Hallo,
wir haben einen kleinen Server, der für 5 Account Mail abholt
- Kernel 2.6.5 - 7.276 , Suse Linux 9.1
- Squirrelmail
- Open-XChange
- Apache 2.0.49
- php 4.3.4
Der Server hat eine feste IP adresse und (war) bei dyndns verzeichnet.
Nun erhielt ich von unserem Provider eine Mail folgenden Inhalts:
****************
auf Grund von Beschwerden der Firma eBay möchten wir Sie darauf hinweisen, dass am 08.02.2007 von Ihrem o.g. T-DSL Business Account die nachstehende Phisihng Website ins Netz gestellt wurde.
http://*unsere-IP*/SignIn ebay.html
Die Site ist zur Zeit nicht aktiv, wir bitten trotzdem Ihre Systeme zu überprüfen bzw. prüfen zu lassen.
****************
Die Leute hatten Recht. In den Unterverzeichnissen des Servers fanden sich die entsprechenden Dateien. Die SignIn%20ebay.html war allerdings schon verschwunden und die Seite offline.
Leider bin ich kein wirklicher Experte in diesen Dingen. Aber ich frage mich natürlich, wie das denn ging? Auf dem Rechner, der über eine 2. Netzwerkkarte am Internet hängt, lief eine Firewall. Erlaubt war nur http, https und ssh.
In /var/log/messages sind eine Menge fehlgeschlagener Login-Versuche als root zu sehen. In access_log von apache2 sehe ich eine Menge scans nach diversen Skripten (hauptsächlich *.php) und entsprechende Fehler in error.log.
Wie haben diese Buben die Daten auf unseren Server bekommen? Und vor allem: Wie können wir das in Zukunft verhindern?
Unabhängig davon stellen wir gerade auf SME Server 7.1 um, weil das alte System erneuert werden sollte. Nur wird da ja auch ein Webmailer laufen, wohl kein OX mehr für externe Nutzung, dass haben wir zu selten gebraucht.
Gibt es irgendwo Infos über diese Art von Angriffen? Ich vermute, dass lief über php ?
Für hinweise, Literaturtips u.ä. wäre ich dankbar.
Ciao
Rolf
wir haben einen kleinen Server, der für 5 Account Mail abholt
- Kernel 2.6.5 - 7.276 , Suse Linux 9.1
- Squirrelmail
- Open-XChange
- Apache 2.0.49
- php 4.3.4
Der Server hat eine feste IP adresse und (war) bei dyndns verzeichnet.
Nun erhielt ich von unserem Provider eine Mail folgenden Inhalts:
****************
auf Grund von Beschwerden der Firma eBay möchten wir Sie darauf hinweisen, dass am 08.02.2007 von Ihrem o.g. T-DSL Business Account die nachstehende Phisihng Website ins Netz gestellt wurde.
http://*unsere-IP*/SignIn ebay.html
Die Site ist zur Zeit nicht aktiv, wir bitten trotzdem Ihre Systeme zu überprüfen bzw. prüfen zu lassen.
****************
Die Leute hatten Recht. In den Unterverzeichnissen des Servers fanden sich die entsprechenden Dateien. Die SignIn%20ebay.html war allerdings schon verschwunden und die Seite offline.
Leider bin ich kein wirklicher Experte in diesen Dingen. Aber ich frage mich natürlich, wie das denn ging? Auf dem Rechner, der über eine 2. Netzwerkkarte am Internet hängt, lief eine Firewall. Erlaubt war nur http, https und ssh.
In /var/log/messages sind eine Menge fehlgeschlagener Login-Versuche als root zu sehen. In access_log von apache2 sehe ich eine Menge scans nach diversen Skripten (hauptsächlich *.php) und entsprechende Fehler in error.log.
Wie haben diese Buben die Daten auf unseren Server bekommen? Und vor allem: Wie können wir das in Zukunft verhindern?
Unabhängig davon stellen wir gerade auf SME Server 7.1 um, weil das alte System erneuert werden sollte. Nur wird da ja auch ein Webmailer laufen, wohl kein OX mehr für externe Nutzung, dass haben wir zu selten gebraucht.
Gibt es irgendwo Infos über diese Art von Angriffen? Ich vermute, dass lief über php ?
Für hinweise, Literaturtips u.ä. wäre ich dankbar.
Ciao
Rolf