Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Mailspam vom Webpaket - Woher kommt er?

Gast naja08
Gast naja08
in Security

Empfohlene Antworten

Veröffentlicht

Hallo Leute,

ich habe hier ein Paket mit Webmail/Webspace/DB/Plesk.

Es gab darauf ein uraltes CMS mit vielen Lücken. Ich hab dann mit einem Crawler die Seite komplett gespiegelt sodass etwas vorübergehend online ist. Auf dem Webserver liegen also keinerlei PHP Skripte mehr rum. Das alte CMS ist auch weg. Nur noch viel .js, .html und .css.

Es wurden bereits alle Passwörter geändert (Plesk/Mail/FTP) und trotzdem gehen weiter fröhlich Mails raus (um die 10/Stunde).

In den HTTP Logs ist auch nichts ersichtlich.. nur normale Webseitenbenutzung.

Woher kann das denn noch kommen?

 

Grüße

Wenn du nur Anwender dieser Produkte bist - also selbst Plesk und Webmail nicht installiert hast und du keinen administrativen shell Zugang zum System besitzt, würde ich mal mit dem Anbieter des Webpaketes in Kontakt treten. Gut möglich, dass der Server selbst infiltriert ist ggf. auch durch Lücken in den Produkten, die dir nur zu Awendung bereitgestellt werden. Saubere Webserver Inhalte + alle Zugangsdaten geändert riecht jedenfall erstmal danach, als wäre das Problem nicht in der Flughöhe des Endanwenders zu suchen.

Bearbeitet von Uhu

hast du die kennwörter von deinem pc aus geändert ? ich würde die kennwörter nochmal von einem neutralen Gerät ändern und ggf. deinen PC mal auf Malware / Viren prüfen lassen.

Kannst du die Mails sehen die versendet wurden oder erhälst du nur vom empfänger die Info das jemand ne Mail von @deineDomain.de/org/com sendet ? Schonmal in den header der Mail geschaut ob diese Adresse wirklich Mails versendet ?

Hab mal im plus php/cgi/Co. Deaktiviert. Hat nix gebracht. 

Passwörter wurden auf einem sicheren PC geändert...

 

Das Maillimit ist halt im plesk auf 0 damit die nicht raus gehen. Sehe nur in der Übersicht für welche domain/accounts wie viele Mails ins Limit laufen. Sehe aber nicht was für mails

Schau, ob noch zusätzliche, nicht von dir eingerichtete Accounts existieren, über die zugegriffen werden kann, oder ob dein Server als offenes Gateway läuft. (Hier kann man dies z.B. überprüfen.)

Falls der Mailserver nicht benötigt wird, kannst du ihn natürlich auch komplett abschalten.

Falls du nichts findest, setz das Teil möglichst schnell neu auf. RootKits o.ä. zu finden kann ziemlich aufwendig sein - vor allem, wenn man sich mit dem System nicht so gut auskennt. Da wäre es mir persönlich wichtiger, wieder ein unverseuchtes System zu haben, und den Spam-Versand zu unterbinden, statt herauszufinden, wie sie verschickt werden.

 

Was spricht dagegen den Anbieter zu kontaktieren? Wenn du PLESK und co nicht selbst installiert hast, sondern nur Kunde bist, muss das Problem nicht bei dir zu suchen sein. Eventuell kann der Anbieter dich auf ein sauberes System migrieren.
 

Bearbeitet von Uhu

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.