Mailque bearbeiten: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Mailqueue Bearbeitung: 1) Logge dich auf dem betroffenen Server via Putty ein (z.B www70.estugo.de) 2) Prüfe den Inhalt mehrerer E-Mails postcat -q hierdieI…“) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
;1) Logge dich auf dem betroffenen Server via Putty ein (z.B www70.estugo.de) | |||
;2) Prüfe den Inhalt mehrerer E-Mails | |||
:<code>postcat -q hierdieID</code> | |||
:- Prüfe zuerst ob es um Spam handelt oder einen Newsletter. Newsletter unserer Kunden dürfen verschickt werden und dürfen nicht gelöscht werden! | |||
:- Handelt es sich um einen Newsletter kannst du im Extremfall auch das Mailq Script auf dem Server erhöhen. | |||
Dies solltest du nur in extremen Fällen machen! (z.B wenn Newsletter über mehrere Stunden versendet werden o.Ä) eine Anleitung findest du am Ende der ;Anleitung. | |||
:- Sollte es sich um Mails mit Pornographischem Inhalt, Paypal Benachrichtigungen, Online Banking Informationen oder seltsamen Links o.Ä handeln sieh dir die Mails immer etwas genauer an!!! | |||
;3) Speichere den Header und einen Teil der Mail im Ticket als Notiz | |||
;4) Handelt es sich um einen Newsletter von unseren Kunden hinterlege einen Eintrag im Bahnhof und schieße das Ticket. | |||
''^sem 30.01.2017_ #hierdieticketid'' | |||
''Mailq Monitoring Newslettter'' | |||
;5) Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden, dies siehst du im Mailq Ticket | |||
5) Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden, dies siehst du im Mailq Ticket | |||
Zwei Mail-Header Beispiele findest du am Ende der Anleitung. | Zwei Mail-Header Beispiele findest du am Ende der Anleitung. | ||
Diese Mails wurden über das Postfach per sasl Login erzeugt: | ;Diese Mails wurden über das Postfach per sasl Login erzeugt: | ||
....................... | ....................... | ||
Dec 27 23:23:27 www50 postfix/smtpd[6716]: D2F4C89889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de | ''Dec 27 23:23:27 www50 postfix/smtpd[6716]: D2F4C89889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de'' | ||
Dec 27 23:23:29 www50 postfix/smtpd[6716]: ACA308988A: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de | ''Dec 27 23:23:29 www50 postfix/smtpd[6716]: ACA308988A: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de'' | ||
Dec 27 23:23:31 www50 postfix/smtpd[6716]: 889B389889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de | ''Dec 27 23:23:31 www50 postfix/smtpd[6716]: 889B389889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de'' | ||
....................... | ....................... | ||
;Diese Mails wurden über ein Script erzeugt: | |||
....................... | ....................... | ||
Jan 29 19:28:37 www61 postfix/pickup[27713]: E2267824E9: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> | ''Jan 29 19:28:37 www61 postfix/pickup[27713]: E2267824E9: uid=10059 from=<rachelle_caron@t-shirt-and-more.com>'' | ||
Jan 29 19:28:37 www61 postfix/pickup[27713]: E98B3824EF: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> | ''Jan 29 19:28:37 www61 postfix/pickup[27713]: E98B3824EF: uid=10059 from=<rachelle_caron@t-shirt-and-more.com>'' | ||
Jan 29 19:28:38 www61 postfix/pickup[27713]: 005D4824F8: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> | ''Jan 29 19:28:38 www61 postfix/pickup[27713]: 005D4824F8: uid=10059 from=<rachelle_caron@t-shirt-and-more.com>'' | ||
....................... | ....................... | ||
!!!!!BEI EINEM HACK ÜBER DIE SOFTWARE FAHRE MIT PUNKT 11 WEITER!!!!! | ;!!!!!BEI EINEM HACK ÜBER DIE SOFTWARE FAHRE MIT PUNKT 11 WEITER!!!!! | ||
- Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern | ;6) Bei einem Hack über das Postfach gehst du zuerst wie folgt vor: | ||
:- Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern | |||
7) Mailq Leeren: | ;7) Mailq Leeren: | ||
echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d - | :<code>echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -</code> | ||
Im Anschluss siehst du auf der Shell | ;Im Anschluss siehst du auf der Shell | ||
"string:" | <code>"string:"</code> | ||
Hier gibst du deinen gewünschten String an z.B ichbineinebloedemailkuh.de und drückst Enter | Hier gibst du deinen gewünschten String an z.B ichbineinebloedemailkuh.de und drückst Enter | ||
Version vom 28. April 2017, 14:29 Uhr
- 1) Logge dich auf dem betroffenen Server via Putty ein (z.B www70.estugo.de)
- 2) Prüfe den Inhalt mehrerer E-Mails
postcat -q hierdieID
- - Prüfe zuerst ob es um Spam handelt oder einen Newsletter. Newsletter unserer Kunden dürfen verschickt werden und dürfen nicht gelöscht werden!
- - Handelt es sich um einen Newsletter kannst du im Extremfall auch das Mailq Script auf dem Server erhöhen.
Dies solltest du nur in extremen Fällen machen! (z.B wenn Newsletter über mehrere Stunden versendet werden o.Ä) eine Anleitung findest du am Ende der ;Anleitung.
- - Sollte es sich um Mails mit Pornographischem Inhalt, Paypal Benachrichtigungen, Online Banking Informationen oder seltsamen Links o.Ä handeln sieh dir die Mails immer etwas genauer an!!!
- 3) Speichere den Header und einen Teil der Mail im Ticket als Notiz
- 4) Handelt es sich um einen Newsletter von unseren Kunden hinterlege einen Eintrag im Bahnhof und schieße das Ticket.
^sem 30.01.2017_ #hierdieticketid Mailq Monitoring Newslettter
- 5) Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden, dies siehst du im Mailq Ticket
Zwei Mail-Header Beispiele findest du am Ende der Anleitung.
- Diese Mails wurden über das Postfach per sasl Login erzeugt
....................... Dec 27 23:23:27 www50 postfix/smtpd[6716]: D2F4C89889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de Dec 27 23:23:29 www50 postfix/smtpd[6716]: ACA308988A: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de Dec 27 23:23:31 www50 postfix/smtpd[6716]: 889B389889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de .......................
- Diese Mails wurden über ein Script erzeugt
....................... Jan 29 19:28:37 www61 postfix/pickup[27713]: E2267824E9: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> Jan 29 19:28:37 www61 postfix/pickup[27713]: E98B3824EF: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> Jan 29 19:28:38 www61 postfix/pickup[27713]: 005D4824F8: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> .......................
- !!!!!BEI EINEM HACK ÜBER DIE SOFTWARE FAHRE MIT PUNKT 11 WEITER!!!!!
- 6) Bei einem Hack über das Postfach gehst du zuerst wie folgt vor
- - Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern
- 7) Mailq Leeren
echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -
- Im Anschluss siehst du auf der Shell
"string:"
Hier gibst du deinen gewünschten String an z.B ichbineinebloedemailkuh.de und drückst Enter
8) Postfix (Dienst Postausgangsserver) neustarten service postfix restart
9) mailq prüfen mailq
Prüfe ob weiterhin Mails auf dem Server erzeugt werden. Wenn keine neuen Mails vom gehackten Absender dazu kommen ist alles i.O
10) Kd informieren und Eintrag im Bahnhof anlegen
Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach" - Passe E-Mail Adresse, Betreff, Anrede an - Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket - Lösche ggf. #### Optional ####
- Im Anschluss hinterlege einen EIntrag im Bahnhof
^sem 30.01.2017 Hack über Postfach, Kd informiert, Passwort geändert
!! Hack über Postfach ist FERTIG!!!!! :)
11) Hack über die Software
Vorab sollte die Betroffene Webseite mit einem .htaccess Passwortschutz gesperrt werden. Achte dabei darauf, dass andere Projekte die nicht von dem Hack betroffen sind nicht gesperrt werden und weiterhin erreichbar sind!!! Solltest du dir Anfangs nicht sicher sein, sprich mit einem deiner erfahrenen Kollegen, wir unterstützen dich gerne dabei! :)
- Kopiere die .htacces und .htpasswd Dateien in das Verzeichniss der Betroffenen Webseite. Die .htacces Datei muss auf den betroffenen Pfad angepasst werden z.B
AuthUserFile /var/www/vhosts/sebastianmeier.www70.hostkraft.de/httpdocs/sw5/.htpasswd
Hie wird nur das Verzeichnis httpdocs/sw5/ sowie die Unterordner gesperrt
12) Mailq Leeren:
echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -
Im Anschluss siehst du auf der Shell
"string:"
Hier gibst du deinen gewünschten String an z.B ichbineinebloedemailkuh.de und drückst Enter
13) Postfix (Dienst Postausgangsserver) neustarten service postfix restart
14) mailq prüfen mailq
15) Kd informieren und Eintrag im Bahnhof anlegen
Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach" - Passe E-Mail Adresse, Betreff, Anrede an - Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket - Lösche ggf. #### Optional ####
- Im Anschluss hinterlege einen EIntrag im Bahnhof
^sem 30.01.2017 Hack über Software, Kd informiert, Passwortschutz installiert
!! Hack über Software ist FERTIG!!!!! :) ....................... Beispiele & Mailq script erhöhen .......................
- Mailqscript erhöhen mcedit /usr/local/sbin/monitor_mailqueue_plesk.sh
Editiere den Wert "MAX_MAILCOUNT=" z.B auf 350
Sobald Mailqueue weg, script wieder anpassen!!!!
Es ist immer "MAX_MAILCOUNT=150" auf allen Servern hinterlegt.
- Sollte das Script nicht gefunden werden suche nach dem Pfad cat /etc/crontab
- Kopiere Pfad Highload Mailqueue z.B : /usr/local/sbin/monitor_mailqueue_plesk.sh
.......................
Hier habe ich dir mal ein Beispiel angehängt wie ein Header per PHP Script aussieht:
- ENVELOPE RECORDS deferred/0/0F781817C8 ***
message_size: 2216 184 1 0
2216
message_arrival_time: Sun Jan 29 18:42:44 2017 create_time: Sun Jan 29 18:42:44 2017 named_attribute: rewrite_context=local sender_fullname: sender: XXXXX <XXXn_XXX@XXX.com
- MESSAGE CONTENTS deferred/0/0F781817C8 ***
Received: by www61.estugo.de (Postfix, from userid 10059)
id 0F781817C8; Sun, 29 Jan 2017 18:42:44 +0100 (CET)
To: #####n_######@##########.com Subject: Read the letter that will change your life! X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code Date: Sun, 29 Jan 2017 18:42:44 +0100 From: ###### #### <#####n_######@##########.com> Message-ID: <47f0fe83447066c301607a8c6dc1d6dc@###########.com> X-Priority: 3 MIME-Version: 1.0 Content-Type: multipart/alternative;
boundary="b1_47f0fe83447066c301607a8c6dc1d6dc"
Content-Transfer-Encoding: 8bit
--b1_47f0fe83447066c301607a8c6dc1d6dc Content-Type: text/plain; charset=us-ascii
Hierbei ist der folgende Punkt interessant:
X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code
Hier erkennen wir direkt, dass die Mail über ein Script erzeugt wurde. .......................
Hier noch ein Beispiel für eine Mail die über das Postfach erzeugt wurde:
named_attribute: log_ident=F25C486444 named_attribute: rewrite_context=remote named_attribute: sasl_method=LOGIN named_attribute: sasl_username=######@h####a.de sender: #####@ho#####a.de named_attribute: log_client_name=p4FE90###8.dip0.t-ipconnect.de named_attribute: log_client_address=79.##.2.## named_attribute: log_client_port=5###28 named_attribute: log_message_origin=p4FE90258.dip0.t-ipconnect.de[##.2##3.2.##] named_attribute: log_helo_name=###### named_attribute: log_protocol_name=ESMTP named_attribute: client_name=p4FE###dip0.t-ipconnect.de named_attribute: reverse_client_name=p4FE90258.dip0.t-ipconnect.de named_attribute: client_address=###.##3.2.### named_attribute: client_port=52928 named_attribute: helo_name=##### named_attribute: protocol_name=ESMTP named_attribute: client_address_type=2 named_attribute: dsn_orig_rcpt=rfc822;a.#######dt@t#####bh.de original_recipient: a.ec#####@th######bh.de