Mailque bearbeiten

Logge dich als 'root' auf dem betroffenen Server via Putty ein (z.B www70.estugo.de)

Lasse Dir mit folgendem Befehl die Mailqueue anzeigen.

mailq

Prüfe den Inhalt mehrerer E-Mails

In der Mailque steht immer die MailID voran. Sie ist zehnstellig und hat etwas dies Format ACA308988A. Kopiere diese und schaue Dir die Mails an

postcat -q hierdieID

Ist die Ausgabe der E-Mail zu lang, so dass der Header nicht mehr angezeigt wird, hilft ein kleines "less". der Befehl schaut dann so aus

postcat -q hierdieID | less

Prüfe zuerst ob es sich um Spam handelt oder einen Newsletter

Newsletter unserer Kunden dürfen in überschaubaren Mengen versandt werden und sollten nicht immer gleich gelöscht werden!

- Handelt es sich um einen Newsletter kannst du im Extremfall auch das Mailq Script auf dem Server erhöhen.

Dies solltest du nur in extremen Fällen machen! (z.B wenn Newsletter über mehrere Stunden versendet werden o.Ä)

- Sollte es sich um Mails mit Pornographischem Inhalt, Paypal Benachrichtigungen, Online Banking Informationen oder seltsamen Links o.Ä handeln sieh dir die Mails immer etwas genauer an!!!

Speichere den Header und einen Teil der Mail im Ticket als Notiz

Handelt es sich um einen Newsletter von unseren Kunden hinterlege einen Eintrag im Bahnhof und benachrichtige den Kd., dass Newsletter über unsere Server nicht sinnvoll sind

^sem 30.01.2017_ #hierdieticketid

Mailq Monitoring Newslettter

Prüfe ob die E-Mails per Postfach (sasl-login) oder per Script erzeugt wurden

dies siehst du im Mailq Ticket

Zwei Mail-Header Beispiele findest du am Ende der Anleitung.

Diese Mails wurden über das Postfach per sasl Login erzeugt:

Dec 27 23:23:27 www50 postfix/smtpd[6716]: D2F4C89889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de

Dec 27 23:23:29 www50 postfix/smtpd[6716]: ACA308988A: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de

Dec 27 23:23:31 www50 postfix/smtpd[6716]: 889B389889: client=unknown[##.###.##.###], sasl_method=LOGIN, sasl_username=info@########.de

Diese Mails wurden über ein Script erzeugt:

Jan 29 19:28:37 www61 postfix/pickup[27713]: E2267824E9: uid=10059 from=<info@#####.com>

Jan 29 19:28:37 www61 postfix/pickup[27713]: E98B3824EF: uid=10059 from=<info@#####.com>

Jan 29 19:28:38 www61 postfix/pickup[27713]: 005D4824F8: uid=10059 from=<info@#####.com>

!!!!!BEI EINEM HACK ÜBER DIE SOFTWARE FAHRE MIT PUNKT 4 FORT!!!!!

Bei einem Hack über das Postfach gehst Du zuerst wie folgt vor:

Über Plesk das Passwort der Betroffenen E-Mail Adresse ändern

Melde Dich als 'admin' in Plesk an und öffne das Abonnement des betroffenen Kunden

- Wechsele in den Reiter E-Mail

- Klicke auf die betroffene E-Mail Adresse

- vergib über "generieren" ein neues Passwort und speichere mit "OK"

Mailq Leeren:

Wechsele zurück auf die Shell und leere die Mailqueue

echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -

Im Anschluss siehst du auf der Shell

"string:"

Hier gibst du deinen gewünschten String an

- z.B ichbineinebloedemailkuh.de und drückst Enter

Postfix (Dienst Postausgangsserver) neustarten

service postfix restart

mailq noch einmal prüfen

mailq

Prüfe ob weiterhin Mails auf dem Server erzeugt werden. Wenn keine neuen Mails vom gehackten Absender dazu kommen ist alles i.O

Kd informieren und Eintrag im Bahnhof anlegen

Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach"

- Passe E-Mail Adresse, Betreff, Anrede an

- Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket

- Lösche ggf. #### Optional ####

Im Anschluss hinterlege einen EIntrag im Bahnhof

^sem 30.01.2017 Hack über Postfach, Kd informiert, Passwort geändert

!! Hack über Postfach ist FERTIG!!!!!

Hack über die Software

Sperrung der betroffenen Webseite mit einem .htaccess Passwortschutz über Plesk.

Melde Dich als 'admin' in Plesk an und öffne das Abonnement des betroffenen Kunden

- Wechsele in den Reiter Dateien (File Manager)

- Wechsele in den Ordner auf den die betroffene Domain verweist

- Achte dabei darauf, dass andere Projekte, die nicht von dem Hack betroffen sind, nicht gesperrt werden und weiterhin erreichbar sind!!!

- Solltest du dir Anfangs nicht sicher sein, sprich mit einem deiner erfahrenen Kollegen, wir unterstützen dich gerne dabei! :)

Kopiere die .htacces und .htpasswd Dateien in das Verzeichniss der Betroffenen Webseite.

- Die .htacces Datei muss auf den betroffenen Pfad angepasst werden z.B

AuthUserFile /var/www/vhosts/sebastianmeier.www70.hostkraft.de/httpdocs/sw5/.htpasswd

Hier wird nur das Verzeichnis httpdocs/sw5/ sowie die Unterordner gesperrt

Mailq Leeren:

Wechsele zurück auf die Shell und leere die Mailqueue

echo -n "string: "; read string; postqueue -p | grep ^[0-9,A-Z].*$string | cut -f 1 -d " " | tr -d "*" | postsuper -d -

Im Anschluss siehst du auf der Shell

"string:"

Hier gibst du deinen gewünschten String an

- z.B ichbineinebloedemailkuh.de und drückst Enter

Postfix (Dienst Postausgangsserver) neustarten

service postfix restart

mailq noch einmal prüfen

mailq

Kd informieren und Eintrag im Bahnhof anlegen

Anworte auf das Mailq Ticket über die Vorlage "Hack über Postfach"

- Passe E-Mail Adresse, Betreff, Anrede an

- Ersetze die Beispiele in der Vorlage gegen die Einträge auf dem Mailq Ticket

- Lösche ggf. #### Optional ####

Im Anschluss hinterlege einen EIntrag im Bahnhof

^sem 30.01.2017 Hack über Software, Kd informiert, Passwortschutz installiert

!! Hack über Software ist FERTIG!!!!!

Beispiele

Hier habe ich dir mal ein Beispiel angehängt wie ein Header per PHP Script aussieht:

*** ENVELOPE RECORDS deferred/0/0F781817C8 ***

message_size: 2216 184 1 0

2216

message_arrival_time: Sun Jan 29 18:42:44 2017

create_time: Sun Jan 29 18:42:44 2017

named_attribute: rewrite_context=local

sender_fullname:

sender: XXXXX <XXXn_XXX@XXX.com

*** MESSAGE CONTENTS deferred/0/0F781817C8 ***

Received: by www61.estugo.de (Postfix, from userid 10059)

id 0F781817C8; Sun, 29 Jan 2017 18:42:44 +0100 (CET)

To: #####n_######@##########.com

Subject: Read the letter that will change your life!

X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code

Date: Sun, 29 Jan 2017 18:42:44 +0100

From: ###### #### <#####n_######@##########.com>

Message-ID: <47f0fe83447066c301607a8c6dc1d6dc@###########.com>

X-Priority: 3

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="b1_47f0fe83447066c301607a8c6dc1d6dc"

Content-Transfer-Encoding: 8bit

--b1_47f0fe83447066c301607a8c6dc1d6dc

Content-Type: text/plain; charset=us-ascii

Hierbei ist der folgende Punkt interessant

X-PHP-Originating-Script: 10059:info.php(1954) : eval()'d code

Hier erkennen wir direkt, dass die Mail über ein Script erzeugt wurde.

Hier noch ein Beispiel für eine Mail die über das Postfach erzeugt wurde:

named_attribute: log_ident=F25C486444

named_attribute: rewrite_context=remote

named_attribute: sasl_method=LOGIN

named_attribute: sasl_username=######@h####a.de

sender: #####@ho#####a.de

named_attribute: log_client_name=p4FE90###8.dip0.t-ipconnect.de

named_attribute: log_client_address=79.##.2.##

named_attribute: log_client_port=5###28

named_attribute: log_message_origin=p4FE90258.dip0.t-ipconnect.de[##.2##3.2.##]

named_attribute: log_helo_name=######

named_attribute: log_protocol_name=ESMTP

named_attribute: client_name=p4FE###dip0.t-ipconnect.de

named_attribute: reverse_client_name=p4FE90258.dip0.t-ipconnect.de

named_attribute: client_address=###.##3.2.###

named_attribute: client_port=52928

named_attribute: helo_name=#####

named_attribute: protocol_name=ESMTP

named_attribute: client_address_type=2

named_attribute: dsn_orig_rcpt=rfc822;a.#######dt@t#####bh.de

original_recipient: a.ec#####@th######bh.de