Mailque bearbeiten: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| (10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
[[Category:Bereitschaftswissen]] | |||
[[Category:SSH]] | |||
; | ==Logge dich als 'root' auf dem betroffenen Server via Putty ein (z.B www70.estugo.de)== | ||
:<code>postcat -q hierdieID</code> | ;Lasse Dir mit folgendem Befehl die Mailqueue anzeigen. | ||
:<code>mailq</code> | |||
==Prüfe den Inhalt mehrerer E-Mails== | |||
;In der Mailque steht immer die MailID voran. Sie ist zehnstellig und hat etwas dies Format ACA308988A. Kopiere diese und schaue Dir die Mails an | |||
:<code>postcat -q ''hierdieID''</code> | |||
;Ist die Ausgabe der E-Mail zu lang, so dass der Header nicht mehr angezeigt wird, hilft ein kleines "less". der Befehl schaut dann so aus: | |||
:<code>postcat -q ''hierdieID'' | less</code> | |||
===Prüfe zuerst ob es sich um Spam handelt oder einen Newsletter=== | |||
;Newsletter unserer Kunden dürfen in überschaubaren Mengen versandt werden und sollten nicht immer gleich gelöscht werden! | |||
:- Handelt es sich um einen Newsletter kannst du im Extremfall auch das [[Mailq Script auf dem Server erhöhen]]. | :- Handelt es sich um einen Newsletter kannst du im Extremfall auch das [[Mailq Script auf dem Server erhöhen]]. | ||
<pre style="color: red">Dies solltest du nur in extremen Fällen machen! (z.B wenn Newsletter über mehrere Stunden versendet werden o.Ä) | <pre style="color: red">Dies solltest du nur in extremen Fällen machen! (z.B wenn Newsletter über mehrere Stunden versendet werden o.Ä)</pre style="color: red"> | ||
:- Sollte es sich um Mails mit Pornographischem Inhalt, Paypal Benachrichtigungen, Online Banking Informationen oder seltsamen Links o.Ä handeln sieh dir die Mails immer etwas genauer an!!! | :- Sollte es sich um Mails mit Pornographischem Inhalt, Paypal Benachrichtigungen, Online Banking Informationen oder seltsamen Links o.Ä handeln sieh dir die Mails immer etwas genauer an!!! | ||
; | ;Speichere den Header und einen Teil der Mail im Ticket als Notiz | ||
; | ;Handelt es sich um einen Newsletter von unseren Kunden hinterlege einen Eintrag im Bahnhof und benachrichtige den Kd., dass Newsletter über unsere Server nicht sinnvoll sind | ||
''^sem 30.01.2017_ #hierdieticketid'' | :''^sem 30.01.2017_ #hierdieticketid'' | ||
''Mailq Monitoring Newslettter'' | :''Mailq Monitoring Newslettter'' | ||
===Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden=== | |||
Zwei Mail-Header Beispiele findest du am Ende der Anleitung. | ;dies siehst du im Mailq Ticket | ||
::Zwei Mail-Header Beispiele findest du am Ende der Anleitung. | |||
====Diese Mails wurden über das Postfach per sasl Login erzeugt:==== | |||
:''Dec 27 23:23:27 www50 postfix/smtpd[6716]: D2F4C89889: client=unknown[##.###.##.###], '''sasl_method=LOGIN, sasl_username='''info@########.de'' | |||
:''Dec 27 23:23:29 www50 postfix/smtpd[6716]: ACA308988A: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de'' | |||
'' | :''Dec 27 23:23:31 www50 postfix/smtpd[6716]: 889B389889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de'' | ||
'' | |||
'' | |||
====Diese Mails wurden über ein Script erzeugt:==== | |||
:''Jan 29 19:28:37 www61 '''postfix/pickup[27713]: E2267824E9: uid=10059 from='''<info@#####.com>'' | |||
: | :''Jan 29 19:28:37 www61 postfix/pickup[27713]: E98B3824EF: uid=10059 from=<info@#####.com>'' | ||
:''Jan 29 19:28:38 www61 postfix/pickup[27713]: 005D4824F8: uid=10059 from=<info@#####.com>'' | |||
; | ;!!!!!BEI EINEM HACK ÜBER DIE SOFTWARE FAHRE MIT PUNKT 4 FORT!!!!! | ||
==Bei einem Hack über das Postfach gehst Du zuerst wie folgt vor:== | |||
===Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern=== | |||
;Melde Dich als 'admin' in Plesk an und öffne das Abonnement des betroffenen Kunden | |||
:- Wechsele in den Reiter E-Mail | |||
:- Klicke auf die betroffene E-Mail Adresse | |||
:- vergib über "generieren" ein neues Passwort und speichere mit "OK" | |||
===Mailq Leeren:=== | |||
;Wechsele zurück auf die Shell und leere die Mailqueue | |||
:<code>echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -</code> | :<code>echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -</code> | ||
;Im Anschluss siehst du auf der Shell | ;Im Anschluss siehst du auf der Shell: | ||
:<code>"string:"</code> | :<code>"string:"</code> | ||
;Hier gibst du deinen gewünschten String an | |||
:- z.B <code>ichbineinebloedemailkuh.de</code> und drückst Enter | |||
===Postfix (Dienst Postausgangsserver) neustarten=== | |||
:<code>service postfix restart</code> | :<code>service postfix restart</code> | ||
; | ;mailq noch einmal prüfen | ||
:<code>mailq</code> | :<code>mailq</code> | ||
:::Prüfe ob weiterhin Mails auf dem Server erzeugt werden. Wenn keine neuen Mails vom gehackten Absender dazu kommen ist alles i.O | |||
===Kd informieren und Eintrag im Bahnhof anlegen=== | |||
;Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach" | |||
:- Passe E-Mail Adresse, Betreff, Anrede an | |||
:- Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket | |||
:- Lösche ggf. #### Optional #### | |||
;Im Anschluss hinterlege einen EIntrag im Bahnhof | |||
''^sem 30.01.2017'' | ''^sem 30.01.2017'' | ||
| Zeile 69: | Zeile 82: | ||
;!! Hack über Postfach ist FERTIG!!!!! | ;!! Hack über Postfach ist FERTIG!!!!! | ||
==Hack über die Software== | |||
; | ===Sperrung der betroffenen Webseite mit einem .htaccess Passwortschutz über Plesk.=== | ||
;Melde Dich als 'admin' in Plesk an und öffne das Abonnement des betroffenen Kunden | |||
:- Wechsele in den Reiter Dateien (File Manager) | |||
:- Wechsele in den Ordner auf den die betroffene Domain verweist | |||
:- Achte dabei darauf, dass andere Projekte, die nicht von dem Hack betroffen sind, nicht gesperrt werden und weiterhin erreichbar sind!!! | |||
:- Solltest du dir Anfangs nicht sicher sein, sprich mit einem deiner erfahrenen Kollegen, wir unterstützen dich gerne dabei! :) | |||
;Kopiere die .htacces und .htpasswd Dateien in das Verzeichniss der Betroffenen Webseite. | |||
:- Die .htacces Datei muss auf den betroffenen Pfad angepasst werden z.B | |||
<code>AuthUserFile /var/www/vhosts/sebastianmeier.www70.hostkraft.de/httpdocs/sw5/.htpasswd</code> | <code>AuthUserFile /var/www/vhosts/sebastianmeier.www70.hostkraft.de/httpdocs/sw5/.htpasswd</code> | ||
| Zeile 85: | Zeile 101: | ||
===Mailq Leeren:=== | |||
;Wechsele zurück auf die Shell und leere die Mailqueue | |||
:<code>echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -</code> | :<code>echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -</code> | ||
Im Anschluss siehst du auf der Shell | ;Im Anschluss siehst du auf der Shell: | ||
:<code>"string:"</code> | :<code>"string:"</code> | ||
Hier gibst du deinen gewünschten String an z.B ichbineinebloedemailkuh.de und drückst Enter | ;Hier gibst du deinen gewünschten String an | ||
:- z.B <code>ichbineinebloedemailkuh.de</code> und drückst Enter | |||
===Postfix (Dienst Postausgangsserver) neustarten=== | |||
service postfix restart | :<code>service postfix restart</code> | ||
;mailq noch einmal prüfen | |||
mailq | :<code>mailq</code> | ||
Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach" | ===Kd informieren und Eintrag im Bahnhof anlegen=== | ||
;Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach" | |||
:- Passe E-Mail Adresse, Betreff, Anrede an | |||
:- Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket | |||
:- Lösche ggf. #### Optional #### | |||
;Im Anschluss hinterlege einen EIntrag im Bahnhof | |||
^sem 30.01.2017 | ^sem 30.01.2017 | ||
Hack über Software, Kd informiert, Passwortschutz installiert | Hack über Software, Kd informiert, Passwortschutz installiert | ||
!! Hack über Software ist FERTIG!!!!! | ;!! Hack über Software ist FERTIG!!!!! | ||
==Beispiele== | |||
===Hier habe ich dir mal ein Beispiel angehängt wie ein Header per PHP Script aussieht:=== | |||
X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code | :<nowiki>*** ENVELOPE RECORDS deferred/0/0F781817C8 ***</nowiki> | ||
:message_size: 2216 184 1 0 | |||
: 2216 | |||
:message_arrival_time: Sun Jan 29 18:42:44 2017 | |||
:create_time: Sun Jan 29 18:42:44 2017 | |||
:named_attribute: rewrite_context=local | |||
:sender_fullname: | |||
:sender: XXXXX <XXXn_XXX@XXX.com | |||
:<nowiki>*** MESSAGE CONTENTS deferred/0/0F781817C8 ***</nowiki> | |||
:Received: by www61.estugo.de (Postfix, from userid 10059) | |||
: id 0F781817C8; Sun, 29 Jan 2017 18:42:44 +0100 (CET) | |||
:To: #####n_######@##########.com | |||
:Subject: Read the letter that will change your life! | |||
:X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code | |||
:Date: Sun, 29 Jan 2017 18:42:44 +0100 | |||
:From: ###### #### <#####n_######@##########.com> | |||
:Message-ID: <47f0fe83447066c301607a8c6dc1d6dc@###########.com> | |||
:X-Priority: 3 | |||
:MIME-Version: 1.0 | |||
:Content-Type: multipart/alternative; | |||
: boundary="b1_47f0fe83447066c301607a8c6dc1d6dc" | |||
:Content-Transfer-Encoding: 8bit | |||
: | |||
:--b1_47f0fe83447066c301607a8c6dc1d6dc | |||
:Content-Type: text/plain; charset=us-ascii | |||
;Hierbei ist der folgende Punkt interessant: | |||
:''X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code'' | |||
:Hier erkennen wir direkt, dass die Mail über ein Script erzeugt wurde. | |||
===Hier noch ein Beispiel für eine Mail die über das Postfach erzeugt wurde:=== | |||
---- | :named_attribute: log_ident=F25C486444 | ||
:named_attribute: rewrite_context=remote | |||
:named_attribute: sasl_method=LOGIN | |||
:named_attribute: sasl_username=######@h####a.de | |||
:sender: #####@ho#####a.de | |||
:named_attribute: log_client_name=p4FE90###8.dip0.t-ipconnect.de | |||
:named_attribute: log_client_address=79.##.2.## | |||
:named_attribute: log_client_port=5###28 | |||
:named_attribute: log_message_origin=p4FE90258.dip0.t-ipconnect.de[##.2##3.2.##] | |||
:named_attribute: log_helo_name=###### | |||
:named_attribute: log_protocol_name=ESMTP | |||
:named_attribute: client_name=p4FE###dip0.t-ipconnect.de | |||
:named_attribute: reverse_client_name=p4FE90258.dip0.t-ipconnect.de | |||
:named_attribute: client_address=###.##3.2.### | |||
:named_attribute: client_port=52928 | |||
:named_attribute: helo_name=##### | |||
:named_attribute: protocol_name=ESMTP | |||
:named_attribute: client_address_type=2 | |||
:named_attribute: dsn_orig_rcpt=rfc822;a.#######dt@t#####bh.de | |||
:original_recipient: a.ec#####@th######bh.de | |||
Aktuelle Version vom 26. Februar 2019, 22:49 Uhr
Logge dich als 'root' auf dem betroffenen Server via Putty ein (z.B www70.estugo.de)
- Lasse Dir mit folgendem Befehl die Mailqueue anzeigen.
mailq
Prüfe den Inhalt mehrerer E-Mails
- In der Mailque steht immer die MailID voran. Sie ist zehnstellig und hat etwas dies Format ACA308988A. Kopiere diese und schaue Dir die Mails an
postcat -q hierdieID
- Ist die Ausgabe der E-Mail zu lang, so dass der Header nicht mehr angezeigt wird, hilft ein kleines "less". der Befehl schaut dann so aus
postcat -q hierdieID | less
Prüfe zuerst ob es sich um Spam handelt oder einen Newsletter
- Newsletter unserer Kunden dürfen in überschaubaren Mengen versandt werden und sollten nicht immer gleich gelöscht werden!
- - Handelt es sich um einen Newsletter kannst du im Extremfall auch das Mailq Script auf dem Server erhöhen.
Dies solltest du nur in extremen Fällen machen! (z.B wenn Newsletter über mehrere Stunden versendet werden o.Ä)
- - Sollte es sich um Mails mit Pornographischem Inhalt, Paypal Benachrichtigungen, Online Banking Informationen oder seltsamen Links o.Ä handeln sieh dir die Mails immer etwas genauer an!!!
- Speichere den Header und einen Teil der Mail im Ticket als Notiz
- Handelt es sich um einen Newsletter von unseren Kunden hinterlege einen Eintrag im Bahnhof und benachrichtige den Kd., dass Newsletter über unsere Server nicht sinnvoll sind
- ^sem 30.01.2017_ #hierdieticketid
- Mailq Monitoring Newslettter
Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden
- dies siehst du im Mailq Ticket
-
- Zwei Mail-Header Beispiele findest du am Ende der Anleitung.
Diese Mails wurden über das Postfach per sasl Login erzeugt:
- Dec 27 23:23:27 www50 postfix/smtpd[6716]: D2F4C89889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de
- Dec 27 23:23:29 www50 postfix/smtpd[6716]: ACA308988A: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de
- Dec 27 23:23:31 www50 postfix/smtpd[6716]: 889B389889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de
Diese Mails wurden über ein Script erzeugt:
- Jan 29 19:28:37 www61 postfix/pickup[27713]: E2267824E9: uid=10059 from=<info@#####.com>
- Jan 29 19:28:37 www61 postfix/pickup[27713]: E98B3824EF: uid=10059 from=<info@#####.com>
- Jan 29 19:28:38 www61 postfix/pickup[27713]: 005D4824F8: uid=10059 from=<info@#####.com>
- !!!!!BEI EINEM HACK ÜBER DIE SOFTWARE FAHRE MIT PUNKT 4 FORT!!!!!
Bei einem Hack über das Postfach gehst Du zuerst wie folgt vor:
Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern
- Melde Dich als 'admin' in Plesk an und öffne das Abonnement des betroffenen Kunden
- - Wechsele in den Reiter E-Mail
- - Klicke auf die betroffene E-Mail Adresse
- - vergib über "generieren" ein neues Passwort und speichere mit "OK"
Mailq Leeren:
- Wechsele zurück auf die Shell und leere die Mailqueue
echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -
- Im Anschluss siehst du auf der Shell
"string:"
- Hier gibst du deinen gewünschten String an
- - z.B
ichbineinebloedemailkuh.deund drückst Enter
Postfix (Dienst Postausgangsserver) neustarten
service postfix restart
- mailq noch einmal prüfen
mailq
- Prüfe ob weiterhin Mails auf dem Server erzeugt werden. Wenn keine neuen Mails vom gehackten Absender dazu kommen ist alles i.O
Kd informieren und Eintrag im Bahnhof anlegen
- Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach"
- - Passe E-Mail Adresse, Betreff, Anrede an
- - Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket
- - Lösche ggf. #### Optional ####
- Im Anschluss hinterlege einen EIntrag im Bahnhof
^sem 30.01.2017 Hack über Postfach, Kd informiert, Passwort geändert
- !! Hack über Postfach ist FERTIG!!!!!
Hack über die Software
Sperrung der betroffenen Webseite mit einem .htaccess Passwortschutz über Plesk.
- Melde Dich als 'admin' in Plesk an und öffne das Abonnement des betroffenen Kunden
- - Wechsele in den Reiter Dateien (File Manager)
- - Wechsele in den Ordner auf den die betroffene Domain verweist
- - Achte dabei darauf, dass andere Projekte, die nicht von dem Hack betroffen sind, nicht gesperrt werden und weiterhin erreichbar sind!!!
- - Solltest du dir Anfangs nicht sicher sein, sprich mit einem deiner erfahrenen Kollegen, wir unterstützen dich gerne dabei! :)
- Kopiere die .htacces und .htpasswd Dateien in das Verzeichniss der Betroffenen Webseite.
- - Die .htacces Datei muss auf den betroffenen Pfad angepasst werden z.B
AuthUserFile /var/www/vhosts/sebastianmeier.www70.hostkraft.de/httpdocs/sw5/.htpasswd
- Hier wird nur das Verzeichnis httpdocs/sw5/ sowie die Unterordner gesperrt
Mailq Leeren:
- Wechsele zurück auf die Shell und leere die Mailqueue
echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -
- Im Anschluss siehst du auf der Shell
"string:"
- Hier gibst du deinen gewünschten String an
- - z.B
ichbineinebloedemailkuh.deund drückst Enter
Postfix (Dienst Postausgangsserver) neustarten
service postfix restart
- mailq noch einmal prüfen
mailq
Kd informieren und Eintrag im Bahnhof anlegen
- Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach"
- - Passe E-Mail Adresse, Betreff, Anrede an
- - Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket
- - Lösche ggf. #### Optional ####
- Im Anschluss hinterlege einen EIntrag im Bahnhof
^sem 30.01.2017 Hack über Software, Kd informiert, Passwortschutz installiert
- !! Hack über Software ist FERTIG!!!!!
Beispiele
Hier habe ich dir mal ein Beispiel angehängt wie ein Header per PHP Script aussieht:
- *** ENVELOPE RECORDS deferred/0/0F781817C8 ***
- message_size: 2216 184 1 0
- 2216
- message_arrival_time: Sun Jan 29 18:42:44 2017
- create_time: Sun Jan 29 18:42:44 2017
- named_attribute: rewrite_context=local
- sender_fullname:
- sender: XXXXX <XXXn_XXX@XXX.com
- *** MESSAGE CONTENTS deferred/0/0F781817C8 ***
- Received: by www61.estugo.de (Postfix, from userid 10059)
- id 0F781817C8; Sun, 29 Jan 2017 18:42:44 +0100 (CET)
- To: #####n_######@##########.com
- Subject: Read the letter that will change your life!
- X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code
- Date: Sun, 29 Jan 2017 18:42:44 +0100
- From: ###### #### <#####n_######@##########.com>
- Message-ID: <47f0fe83447066c301607a8c6dc1d6dc@###########.com>
- X-Priority: 3
- MIME-Version: 1.0
- Content-Type: multipart/alternative;
- boundary="b1_47f0fe83447066c301607a8c6dc1d6dc"
- Content-Transfer-Encoding: 8bit
- --b1_47f0fe83447066c301607a8c6dc1d6dc
- Content-Type: text/plain; charset=us-ascii
- Hierbei ist der folgende Punkt interessant
- X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code
- Hier erkennen wir direkt, dass die Mail über ein Script erzeugt wurde.
Hier noch ein Beispiel für eine Mail die über das Postfach erzeugt wurde:
- named_attribute: log_ident=F25C486444
- named_attribute: rewrite_context=remote
- named_attribute: sasl_method=LOGIN
- named_attribute: sasl_username=######@h####a.de
- sender: #####@ho#####a.de
- named_attribute: log_client_name=p4FE90###8.dip0.t-ipconnect.de
- named_attribute: log_client_address=79.##.2.##
- named_attribute: log_client_port=5###28
- named_attribute: log_message_origin=p4FE90258.dip0.t-ipconnect.de[##.2##3.2.##]
- named_attribute: log_helo_name=######
- named_attribute: log_protocol_name=ESMTP
- named_attribute: client_name=p4FE###dip0.t-ipconnect.de
- named_attribute: reverse_client_name=p4FE90258.dip0.t-ipconnect.de
- named_attribute: client_address=###.##3.2.###
- named_attribute: client_port=52928
- named_attribute: helo_name=#####
- named_attribute: protocol_name=ESMTP
- named_attribute: client_address_type=2
- named_attribute: dsn_orig_rcpt=rfc822;a.#######dt@t#####bh.de
- original_recipient: a.ec#####@th######bh.de