Mailque bearbeiten

Aus Glaskugel
Version vom 26. Februar 2019, 22:49 Uhr von Standard (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen


Logge dich als 'root' auf dem betroffenen Server via Putty ein (z.B www70.estugo.de)

Lasse Dir mit folgendem Befehl die Mailqueue anzeigen.
mailq

Prüfe den Inhalt mehrerer E-Mails

In der Mailque steht immer die MailID voran. Sie ist zehnstellig und hat etwas dies Format ACA308988A. Kopiere diese und schaue Dir die Mails an
postcat -q hierdieID
Ist die Ausgabe der E-Mail zu lang, so dass der Header nicht mehr angezeigt wird, hilft ein kleines "less". der Befehl schaut dann so aus
postcat -q hierdieID | less

Prüfe zuerst ob es sich um Spam handelt oder einen Newsletter

Newsletter unserer Kunden dürfen in überschaubaren Mengen versandt werden und sollten nicht immer gleich gelöscht werden!
- Handelt es sich um einen Newsletter kannst du im Extremfall auch das Mailq Script auf dem Server erhöhen.
Dies solltest du nur in extremen Fällen machen! (z.B wenn Newsletter über mehrere Stunden versendet werden o.Ä)
- Sollte es sich um Mails mit Pornographischem Inhalt, Paypal Benachrichtigungen, Online Banking Informationen oder seltsamen Links o.Ä handeln sieh dir die Mails immer etwas genauer an!!!
Speichere den Header und einen Teil der Mail im Ticket als Notiz
Handelt es sich um einen Newsletter von unseren Kunden hinterlege einen Eintrag im Bahnhof und benachrichtige den Kd., dass Newsletter über unsere Server nicht sinnvoll sind
^sem 30.01.2017_ #hierdieticketid
Mailq Monitoring Newslettter

Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden

dies siehst du im Mailq Ticket
Zwei Mail-Header Beispiele findest du am Ende der Anleitung.

Diese Mails wurden über das Postfach per sasl Login erzeugt:

Dec 27 23:23:27 www50 postfix/smtpd[6716]: D2F4C89889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de
Dec 27 23:23:29 www50 postfix/smtpd[6716]: ACA308988A: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de
Dec 27 23:23:31 www50 postfix/smtpd[6716]: 889B389889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de

Diese Mails wurden über ein Script erzeugt:

Jan 29 19:28:37 www61 postfix/pickup[27713]: E2267824E9: uid=10059 from=<info@#####.com>
Jan 29 19:28:37 www61 postfix/pickup[27713]: E98B3824EF: uid=10059 from=<info@#####.com>
Jan 29 19:28:38 www61 postfix/pickup[27713]: 005D4824F8: uid=10059 from=<info@#####.com>
!!!!!BEI EINEM HACK ÜBER DIE SOFTWARE FAHRE MIT PUNKT 4 FORT!!!!!

Bei einem Hack über das Postfach gehst Du zuerst wie folgt vor:

Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern

Melde Dich als 'admin' in Plesk an und öffne das Abonnement des betroffenen Kunden
- Wechsele in den Reiter E-Mail
- Klicke auf die betroffene E-Mail Adresse
- vergib über "generieren" ein neues Passwort und speichere mit "OK"

Mailq Leeren:

Wechsele zurück auf die Shell und leere die Mailqueue
echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -
Im Anschluss siehst du auf der Shell
"string:"
Hier gibst du deinen gewünschten String an
- z.B ichbineinebloedemailkuh.de und drückst Enter

Postfix (Dienst Postausgangsserver) neustarten

service postfix restart
mailq noch einmal prüfen
mailq
Prüfe ob weiterhin Mails auf dem Server erzeugt werden. Wenn keine neuen Mails vom gehackten Absender dazu kommen ist alles i.O


Kd informieren und Eintrag im Bahnhof anlegen

Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach"
- Passe E-Mail Adresse, Betreff, Anrede an
- Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket
- Lösche ggf. #### Optional ####
Im Anschluss hinterlege einen EIntrag im Bahnhof

^sem 30.01.2017 Hack über Postfach, Kd informiert, Passwort geändert


!! Hack über Postfach ist FERTIG!!!!!

Hack über die Software

Sperrung der betroffenen Webseite mit einem .htaccess Passwortschutz über Plesk.

Melde Dich als 'admin' in Plesk an und öffne das Abonnement des betroffenen Kunden
- Wechsele in den Reiter Dateien (File Manager)
- Wechsele in den Ordner auf den die betroffene Domain verweist
- Achte dabei darauf, dass andere Projekte, die nicht von dem Hack betroffen sind, nicht gesperrt werden und weiterhin erreichbar sind!!!
- Solltest du dir Anfangs nicht sicher sein, sprich mit einem deiner erfahrenen Kollegen, wir unterstützen dich gerne dabei! :)
Kopiere die .htacces und .htpasswd Dateien in das Verzeichniss der Betroffenen Webseite.
- Die .htacces Datei muss auf den betroffenen Pfad angepasst werden z.B

AuthUserFile /var/www/vhosts/sebastianmeier.www70.hostkraft.de/httpdocs/sw5/.htpasswd

Hier wird nur das Verzeichnis httpdocs/sw5/ sowie die Unterordner gesperrt


Mailq Leeren:

Wechsele zurück auf die Shell und leere die Mailqueue
echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -
Im Anschluss siehst du auf der Shell
"string:"
Hier gibst du deinen gewünschten String an
- z.B ichbineinebloedemailkuh.de und drückst Enter

Postfix (Dienst Postausgangsserver) neustarten

service postfix restart
mailq noch einmal prüfen
mailq

Kd informieren und Eintrag im Bahnhof anlegen

Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach"
- Passe E-Mail Adresse, Betreff, Anrede an
- Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket
- Lösche ggf. #### Optional ####
Im Anschluss hinterlege einen EIntrag im Bahnhof

^sem 30.01.2017 Hack über Software, Kd informiert, Passwortschutz installiert

!! Hack über Software ist FERTIG!!!!!

Beispiele

Hier habe ich dir mal ein Beispiel angehängt wie ein Header per PHP Script aussieht:

*** ENVELOPE RECORDS deferred/0/0F781817C8 ***
message_size: 2216 184 1 0
2216
message_arrival_time: Sun Jan 29 18:42:44 2017
create_time: Sun Jan 29 18:42:44 2017
named_attribute: rewrite_context=local
sender_fullname:
sender: XXXXX <XXXn_XXX@XXX.com
*** MESSAGE CONTENTS deferred/0/0F781817C8 ***
Received: by www61.estugo.de (Postfix, from userid 10059)
id 0F781817C8; Sun, 29 Jan 2017 18:42:44 +0100 (CET)
To: #####n_######@##########.com
Subject: Read the letter that will change your life!
X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code
Date: Sun, 29 Jan 2017 18:42:44 +0100
From: ###### #### <#####n_######@##########.com>
Message-ID: <47f0fe83447066c301607a8c6dc1d6dc@###########.com>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_47f0fe83447066c301607a8c6dc1d6dc"
Content-Transfer-Encoding: 8bit
--b1_47f0fe83447066c301607a8c6dc1d6dc
Content-Type: text/plain; charset=us-ascii
Hierbei ist der folgende Punkt interessant
X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code
Hier erkennen wir direkt, dass die Mail über ein Script erzeugt wurde.

Hier noch ein Beispiel für eine Mail die über das Postfach erzeugt wurde:

named_attribute: log_ident=F25C486444
named_attribute: rewrite_context=remote
named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=######@h####a.de
sender: #####@ho#####a.de
named_attribute: log_client_name=p4FE90###8.dip0.t-ipconnect.de
named_attribute: log_client_address=79.##.2.##
named_attribute: log_client_port=5###28
named_attribute: log_message_origin=p4FE90258.dip0.t-ipconnect.de[##.2##3.2.##]
named_attribute: log_helo_name=######
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=p4FE###dip0.t-ipconnect.de
named_attribute: reverse_client_name=p4FE90258.dip0.t-ipconnect.de
named_attribute: client_address=###.##3.2.###
named_attribute: client_port=52928
named_attribute: helo_name=#####
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;a.#######dt@t#####bh.de
original_recipient: a.ec#####@th######bh.de
Abgerufen von „https://wissen.hostingprimus.com/index.php?title=Mailque_bearbeiten&oldid=518