
13-08-29 22:17:03 >> MAIL FROM: <info@domein.nl><EOL>
13-08-29 22:17:03 << 250 <info@domein.nl>... Sender ok<EOL>
13-08-29 22:17:03 >> RCPT TO: <abbatikov.artem@mail.ru><EOL>
13-08-29 22:17:03 << 250 Recipient ok<EOL>
13-08-29 22:17:03 >> DATA<EOL>
13-08-29 22:17:03 << 354 Start mail input, end with "." on a line by itself<EOL>
13-08-29 22:17:03 >> Date: Thu, 29 Aug 2013 22:17:03 +0200<EOL>
13-08-29 22:17:03 >> To: abbatikov.artem@mail.ru<EOL>
13-08-29 22:17:03 >> Subject: Àðòåì Àááàòèêîâ<EOL>
13-08-29 22:17:03 >> MIME-Version: 1.0<EOL>
13-08-29 22:17:03 >> Content-type: text/html; charset=windows-1251<EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <head><EOL>
13-08-29 22:17:03 >> <title></title><EOL>
13-08-29 22:17:03 >> </head><EOL>
13-08-29 22:17:03 >> <body><EOL>
13-08-29 22:17:03 >> <a href="http://gi-art.com/foolbya.php">Äîáðûé äåíü, Àðòåì Àááàòèêîâ çàðàáîòîê 1500$, ñèäÿ äîìà!</a> <EOL>
13-08-29 22:17:03 >> Íó ÷òî, òèêàþò? - ëàäíî, ïàðî÷êà çàñêîêîâ, è òåïåðü. Ìîëèñü, ãîâîðèò, â öåðêîâü õîäè., êàòàë ïî ðàéîíó ñîñåäåé è. Ñåðãåé Äìèòðèåâè÷ àêêóðàòíî ïðîïîëîñêàë áðèòâó, Îëüãà Èâàíèöêàÿ, â îòëè÷èå îò êðîâü, íî êðîâè íå áûëî, è ðàçìûøëÿÿ, êàê áûòü. - Î÷åíü íàäî, - íàñòîé÷èâî òî îíà ñî âòîðîé ôðàçû ïîñëåäíåå âðåìÿ ñòàëà êîñî íà æèçíè â ñòîëèöå òàê è íå õîòåëîñü óêðåïëÿòü åå ïîäîçðåíèÿ.<EOL>
13-08-29 22:17:03 >> Äàâíî íà íàðàõ íå íî÷åâàë? Åñëè òû òàêîé óìíûé, âðÿä ëè ìîã ìíîãîå ðàññêàçàòü î ãîñïîäèíå Íàáóêè - íó òàêèå öåëè, êàê çàêóïêà ïðîäóêòîâ äëèííîé ñòðóåé âûïóñêàÿ â åãî. Èëàðèîíó áûë çíàêîì ýòîò âçãëÿä, è ïîëó÷åííûå îò Çàáðîäîâà äåíüãè ñëåãêà çàòóìàíèëè åãî ðàññóäîê, íî ÷òî óæå çàâòðà óòðîì ïîêèíåò ðàçâå ÷òî ïîäðîáíîñòè, íå èìåâøèå. Íå ïðèâûêøåìó ê îòåëüíûì ïîðÿäêàì ëåéòåíàíò è, íà õîäó íàõëîáó÷èâàÿ è ïîñåëêîâûì ìåäïóíêòàì - ñëîâîì, ïåðèîäè÷åñêè ïîñåùàåòñÿ ñîâåðøåííî ïîñòîðîííèìè ëþäüìè.<EOL>
13-08-29 22:17:03 >> È òîãäà äîáðûé äÿäÿ Ñåðåæà ñî ñòåíû ïîñëåäíÿÿ ÷åðòî÷êà ñåðåáðà íîâîãî çíàêà, ÷òîáû äîðîãà äëÿ.<EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> Âû æå çíàåòå, ÿ åãî ïîòåðÿ, ó ìåíÿ òàêîé åùå.<EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> .<EOL>
13-08-29 22:17:03 << 250 52203CBF-0 Message accepted<EOL>
13-08-29 22:17:03 >> QUIT<EOL>
13-08-29 22:17:03 << 221 smtp.com Service closing transmission channel<EOL>
13-08-29 22:17:03 ** Disconnected.

En dit gaat dan zo door, echter telkens veranderd de URL in de mail ook.

Iemand een idee wat te doen?

donderdag 29 augustus 2013 23:24

Acties:

0Henk 'm!

Cheatah

Lágrimas negras

Huur iemand in die het wel kan. Niet alleen ben je niet in staat om het betreffende lek te vinden, je zoekt ook nog eens in de verkeerde hoek als je met malware- en virusscanners aan de gang gaat om een lek in een webformulier te vinden.

Begin eens met een capture van het netwerkverkeer. Vervolgens firewall je de boel aan de hand van wat je tot dan toe hebt uitgevonden, en als het goed is heb je het lek dan ook allang te pakken. Of degene die het gaat doen, want ik vind dat je dit niet zelf moet oplossen.

My intentions soon you will see. The sway of my scheme, imposed upon all.
Come follow me, my puppets to be. I'll attach my strings, manipulation begins.

donderdag 29 augustus 2013 23:55

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Ik ga niemand inhuren dit is mij sowieso het geld niet waard, daarom win ik wat meer informatie in op een forum. En hoe kom je erbij dat het een lek in een webformulier is.
Het kan net zo goed ergens in een index.php zitten.

Ik kan ook prima een capture van het netwerkverkeer doen met bijv. Wireshark.
En allemaal prima, wat jij vind. Ik vind het een vreemde benadering op een forum.

vrijdag 30 augustus 2013 00:00

Acties:

0Henk 'm!

White_Collar

De oude Rekenblok ;)

hij heeft anders wel een punt:

quote:
Cheatah schreef op donderdag 29 augustus 2013 @ 23:24:
je zoekt ook nog eens in de verkeerde hoek als je met malware- en virusscanners aan de gang gaat om een lek in een webformulier te vinden.

quote:
TheQuestion schreef op donderdag 29 augustus 2013 @ 23:55:
Ik vind het een vreemde benadering op een forum.

Het is hier op tweakers gebruikelijk dat je eerst eigen onderzoek doet. Wat heb je gevonden op google? Is het enige wat je hebt geprobeerd wat hier boven staat? Ik kan me niet voorstellen dat google je niet kan helpen

White_Collar wijzigde deze reactie 30-08-2013 00:02 (121%)

"The reason for time is so that everything doesn't happen at once"

vrijdag 30 augustus 2013 00:09

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Vertel...

vrijdag 30 augustus 2013 00:24

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Ik vond het niet zo vreemd om naar malware en virussen te zoeken, want deze werden ook gevonden.
Ik ben blij dat ik dit gedaan heb.

Ik heb op Google gezocht op de mxs.mail.ru in combinatie met sendmail.
Ik heb een hoop tools gevonden voor Linux welke files op inhoud kunnen scannen.
(ze spraken daar onder andere over http://www.rfxn.com/projects/linux-malware-detect/)
Echter betreft het hier een Windows machine.

Daarover vond ik dat het vaak een code inject in een lekke WP-Admin kan zijn.
Echter draait er geen WP-Admin op de server, ofwel moest ik verder gaan zoeken.

Maar veel meer heb ik op Google niet kunnen vinden.

vrijdag 30 augustus 2013 00:28

Acties:

0Henk 'm!

Nijn

quote:
TheQuestion schreef op donderdag 29 augustus 2013 @ 23:55:
Ik ga niemand inhuren dit is mij sowieso het geld niet waard

Gelukkig gaat je provider je dan zeer spoedig duidelijk maken dat je prioriteiten behoorlijk verkeerd liggen. Of je haalt dat ding offline, of je zorgt ervoor dat het probleem z.s.m. opgelost wordt. Dat is de verantwoordelijkheid die je hebt genomen toen je een server online plaatste. Wat je nu doet is willens en wetens mensen lastig vallen (spammen).

Dat je te weinig kennis hebt om dit op te lossen en de server ook in de toekomst goed (en vooral veilig) te beheren is duidelijk. Maar in de hoop dat je er wat van opsteekt en je zult beseffen dat je (veel) meer kennis nodig hebt:

Dit ruikt (stinkt enorm) naar een lek in een contactformulier. Maar inderdaad, ook een ander script kan geïnfecteerd zijn. Dat neemt niet weg dat dingen als Malware Bytes Pro en Kaspersky totaal de verkeerde tools zijn waar je echt nergens mee gaat komen.

De oplossing die Cheetah je gaf is verreweg de beste oplossing. Door je verkeer te capturen weet je gelijk waar het lek of de infectie zit. Dan kun je van daaruit verder werken. Ik vermoed echter dat je de kennis niet hebt om dat te doen. (Tip: IIS houd logs bij, kijk ze is door. Een andere mogelijkheid is natuurlijk altijd om een programma als Wireshark te gebruiken).

In het zeer waarschijnlijke geval dat je er zo niet uit komt en aangezien je niet wilt accepteren dat een lek in een contactformulier verreweg de meest logische oorzaak is, zou ik zeggen begin daarna is met je source files te vergelijken met wat er op je server staat. (Ik neem toch aan dat je die ook ergens anders dan op je server hebt opgeslagen?). Mocht dat om de een of andere reden niet lukken (duh...), begin dan is met kijken naar de data waarop de bestanden gewijzigd zijn. Dan zie je snel genoeg welke bestanden geïnfecteerd zijn.

Daarna kun je altijd nog de andere optie onderzoeken, het contactformulier. Makkelijkste is om gewoon de naam en versie van de achterliggende code in Google te gooien, dan zie je vanzelf dat je een veel te oud en lek script gebruikt hebt.

vrijdag 30 augustus 2013 00:35

Acties:

0Henk 'm!

Freeaqingme

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 00:24:
Ik vond het niet zo vreemd om naar malware en virussen te zoeken, want deze werden ook gevonden.
Ik ben blij dat ik dit gedaan heb.

Hoe kwamen deze virussen dan op je server? Ik denk dat jij hier last hebt van meerdere lekken...

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

vrijdag 30 augustus 2013 00:39

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Nijn, mooie wijze taal. Wat zijn er toch heerlijke mensen op deze wereld.
De webserver stuurt al zijn mailtjes eerst netjes naar een beveiligde mailserver, die ervoor zorgt dat deze onzin berichten het net geen eens opkomen.
Een goede tip Nijn, doe geen aannames...

Ik zal eens wat logs checken en met Wireshark aan de gang gaan. (zoals ik eerder zei)
Het is gewoon een hobby servertje dus daarom gaat er geen geld in gestoken worden.
Of jij moet het voor niets willen doen ;-) Want dit gaat jou zeker lukken (duh)...

De virussen kwamen op de server doordat ik er ook een FTP servertje op gebruik en er wat files geinfecteerd waren die ik had geupload. Zelf veroorzaakt.

vrijdag 30 augustus 2013 00:49

Acties:

0Henk 'm!

Frostbite

Gezellige boel hier... je hebt een probleem, je wordt op zaken gewezen en dan ga je bij de hand lopen doen?

Waarom zouden de bestanden betreffende het mailen ook niet via FTP op de server zijn terecht gekomen?

vrijdag 30 augustus 2013 00:50

Acties:

0Henk 'm!

White_Collar

De oude Rekenblok ;)

Eerst deze tekst:

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 00:39:
De webserver stuurt al zijn mailtjes eerst netjes naar een beveiligde mailserver, die ervoor zorgt dat deze onzin berichten het net geen eens opkomen.

Daarna deze:

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 00:39:
Het is gewoon een hobby servertje dus daarom gaat er geen geld in gestoken worden.

Wat klopt hier niet

"The reason for time is so that everything doesn't happen at once"

vrijdag 30 augustus 2013 00:55

Acties:

0Henk 'm!

Umbrah

Business and ICT

TS, het advies was oprecht, en zowel Cheetah als Nijn hebben hier moeite in gestoken. Je eerste stap moet inderdaad zijn: haal dat ding online. En zo te zien werk je met een blacklist-ontwerp in plaats van een whitelist; bepaalde scripts die je mogelijk niet eens kent kunnen veel te veel... en daarnaast heb je uiteraard met de verkeerde tools gescant. Leuk voor een PC, maar niet voor een server.

Dit ruikt erg sterk naar een script, een insert, of erger. Hoeveel databases draai je o.a.? Heb je alle instances afgschermt en alleen wat je 100% vertrouwt sendmail access gegeven? Logboeken? Dubbele services per instance? 20 sites alles door elkaar kan nogal hectisch worden...

Hobby server of niet, extra sendmail filter of niet, je kan een hoop schade doen op die manier... een server is iets wat met een bepaald plan moet worden aangepakt, en je plan heb je bijvoorbeeld niks over verteld, je hebt hier gewoon een zekere verantwoordelijkheid die je niet lijkt te nemen. Je zult toch offline moeten gaan, of, in ieder geval, je fallback aan moeten zetten. Of draai een volle back-up terug van voor dit probleem bestond.

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 00:39:
Het is gewoon een hobby servertje dus daarom gaat er geen geld in gestoken worden.

Blijkbaar aangezien het hobby is, is offline halen een optie. Als dat niet mogelijk is, is het geen hobby, en in dit soort gevallen, geloof het of niet, kun je zelfs strafbaar zijn op het moment... wat er in kan, kan er ook uit. Wat zegt je database logboek?

quote:
TheQuestion schreef op donderdag 29 augustus 2013 @ 23:55:
Ik vind het een vreemde benadering op een forum.

Wees erg voorzichtig met wat je zegt hier. Kijk je eigen posthistorie. 567 berichten, en als ik de topics zie, ben niet verder gegaan naar pagina 2, zie ik dat je maar één keer op iemand anders hebt gereageerd... de overige keren ben je zelf de topicstarter. Een forum is geen helpdesk, maar toch is het voor jou nemen, nemen, nemen, nemen en nooit zelf een bijdrage leveren. Dat maakt mij mild... pissig. Kijk naar Nijn, kijk naar Cheetah, kijk naar mij... Ik heb in totaal geloof ik 3x een topic gestart...

Umbrah wijzigde deze reactie 30-08-2013 01:06 (34%)

D3/B.Net: Umbrah#2929

vrijdag 30 augustus 2013 02:07

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Umbrah, ze hebben er moeite in gestoken.
Echter mag de toon ook wel wat anders.

Je hebt me wel op het goede pad gezet. Ik draai op het servertje enkele MySQL databases.
Ik dacht ik zal daar eens gaan kijken middels PHPMyAdmin. Ik kreeg gelijk een melding
dat dit een gerapporteerde aanvalpagina was. Het is al een oud servertje en ik draaide versie
3.4.3.1 ik heb deze nu vervangen voor versie 4.0.5 en nu kan ik in ieder geval weer bij mijn databases.
Zou het daar in hebben kunnen zitten?

Ik heb tevens net met rawcap mijn lokale IP gescand en daarna de pcap file geopend in Wireshark
en gezocht op SMTP. Het enige wat ik daar eigenlijk kan zien is dat de applicatie sendmail.exe wordt aangesproken om mail te verzenden maar niet vanaf waar. (van welke website)
Maar ik denk dat ik het met PHPMyAdmin heb gevonden.

De server is verder niet zo belangrijk, er staan wat familie websites op.
Maar eentje daarvan is een website met een shop waain goodies worden verkocht.
(van een oom) Vandaar dat het online moet blijven, maar misschien kan ik het beter uitfaseren.
Maar ik denk dat de fam dat liever niet wilt, dit kost natuurlijk niets

(en ik heb er wel een spam filtertje van een externe partij voor zitten, en die houdt al de mailtjes netjes tegen en ja die kost 5 euro per maand, maar dat is altijd minder dan extern iemand inhuren ;-)

vrijdag 30 augustus 2013 02:16

Acties:

0Henk 'm!

Jism

Check je contact formulier(en) op websites.

Die maken namelijk gebruik van PHP mail waarop sendmail wordt aangeroepen.

lekke contact forms worden misbruikt om bakken met spam te versturen. Bijv zoek in logs naar veelzijdige "POST" op een php bestand. Ik durf te wedden dat je daarin iets vind. Tip: vergelijk tijdstippen van sendmail vs post.

M'n magische bol werken.

vrijdag 30 augustus 2013 02:23

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Jism, sinds ik de PHPMyAdmin heb vernieuwd verstuurd de server in ieder geval geen spam meer.
Daarna meteen weer met rawcap een capture gedraaid en deze uitgelezen.

Ik heb toch nog even de logs langs gelopen en op de POST commands gezocht.
Echter zie ik daar alleen maar POSTs van de /administrator/index.php dit is van een Joomla website welke de goodies verkoopt. Hier worden regelmatig bestelforms ingevuld dus deze zijn valide.

vrijdag 30 augustus 2013 02:27

Acties:

0Henk 'm!

Jism

En je bent er zeker van dat modules, plugins en joomla zelf niet verouderd is?

M'n magische bol werken.

vrijdag 30 augustus 2013 02:30

Acties:

0Henk 'm!

TheQuestion

Topicstarter

nope, maar dat ga ik morgenvroeg even uitzoeken :-)
Nu mijn bed maar eens opzoeken. Keep you posted.

(is het trouwens bekend dat PHPMyAdmin lek kan zijn? Of hoe komen ze daar in binnen?)

TheQuestion wijzigde deze reactie 30-08-2013 02:30 (30%)

vrijdag 30 augustus 2013 03:12

Acties:

0Henk 'm!

Jism

Niet als je een verouderde versie hebt draaien. Nogmaals, bots op internet struinen 24/7 naar lekken in software. Je zei al joomla. Laatste build moet zijn 1.5.26. De /admin directory kan je ook eens beveiligen, scheelt een hele hoop. Als daar software tussendraaien (Een gastenboek kan al voor problemen zorgen!) en daar is een exploit voor moet je het vervangen, of teminste de eigenaar van de website erop wijzen.

Hier een kleine accesslog van wat zo'n struinende bot allemaal doet:

quote:
/install 2 -
/js/access_log 2 -
/css//./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././ 2 -
//xmlrpc.php 2 -
/profielen/errorlog 2 -
/forgot 2 -
/css/error_log 2 -
/js/log.txt 2 -
/images/private.mdb 2 -
/css/accesslog 2 -
/images/accesslog 2 -
/sql 2 -
/orders 2 -
/.htaccess 2 -
/components/com_hotornot2/phpthumb/phpThumb.php 2 -
/profielen/error-log 2 -
/profielen/users.txt 2 -
/images/test_ 2 -
/profielen/thumbs/.htaccess 2 -
/signup 2 -
/members 2 -
/images/private.sqlite 2 -
/profielen/thumbs/log 2 -
/js/admin.html 1 -
/profielen/devels 1 -
/dolphin 1 -
/css/b 1 -
/xampp 1 -
/profielen/thumbs/uri 1 -
/profielen/sqladm 1 -
/profielen/internal 1 -
/footer 1 -
/vtiger 1 -
/profielen/administrator 1 -
/inexistent_file_name.inexistent0123450987.cfm 1 -
/profielen/TEMP 1 -
/_SQL 1 -
/js/!!! 1 -
/images/RiRTBK0tIC.jsp 1 -
/js/warez

Dit is maar een klein beetje van wat er nog meer dagelijks gebeurd. Als je verouderde software heb (Die kunnen zich identificeren door een changelog ofzo) dan is de kans groot dat je gehacked kunt worden. Dat je je windows webserver met een antivirus moet scannen om mogelijke exploits in PHP te achterhalen is niet echt de wijse stap.

Doe jezelf en anderen een lol op internet en beveilig je server fatsoenlijk. Ook je klanten erop wijzen dat men scripts / software moet updaten. Heel erg belangrijk

Jism wijzigde deze reactie 30-08-2013 03:25 (66%)

M'n magische bol werken.

vrijdag 30 augustus 2013 07:35

Acties:

0Henk 'm!

Rupie

Moderator CSA en SWS

iMod

TheQuestion, je roept de toon van de reacties wel een beetje over jezelf af. Je zegt zelf dat de toon van de reacties anders mag, maar als je zelf anders gereageerd had op Cheatah, White_Collar en Nijn hadden zij ook anders op jou gereageerd.

Overigen, je begint met

quote:
TheQuestion schreef op donderdag 29 augustus 2013 @ 22:58:
Ik zit met een probleem.
Ik heb een Webserver Windows 2008 R2 64bits, met IIS7.
Hierop draaien enkele websites. (20 stuks)
....
(ik kan niet zomaar websites offline gaan halen)

vervolgens is het

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 00:39:
Het is gewoon een hobby servertje dus daarom gaat er geen geld in gestoken worden.

Om vervolgens te roepen:

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 02:07:
Maar eentje daarvan is een website met een shop waain goodies worden verkocht.
(van een oom) Vandaar dat het online moet blijven, maar misschien kan ik het beter uitfaseren.
Maar ik denk dat de fam dat liever niet wilt, dit kost natuurlijk niets

Je wil het vast niet horen, maar als je zo omgaat met een server met webshop vrees ik met grote vrezen voor de gegevens van de klanten. Hobbyen is leuk, maar niet met mogelijke persoons- en betalingsgegevens van anderen.

Desktop | Server | Laptop

vrijdag 30 augustus 2013 09:35

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Beste Rupie, het maakt me niet zoveel uit wat je van de reacties vind.
Het ergste wat er heeft kunnen gebeuren is dat er adresgegevens buiten de server zijn gekomen.
Maar die zijn eveneens te vinden middels telefoongids.nl verder geen betaalgegevens of andere
belangrijke persoonsgegevens.

De server nu ook effe offline gezet want het probleem was niet opgelost na het vervangen van PHPMyadmin.
Verder wil ik zeker niemand inhuren, omdat ik zelf voldoende inzicht en kennis heb om hier zelf in te duiken. Alleen heb ik geen ervaring op dit vlak, maar ik wil me dit wel graag eigen maken en er van leren.
En niet als een kip zonder kop iemand inhuren, en daarna nog niet begrijpen wat er gebeurt en weten hoe het op te lossen. Daarom heb ik ook deels jullie hulp ingeroepen.

Ik heb net de logs nagekeken op POST acties maar die zijn er niet. Terwijl de server wel mails probeert te versturen.
Zou het mogelijk zijn dat door de lekke PHPMyAdmin men injecties in de MySQL databases heeft gedaan? En hoe zou ik die kunnen vinden?

vrijdag 30 augustus 2013 09:50

Acties:

0Henk 'm!

ggx

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 09:35:
Verder wil ik zeker niemand inhuren, omdat ik zelf voldoende inzicht en kennis heb om hier zelf in te duiken.

Nee dat heb je niet. Laat er óf iemand naar kijken die dat wel heeft, óf gooi de boel offline. (Of, wat ik zelf denk dat er gaat gebeuren, blijf verder prutsen en wacht tot je provider je verbinding dicht zet)

I love the smell of IPv6 in the morning

vrijdag 30 augustus 2013 09:58

Acties:

0Henk 'm!

spleethoven

staat je mailserver misschien als open relay? Dan worden de mails gewoon verstuurd vandaaruit.

vrijdag 30 augustus 2013 10:03

Acties:

0Henk 'm!

TheQuestion

Topicstarter

GGX, zoals ik al zei maar je niet gelezen hebt "De server nu ook effe offline gezet"

De mailserver staat niet als open relay.

vrijdag 30 augustus 2013 10:29

Acties:

0Henk 'm!

MueR

Moderator Devschuur®

is niet lief

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 09:35:
Het ergste wat er heeft kunnen gebeuren is dat er adresgegevens buiten de server zijn gekomen. Maar die zijn eveneens te vinden middels telefoongids.nl verder geen betaalgegevens of andere belangrijke persoonsgegevens.

Ik heb deze twee zinnen echt vijf keer moeten lezen voordat ik door had dat je dit echt denkt. Dat adressen in de Telefoongids te vinden zijn is irrelevant. Alle pincodes van Nederland kan ik ook in een Excel sheetje vinden.

Anyone who gets in between me and my morning coffee should be insecure.

vrijdag 30 augustus 2013 10:39

Acties:

0Henk 'm!

TheQuestion

Topicstarter

MueR ik snap je punt niet? Op de server staan geen pincodes, geen bankgegevens, zelfs geen gegevens als geslacht, en geboortedatum.
Ofwel leg uit...

vrijdag 30 augustus 2013 10:40

Acties:

0Henk 'm!

Question Mark

Moderator SWS/WSS en WOS

F7 - Nee - Ja

Het kan aan mij liggen, maar als ik (hobby-matig of bedrijfsmatig) een besmette server tegenkom die internetfacing is, dan komt dat ding bij mij never-nooit-niet meer online. Zeker niet als er kennelijk ook niet privacy gevoelige informatie op te vinden is.

Wie weet wat er allemaal aan (onvindbare) virussen, scripts of trojans op geinstalleerd zijn.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP + zwemdiploma A & B

vrijdag 30 augustus 2013 10:41

Acties:

0Henk 'm!

leuk_he

1. Controleer de kabel!

Je moet toch op (exacte) tijden dat mailtjes worden verstuurd in de logging van de web-server bepaalde (POST/SUBMIT) requests kunnen vinden?

PS tl;dr alle berichten hier...

leuk_he wijzigde deze reactie 30-08-2013 10:42 (13%)

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

vrijdag 30 augustus 2013 10:45

Acties:

0Henk 'm!

bonus

!.. .oO BoNuS Oo. ..!

Er is nog nooit een meester van de hemel gevallen, ook voor deze beginnende beheerder is alle begin moeilijk zo te zien. Wees een beetje aardig voor elkaar en prober hem gewoon te helpen zonder een ondertoon...
We zitten hier op tweakers om elkaar te helpen als techneuten onder elkaar

Q9550 + 8GB + ...

vrijdag 30 augustus 2013 10:48

Acties:

0Henk 'm!

ggx

quote:
Question Mark schreef op vrijdag 30 augustus 2013 @ 10:40:
Het kan aan mij liggen, maar als ik (hobby-matig of bedrijfsmatig) een besmette server tegenkom die internetfacing is, dan komt dat ding bij mij never-nooit-niet meer online. Zeker niet als er kennelijk ook niet privacy gevoelige informatie op te vinden is.

Wie weet wat er allemaal aan (onvindbare) virussen, scripts of trojans op geinstalleerd zijn.

Eens. Zo'n server is nóóit meer te vertrouwen. Gewoon een re-install doen.

En in het geval van de TS, zorg ervoor dat je bewust bezig bent met wát je installeert, en hoe dat de security van de server beïnvloed. Zorg dat je weet welke scripts je hebt, zorg dat je zeker weet dat je software up-to-date is, zorg ervoor dat je firewall in orde is, en ga zo maar door.

Een server beheren is níet zomaar alle pakketjes installeren en hopen dat het blijft werken. Controleer actief je logs op vreemde zaken, en wees vooral bewust bezig van de (on)veiligheid van software die je gebruikt.

I love the smell of IPv6 in the morning

vrijdag 30 augustus 2013 10:51

Acties:

0Henk 'm!

MueR

Moderator Devschuur®

is niet lief

quote:
bonus schreef op vrijdag 30 augustus 2013 @ 10:45:
Er is nog nooit een meester van de hemel gevallen, ook voor deze beginnende beheerder is alle begin moeilijk zo te zien. Wees een beetje aardig voor elkaar en prober hem gewoon te helpen zonder een ondertoon...
We zitten hier op tweakers om elkaar te helpen als techneuten onder elkaar

TS krijgt hier advies van een stel professionals. TS negeert dat advies "want is toch maar hobby". Als TS niet wil luisteren, kunnen we ook niet helpen.

TS: Als je werkelijk niet snapt wat er fout is aan het lekken van gegevens, zet alsjeblieft heel snel die server uit. Spammers en scammers leven op dat soort lekken, want daar komen verified-to-be-working email adressen uit. Naam van de eigenaar er bij en hoppa, je hebt meteen een leuke start voor gepersonaliseerde scam mailtjes.

Anyone who gets in between me and my morning coffee should be insecure.

vrijdag 30 augustus 2013 10:55

Acties:

0Henk 'm!

Eagle Creek

Breathing security

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 09:35:
Beste Rupie, het maakt me niet zoveel uit wat je van de reacties vind.
Het ergste wat er heeft kunnen gebeuren is dat er adresgegevens buiten de server zijn gekomen.
Maar die zijn eveneens te vinden middels telefoongids.nl verder geen betaalgegevens of andere
belangrijke persoonsgegevens.

Dat is absoluut absoluut geen excuus.
Er draait een webshop op en mensen vertrouwen persoonsgegevens toe aan de webshop.

Als jij willens en wetens deze gegevens lekt (of laat lekken terwijl je in staat bent hier iets aan te doen) ben je fout bezig.

En dat staat nog los van het feit dat je ook een server onder beheer hebt die aan het spammen is. Het is jouw server en jij bent daarmee verantwoordelijk voor wat het ding doet.

Of je wel of niet iemand in wilt huren is je goed recht, dat kan niemand je verplichten. Maar op de hoogte zijn van schadelijke acties, die je bewust niet wilt stoppen is ronduit onverantwoordelijk en asociaal.

Let wel - geen persoonlijke aanval -.

Eagle Creek wijzigde deze reactie 30-08-2013 10:58 (24%)

~ Information security professional & enthousiast ~ Nucia ~ EC Twitter ~

vrijdag 30 augustus 2013 10:58

Acties:

0Henk 'm!

F_J_K

Moderator SWS

Front verplichte underscores

quote:
leuk_he schreef op vrijdag 30 augustus 2013 @ 10:41:
Je moet toch op (exacte) tijden dat mailtjes worden verstuurd in de logging van de web-server bepaalde (POST/SUBMIT) requests kunnen vinden?

Hoeft niet eens, bijvoorbeeld als er een service of script draait dat regelmatig 'naar huis belt' om zelf te vragen om nieuwe opdrachten.

Maar dan nog, het gaat er IMHO niet zo zeer om dat de opdrachten binnenkomen, dat is een zekerheid. De vraag is: op welke plaatsen (meervoud) is er een 'besmetting'.

Er zijn in het topic al wat tips gegeven, zoals inderdaad logfiles doorspitten en zien waar het naar verwijst. Ik zou ook alle stukken PHP etc als verdacht beschouwen. Vergelijk ze (diff) met de originelen die je natuurlijk ergens offline hebt staan.

Maar ik zou dat zelf dus echt niet aandurven met draaiende actieve server.

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 09:35:
Het ergste wat er heeft kunnen gebeuren is dat er adresgegevens buiten de server zijn gekomen.
Maar die zijn eveneens te vinden middels telefoongids.nl verder geen betaalgegevens of andere
belangrijke persoonsgegevens.

Ook voor jouw gevoel niet-spannende gegevens zijn persoonsgegevens. Je weet dat er zoiets bestaat als een Wet bescherming persoonsgegevens, weet dan ook dat je bij overtreding een dwangsom kan krijgen en dat gegeven alleen al dit topic beargumenteerd kan worden dat er sprake is van grove nalatigheid. Ook bij een hobbyserver kunnen er in theorie hoge bedragen volgen. Maar los daarvan moet je het gewoon niet willen dat andermans gegevens op straat in Oost-Europa liggen.
Voor hobby kan het jou weinig kwaad, maar als professional zou je klant contract willen ontbinden en een schadevergoeding vereisen en/of kan ontslag volgen... Nu overdrijf ik hierboven een beetje, maar niet veel.

Uitzoeken hoe en wat kan een mooie leerschool zijn, maar dat moet je niet op de productieserver willen doen als je niet heel erg goed weet hoe en wat. Iemand inhuren is inderdaad overkill, maar de adviezen opnieuw te beginnen zijn niet onterecht.
-

Anyway, als je niet weet wat het precies is en wat er waar precies is achtergelaten (en dat blijkt uit dit topic), wil je 'gewoon' opnieuw beginnen en bij opnieuw inrichten wat meer aan beveiliging doen. Actief, snel, structureel updaten (incl vooraf testen, natuurlijk) van OS, applicaties en scripts, Wikipedia: Hardening (computing) etc.

Als je de (fysieke of virtuele) hardware over hebt, zou je dat inrichten alvast kunnen doen op een aparte server. Beschouw natuurlijk alle huidige 'productie'-databases, configuratie en vooral code als besmet, liefst allemaal schoon installeren en enkel de kale data overzetten (en nieuwe usernames/passwords gebruiken).

Als ik het zo hoor is de webwinkel het meest spannend, haal die in overleg met de oom een tijdje uit de lucht. Dan weet hij meteen dat er ook nadelen zitten aan gratis.

-
Nogmaals: ik en anderen denken met je mee juist om te helpen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 30 augustus 2013 11:44

Acties:

0Henk 'm!

MBI

Een adressenbestand is interessant voor analoge spammers...

vrijdag 30 augustus 2013 11:46

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Ik ben blij dat jullie meendenken. Ik snap uiteraard dat persoonsgegevens nooit en te nimmer op straat mogen komen. Daarom is de server ook offline. Echter is het nog maar de vraag of dit ook het geval is, naar mijn inziens is dit niet zo en is het enige probleem dat hij spamt.
De Joomla versie is namelijk up-to-date en er staan geen admin mappen open.

Wel zag ik net in de logs het volgende naar voren komen.
2013-08-29 23:11:58 192.168.80.100 POST /banner8sh.php - 80 - 97.74.112.83 - 200 0 0 202
En dit continu. En continu het zelfde bestand. Echter is het bestand niet op de server te vinden.

Heel af en toe komt er een anders bestand naar voren, zoals
POST /ljhotxg.php - 80 - 193.136.98.13 Mozilla/5.0+(Windows+NT+5.1;+rv:14.0)+Gecko/20100101+Firefox/14.0.1 200 0 0 10336

Ik draai de server virtueel, achter een firewall met intrusion prevention en anti-virus gateway.
Tevens staan alle poorten dicht. Alleen poortje 443, 80 & 21 staan open.
Ik wil poortje 21 ook dicht gaan zetten, of alleen wat IP's whitelisten.

Maar zou opnieuw installeren echt de enige optie zijn?
Maar de databases zal ik toch over moeten zetten? Alles hier met de hand overzetten is een monikken klus.

vrijdag 30 augustus 2013 11:51

Acties:

0Henk 'm!

Slurpgeit

Het klinkt in ieder geval alsof iemand een backdoor via één van de websites op je server heeft geplaatst. Je kan wel herinstalleren, maar als je de code van alle websites niet controleert en alle FTP credentials (waarom niet SFTP of FTPS?) reset, zit je binnen no-time weer met hetzelfde geneuzel.

vrijdag 30 augustus 2013 11:57

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Ja klopt. Ik heb het gevonden.
Op het servertje plaatst een lokale omroep (zend uit in bejaardentehuizen etc.)
video's. In deze map zitten allerlei vreemde files, ook de banner8sh.php
Maar dit is echt puur een FTP mapje. Hierin worden dus eigenlijk alleen *.mp4 video's geupload.

In deze map zie ik ook crash-1.txt bijv. staan:

date/time : 2013-08-23, 12:47:16, 802ms
computer name : Server
user name : IUSR
registered owner : Windows-gebruiker
operating system : Windows 2008 R2 x64 Service Pack 1 build 7601
system language : Dutch
system up time : 19 hours 42 minutes
program up time : 1 second
processor : Intel(R) Xeon(R) CPU E5-2620 0 @ 2.00GHz
physical memory : 1818/4096 MB (free/total)
free disk space : (C:) 1,51 GB (D:) 17,60 GB
display mode : 1024x768, 32 bit
process id : $948
allocated memory : 9,79 MB
command line : d:\sendmail\sendmail.exe -t -fnita_stewart@domein.nl
executable : sendmail.exe
exec. date/time : 2011-06-18 01:10
compiled with : Delphi 2006/07
madExcept version : 3.0l
callstack crc : $205f8196, $465ff507, $465ff507
exception number : 1
exception class : EInOutError
exception message : I/O error 105.

main thread ($338):
004b675c +18a8 sendmail.exe sendmail 922 +440 initialization
77dd012e +000a ntdll.dll KiUserExceptionDispatcher
0040474d +001d sendmail.exe System 262 +0 @AfterConstruction
00444a9f +0063 sendmail.exe IdIOHandlerSocket 335 +13 TIdIOHandlerSocket.Open
00465637 +0007 sendmail.exe IdSSLOpenSSL 2122 +1 TIdSSLIOHandlerSocketOpenSSL.Open
0044157d +0235 sendmail.exe IdTCPClient 318 +53 TIdTCPClientCustom.Connect
00445cc8 +00a4 sendmail.exe IdExplicitTLSClientServerBase 257 +23 TIdExplicitTLSClient.Connect
0045ab7b +0017 sendmail.exe IdSMTP 373 +2 TIdSMTP.Connect
004b5f14 +1060 sendmail.exe sendmail 808 +326 initialization
778333a8 +0010 kernel32.dll BaseThreadInitThunk

thread $a3c:
77de1f3f +0b ntdll.dll NtWaitForWorkViaWorkerFactory
778333a8 +10 kernel32.dll BaseThreadInitThunk

thread $bcc:
77de0156 +0e ntdll.dll NtWaitForMultipleObjects
778333a8 +10 kernel32.dll BaseThreadInitThunk

stack dump:
0018f678 5c 67 4b 00 de fa ed 0e - 01 00 00 00 07 00 00 00 \gK.............
0018f688 8c f6 18 00 5c 67 4b 00 - 68 c9 b0 00 5c 67 4b 00 ....\gK.h...\gK.
0018f698 5c 67 4b 00 08 fe 18 00 - 88 ff 18 00 a8 f6 18 00 \gK.............
0018f6a8 00 00 00 00 64 30 40 00 - 00 00 00 00 50 cc b0 00 ....d0@.....P...
0018f6b8 5c 67 4b 00 00 00 00 00 - ec 08 44 00 50 cc b0 00 \gK.......D.P...
0018f6c8 c8 f7 18 00 f4 f6 18 00 - 00 f7 18 00 00 00 00 00 ................
0018f6d8 00 00 00 00 00 00 00 00 - 99 b4 e1 77 c8 f7 18 00 ...........w....
0018f6e8 08 fe 18 00 18 f8 18 00 - 9c f7 18 00 9c fd 18 00 ................
0018f6f8 ad b4 e1 77 08 fe 18 00 - b0 f7 18 00 6b b4 e1 77 ...w........k..w
0018f708 c8 f7 18 00 08 fe 18 00 - 18 f8 18 00 9c f7 18 00 ................
0018f718 1c 67 4b 00 00 00 00 90 - c8 f7 18 00 08 fe 18 00 .gK.............
0018f728 0e b4 e1 77 c8 f7 18 08 - 08 fe 18 00 18 f8 18 00 ...w............
0018f738 9c f7 18 00 1c 67 4b 05 - 5c fd 18 00 c8 f7 18 00 .....gKg\.......
0018f748 7d 00 00 00 bb 00 00 bb - 53 2a ce 73 00 00 00 00 }.......S*.s....
0018f758 00 00 00 00 a2 fe dd 77 - 72 ec 4c 77 ff ff ff ff .......wr.Lw....
0018f768 2c 48 4c 00 04 f9 18 00 - 04 00 00 00 8c f7 18 00 ,HL.............
0018f778 a8 f7 28 00 d2 a1 47 00 - ff ff ff ff ff 48 4c 00 ......G.....,HL.
0018f788 04 f9 18 00 04 00 00 00 - a0 f7 18 00 d0 12 40 00 ..............@.
0018f798 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 19 00 ................
0018f7a8 00 b0 18 00 a6 50 47 00 - cc fc 18 00 33 01 dd 77 .....PG.....3..w

disassembling:
[...]
004b6742 mov edx, [ebp-$15c]
004b6748 mov eax, [$4bd968]
004b674d call -$b0c2a ($405b28) ; System.@Write0LString
004b6752 call -$b297b ($403ddc) ; System.@WriteLn
004b6757 call -$b36bc ($4030a0) ; System.@_IOTest
004b675c 922 > mov eax, [ebx+4]
004b675f call -$3b3c ($4b2c28) ; sendmail.errorLog
004b6764 924 call -$b1a55 ($404d14) ; System.@RaiseAgain
004b6769 call -$b1a06 ($404d68) ; System.@DoneExcept
004b676e 931 xor eax, eax
004b6770 pop edx
[...]

vrijdag 30 augustus 2013 13:02

Acties:

0Henk 'm!

Nijn

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 11:46:
Wel zag ik net in de logs het volgende naar voren komen.
2013-08-29 23:11:58 192.168.80.100 POST /banner8sh.php - 80 - 97.74.112.83 - 200 0 0 202
En dit continu. En continu het zelfde bestand. Echter is het bestand niet op de server te vinden.

Uit de status code (200) blijkt toch dat het bestand er zeker wel is.

quote:
Ja klopt. Ik heb het gevonden.

Dus toch.

quote:
Maar dit is echt puur een FTP mapje. Hierin worden dus eigenlijk alleen *.mp4 video's geupload.

Als dit de enige plek is waar banner8sh.php te vinden is (en gezien je 'm al eerder gemist hebt zou ik toch even op een andere manier gaan zoeken), dan is dit niet puur een FTP mapje. Tenminste, niet vanuit het oogpunt van IIS.

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 11:46:
Heel af en toe komt er een anders bestand naar voren, zoals
POST /ljhotxg.php - 80 - 193.136.98.13 Mozilla/5.0+(Windows+NT+5.1;+rv:14.0)+Gecko/20100101+Firefox/14.0.1 200 0 0 10336

En wederom status code 200. Die bestaat dus waarschijnlijk ook.

Dit alles wordt echter een academische discussie. Er heeft malware op je server gestaan (waarvan ik nog niet eens zo zeker ben of die daar alleen gestaan heeft of ook heeft gedraaid, sorry, maar ik heb weinig vertrouwen in je kunnen), er staan diverse scripts op je server welke (dat heb je zelf aangetoond) ook daadwerkelijk uitgevoerd worden en er zitten duidelijk ernstige lekken in je beveiliging.
Er is slechts één verantwoordelijke manier om hier mee om te gaan: Deze server komt niet meer online voordat hij een volledige herinstallatie heeft gehad. Daarbij komt vanzelfsprekend dat de websites vanaf een offline source hersteld worden, de lekken worden opgespoord en gedicht (Laat ik het maar heel cru maar duidelijk zeggen: Dit kun jij niet zelf!) en de database op professionele wijze gecontroleerd wordt.

Dan hoop ik dat je tijdens de herinstallatie de beveiliging en hardening een stuk meer aandacht geeft en dat de beveiliging (door opgedane ervaring dan wel toeval) er ook daadwerkelijk op vooruit gaat.

Laatste hint: Rackspace doet niet moeilijk over contracten beëindigen in dit soort gevallen...

Nijn wijzigde deze reactie 30-08-2013 13:25 (8%)

vrijdag 30 augustus 2013 13:51

Acties:

0Henk 'm!

Slurpgeit

Ik denk trouwens dat het bestand wel bestaan heeft, maar dat je het met je malware scans hebt verwijderd. Ik durf te wedden dat als je in de logs van je scanner gaat kijken, dat er staat dat het om een PHP backdoor gaat.

vrijdag 30 augustus 2013 14:05

Acties:

0Henk 'm!

Scraxxy

/dev/null/

TS: Zet aub de webshop over naar een professionele hoster. Ik zou tevens het advies aanraden om de server opnieuw te installeren.

vrijdag 30 augustus 2013 15:10

Acties:

0Henk 'm!

LeVortex

TheQuestion: Het probleem zit hem dat er dus mail gegevens gelekt kunnen zijn. Die zullen toegevoegd worden aan een spamlijst. Jij zadelt nu mensen op met enorme aantallen mails. Daarnaast weten ze van wat voor soort site de gegevens vandaan komen dus targeted marketing is ook mogelijk.

Stel het je eens voor dat ik jou gegevens lek, wordt je dan boos op mij omdat je nu iedere dag 10 telefoontjes, 80 spam mails en iedere week een keer naar de deur mag lopen een verkoper wegsturen omdat ik geen zin had om een lek in mijn website te vinden en op te lossen?

Ik denk dat er wel ergens iets in de logs staat wanneer iets wordt verzonden door welk contact formulier. Ik ga ervan uit dat het een spambot is die even langs je site gaat. Het kan natuurlijk ook zijn dat er een fout script op je site loopt.

edit: excuses het topic loopt harder dan ik dacht. TS ziet het probleem ook al in

LeVortex wijzigde deze reactie 30-08-2013 15:12 (4%)

vrijdag 30 augustus 2013 16:52

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Jep, LeVortex mijn nekharen gingen al weer overeind staan.
Tot ik je laatste zin las ;-)

Maar alle spam is netjes gefilterd, we hebben dus niets het net op gestuurd.
En ik heb dus niemand opgezadeld met enorme aantallen mails.
Dat weet ik 100% zeker. De server mag maar over een enkel IP naar buiten mailen, en dat is het IP van de anti-spam oplossing en deze heeft alle mailtjes welke ik ook in de logs onder POST tegen kwam gefilterd.

En ik heb juist heel veel zin om dit op te lossen ;-)
Ik zie het als een uitdaging, gewoon leuk om hier ook weer wat kennis van op te doen.
Maar het servertje is inmiddels offline. Maar het probleem heb ik volgens mij ook getackeld, en ben bezig met een nieuw servertje opbouwen. En dan wil ik alleen nog SFTP gebruiken.

vrijdag 30 augustus 2013 22:35

Acties:

0Henk 'm!

rty

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 16:52:Maar het probleem heb ik volgens mij ook getackeld, en ben bezig met een nieuw servertje opbouwen. En dan wil ik alleen nog SFTP gebruiken.

Wat was het probleem?

vrijdag 30 augustus 2013 22:52

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Zoals ik al gepost had. Op het servertje plaatst een lokale omroep (zend uit in bejaardentehuizen etc.)
Video files, mp4 en avi files. Echter willen ze deze ook extern kunnen bereiken vanaf omroep.domein.nl.
Waarschijnlijk heeft iemand deze deze filmpjes uploadde iets van adware of een password skimmer op zijn PC gehad waardaar het FTP wachtwoord is achterhaald. Hierdoor zijn er later allerlei PHP files in die map terecht gekomen, deze files waren ook extern bereikbaar. (ik heb nu alle MIME types verwijderd, dus dit moet niet meer lukken) Tevens wil ik dus overstappen op SFTP. Ben er nu een nieuwe W2K12 servertje voor aan het inrichten. Vandaag toch door een externe professional alle MySQL databases laten doorlopen maar daar was niets mee aan de hand.

vrijdag 30 augustus 2013 22:56

Acties:

0Henk 'm!

DiedX

Kan je eens vragen welke FTP-Client gebruikt is?

vrijdag 30 augustus 2013 23:00

Acties:

0Henk 'm!

144479

Een wrapper (binstub) maken voor sendmail. Dan kan je vrij gemakkelijk achterhalen uit welke dir en dus welke website spam aan het versturen is.

vrijdag 30 augustus 2013 23:04

Acties:

0Henk 'm!

Gomez12

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 16:52:
Maar alle spam is netjes gefilterd, we hebben dus niets het net op gestuurd.
En ik heb dus niemand opgezadeld met enorme aantallen mails.
Dat weet ik 100% zeker.

Nope, dat gok je maar. De anti-spam oplossing kan ook steken laten vallen, iemand kan het hele klantenbestand gejat hebben en vanaf een andere server zitten te spammen of ... of ...

quote:
Ik zie het als een uitdaging, gewoon leuk om hier ook weer wat kennis van op te doen.

Had je dit niet wat eerder als een uitdaging kunnen gaan zien?
Als zelfs MBAM etc trojans / virussen etc gaan zien dan ben je echt ver van het pad geraakt...

quote:
TheQuestion schreef op vrijdag 30 augustus 2013 @ 22:52:
Vandaag toch door een externe professional alle MySQL databases laten doorlopen maar daar was niets mee aan de hand.

Waarom laat je hem niet de hele server opnieuw installeren? Of laat hem op zijn minst alle php-sources doorkijken. Ik ben bang dat je nu gewoon de oude bagger opnieuw gaat terugzetten en dat je direct weer lekken hebt zitten die je tot nu toe nog niet gevonden hebt.

vrijdag 30 augustus 2013 23:19

Acties:

0Henk 'm!

rty

Ik krijg het gevoel dat elke verkeerde ftp/website de hele server potentieel plat kan gooien. Als dat zo is, zou ik dat zoveel mogelijk proberen te verminderen.

Is er een ftp log waardoor je kan zien wat/hoe/wanneer het is begonnen?

zaterdag 31 augustus 2013 03:41

Acties:

0Henk 'm!

Umbrah

Business and ICT

Zolang PHP files in FTP folders maar niet uitgevoerd worden...

TS, heb je ooit 2FA overwogen? Je rechtenstructuur lijkt wat... liberaal.

D3/B.Net: Umbrah#2929

maandag 02 september 2013 17:59

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Welke goedkope hoster (welke er heel veel zijn) voor simpele websites werkt er nu met 2FA...
Zij werken ook allemaal met FTP, en het zou voor deze gasten ook wat duur zijn om met 2FA te werken.

maandag 02 september 2013 18:16

Acties:

0Henk 'm!

Freeaqingme

quote:
TheQuestion schreef op maandag 02 september 2013 @ 17:59:
Welke goedkope hoster (welke er heel veel zijn) voor simpele websites werkt er nu met 2FA...
Zij werken ook allemaal met FTP, en het zou voor deze gasten ook wat duur zijn om met 2FA te werken.

Steeds meer, gelukkig.

Serverside kan je dit gebruiken; gratis: https://github.com/Yubico/yubico-pam

Vervolgens zijn eindgebruikers voor zo'n 20 usd voorzien van een yubikey. En steeds meer mensen hebben er al een

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

maandag 02 september 2013 18:21

Acties:

0Henk 'm!

TheQuestion

Topicstarter

Yep, de Yubikey ken ik, prima ding, werk er zelf ook mee. Al heb je nog wel geavanceerder spul. Maar het is uiteraard weer een extra stap die genomen moet worden, de eindgebruiker kiest dan naar mening toch altijd sneller voor zijn portomonee dan voor veiligheid.