Mailque bearbeiten: Unterschied zwischen den Versionen

Version vom 28. April 2017, 15:25 Uhr

1) Logge dich auf dem betroffenen Server via Putty ein (z.B www70.estugo.de)

2) Prüfe den Inhalt mehrerer E-Mails: postcat -q hierdieID

- Prüfe zuerst ob es um Spam handelt oder einen Newsletter. Newsletter unserer Kunden dürfen verschickt werden und dürfen nicht gelöscht werden!

- Handelt es sich um einen Newsletter kannst du im Extremfall auch das Mailq Script auf dem Server erhöhen.

Dies solltest du nur in extremen Fällen machen! (z.B wenn Newsletter über mehrere Stunden versendet werden o.Ä)

- Sollte es sich um Mails mit Pornographischem Inhalt, Paypal Benachrichtigungen, Online Banking Informationen oder seltsamen Links o.Ä handeln sieh dir die Mails immer etwas genauer an!!!

3) Speichere den Header und einen Teil der Mail im Ticket als Notiz

4) Handelt es sich um einen Newsletter von unseren Kunden hinterlege einen Eintrag im Bahnhof und schieße das Ticket.

^sem 30.01.2017_ #hierdieticketid

Mailq Monitoring Newslettter

5) Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden, dies siehst du im Mailq Ticket

Zwei Mail-Header Beispiele findest du am Ende der Anleitung.

Diese Mails wurden über das Postfach per sasl Login erzeugt

....................... Dec 27 23:23:27 www50 postfix/smtpd[6716]: D2F4C89889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de Dec 27 23:23:29 www50 postfix/smtpd[6716]: ACA308988A: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de Dec 27 23:23:31 www50 postfix/smtpd[6716]: 889B389889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de .......................

Diese Mails wurden über ein Script erzeugt

....................... Jan 29 19:28:37 www61 postfix/pickup[27713]: E2267824E9: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> Jan 29 19:28:37 www61 postfix/pickup[27713]: E98B3824EF: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> Jan 29 19:28:38 www61 postfix/pickup[27713]: 005D4824F8: uid=10059 from=<rachelle_caron@t-shirt-and-more.com> .......................

!!!!!BEI EINEM HACK ÜBER DIE SOFTWARE FAHRE MIT PUNKT 11 WEITER!!!!!

6) Bei einem Hack über das Postfach gehst Du zuerst wie folgt vor: - Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern

7) Mailq Leeren: echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -

Im Anschluss siehst du auf der Shell

"string:"

Hier gibst du deinen gewünschten String an z.B ichbineinebloedemailkuh.de und drückst Enter

8) Postfix (Dienst Postausgangsserver) neustarten: service postfix restart

9) mailq prüfen: mailq

Prüfe ob weiterhin Mails auf dem Server erzeugt werden. Wenn keine neuen Mails vom gehackten Absender dazu kommen ist alles i.O

10) Kd informieren und Eintrag im Bahnhof anlegen

-Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach"

- Passe E-Mail Adresse, Betreff, Anrede an

- Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket

- Lösche ggf. #### Optional ####

- Im Anschluss hinterlege einen EIntrag im Bahnhof

^sem 30.01.2017 Hack über Postfach, Kd informiert, Passwort geändert

!! Hack über Postfach ist FERTIG!!!!!: )

11) Hack über die Software

Vorab sollte die Betroffene Webseite mit einem .htaccess Passwortschutz gesperrt werden.

Achte dabei darauf, dass andere Projekte die nicht von dem Hack betroffen sind nicht gesperrt werden und weiterhin erreichbar sind!!!

Solltest du dir Anfangs nicht sicher sein, sprich mit einem deiner erfahrenen Kollegen, wir unterstützen dich gerne dabei! :)

- Kopiere die .htacces und .htpasswd Dateien in das Verzeichniss der Betroffenen Webseite. Die .htacces Datei muss auf den betroffenen Pfad angepasst werden z.B

AuthUserFile /var/www/vhosts/sebastianmeier.www70.hostkraft.de/httpdocs/sw5/.htpasswd

Hier wird nur das Verzeichnis httpdocs/sw5/ sowie die Unterordner gesperrt

12) Mailq Leeren: echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -

Im Anschluss siehst du auf der Shell

"string:"

Hier gibst du deinen gewünschten String an z.B ichbineinebloedemailkuh.de und drückst Enter

13) Postfix (Dienst Postausgangsserver) neustarten service postfix restart

14) mailq prüfen mailq

15) Kd informieren und Eintrag im Bahnhof anlegen

Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach" - Passe E-Mail Adresse, Betreff, Anrede an - Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket - Lösche ggf. #### Optional ####

- Im Anschluss hinterlege einen EIntrag im Bahnhof

^sem 30.01.2017 Hack über Software, Kd informiert, Passwortschutz installiert

!! Hack über Software ist FERTIG!!!!! :) ....................... Beispiele .......................

Hier habe ich dir mal ein Beispiel angehängt wie ein Header per PHP Script aussieht:

- - ENVELOPE RECORDS deferred/0/0F781817C8 ***

message_size: 2216 184 1 0

message_arrival_time: Sun Jan 29 18:42:44 2017 create_time: Sun Jan 29 18:42:44 2017 named_attribute: rewrite_context=local sender_fullname: sender: XXXXX <XXXn_XXX@XXX.com

- - MESSAGE CONTENTS deferred/0/0F781817C8 ***

Received: by www61.estugo.de (Postfix, from userid 10059)

       id 0F781817C8; Sun, 29 Jan 2017 18:42:44 +0100 (CET)

To: #####n_######@##########.com Subject: Read the letter that will change your life! X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code Date: Sun, 29 Jan 2017 18:42:44 +0100 From: ###### #### <#####n_######@##########.com> Message-ID: <47f0fe83447066c301607a8c6dc1d6dc@###########.com> X-Priority: 3 MIME-Version: 1.0 Content-Type: multipart/alternative;

       boundary="b1_47f0fe83447066c301607a8c6dc1d6dc"

Content-Transfer-Encoding: 8bit

--b1_47f0fe83447066c301607a8c6dc1d6dc Content-Type: text/plain; charset=us-ascii

Hierbei ist der folgende Punkt interessant:

X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code

Hier erkennen wir direkt, dass die Mail über ein Script erzeugt wurde. .......................

Hier noch ein Beispiel für eine Mail die über das Postfach erzeugt wurde:

named_attribute: log_ident=F25C486444 named_attribute: rewrite_context=remote named_attribute: sasl_method=LOGIN named_attribute: sasl_username=######@h####a.de sender: #####@ho#####a.de named_attribute: log_client_name=p4FE90###8.dip0.t-ipconnect.de named_attribute: log_client_address=79.##.2.## named_attribute: log_client_port=5###28 named_attribute: log_message_origin=p4FE90258.dip0.t-ipconnect.de[##.2##3.2.##] named_attribute: log_helo_name=###### named_attribute: log_protocol_name=ESMTP named_attribute: client_name=p4FE###dip0.t-ipconnect.de named_attribute: reverse_client_name=p4FE90258.dip0.t-ipconnect.de named_attribute: client_address=###.##3.2.### named_attribute: client_port=52928 named_attribute: helo_name=##### named_attribute: protocol_name=ESMTP named_attribute: client_address_type=2 named_attribute: dsn_orig_rcpt=rfc822;a.#######dt@t#####bh.de original_recipient: a.ec#####@th######bh.de

@@ Zeile 13: / Zeile 13: @@
 ;4) Handelt es sich um einen Newsletter von unseren Kunden hinterlege einen Eintrag im Bahnhof und schieße das Ticket.
-''^sem 30.01.2017_ #hierdieticketid''
+:''^sem 30.01.2017_ #hierdieticketid''
-''Mailq Monitoring Newslettter''
+:''Mailq Monitoring Newslettter''
 ;5) Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden, dies siehst du im Mailq Ticket
-Zwei Mail-Header Beispiele findest du am Ende der Anleitung.
+::Zwei Mail-Header Beispiele findest du am Ende der Anleitung.
 ;Diese Mails wurden über das Postfach per sasl Login erzeugt:
@@ Zeile 35: / Zeile 35: @@
-;6) Bei einem Hack über das Postfach gehst du zuerst wie folgt vor:
+;6) Bei einem Hack über das Postfach gehst Du zuerst wie folgt vor:
 :- Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern

Mailque bearbeiten: Unterschied zwischen den Versionen

Version vom 28. April 2017, 15:25 Uhr

Navigationsmenü