Serverprobleme (Debian-Server)

Wie kommst Du denn drauf, dass da Spam geschleudert wird?

 

Qmail kenne ich muss ich sagen schon lange nicht mehr.

Kann den Server wer als Relay verwenden? Oder kommt das Mail von innnen? Wenn Du willst merh vielleicht per PM.

 

Teste erstmal, ob Du nicht noch ein offenes mail relay bist, qmail ist gleich falsch konfiguriert.
http://www.mailradar.com/openrelay/

 

Gute Idee aber ich denke wenn man nichts geändert hat ist das sehr unwahrscheinlich. Wenn man einen Server aufsetzt dann dauert es meist nur Minuten bis der erste versucht ihn als Relay zu nutzen. Die Welt da draußen ist gar nicht nett.

Ich bin fast überrascht, dass es noch qmail-fans gibt.

 

Ungewöhnlich? War Qmail jemals default MTA unter Debian? Ich glaub nicht? Ich kann mich jedenfalls nicht erinnern.

Egal, das qmail scheint ja wohl eh nicht schuld zu sein.

 

Unter Debian ist es der Exim, meine Empfehlung waere Postfix, Qmail tut aber auch einwandfrei, gmx hatte damit Milliarden von Mails abgewickelt.

Hier war das Problem wohl eher irgendein CMS, welches eine Sicherheitsluecke hatte und dazu bewegt werden konnte, Spam zu schleudern, oder?

 

Wie gesagt, ich frage mich, ob man nicht ein diff aller files bräuchte, die der user schreiben kann (zu einem Zustand, der sicher noch in Ordnung war) oder den Account neu aufsetzen müsste.

Es sei denn Du hast eine sehr genaue Idee was der gemacht hat - wenn das etwa im Log steht, weil alles per web ging kann man das auch auslesen. Kann aber irgenwie zach werden?

Ich hab seit 15 Jahren einige Server am laufen, aber zum Glück hatte ich sowas noch nie.

 

Hast du die Seite vom Netz genommen? Wie ist der Status? Backup einspielen und patchen, alle Passwörter geändert? Ich empfehle in meiner Tätigkeit als Abuse Bearbeiter eines ISP immer das schalten einer statischen Web Visitenkarte wenn sie ihren Webauftritt aus Security Gründen löschen.

Gesendet von meinem GT-I9300 mit Tapatalk

 

Kannst du eine Malware (z. B. Keylogger) auf einem PC ausschließen ?

 

Morgen,

nach Onlinescans wie Virutstotal und Konsorten dürfte die Seite wieder sauber sein

 

Hallo Iskanda,

du solltest überlegen, ob Du nicht von Joomla weg migirierst. Joomla ist leider sicherheitstechnisch ein ziemlicher Albtraum und selbst bekannte Lücken wurden oft lange nicht gepatcht. Zusätzlich macht seine große Verbereitung es als Angriffsziel besonders attaktiv.
Wir hatten allein im vergangenen Jahr 4 oder 5 Fälle, in denen sich Kunden mit Joomla-Intallationen an uns gewandt haben, die gehackt wurden. Diese Server wurden dann entweder als Spam-Schleudern benutzt (wie bei Dir) oder Seiteninhalte wurden mit IS Propaganda ausgetauscht (scheint gerade trendy zu sein). Das waren alles triviale Hacks, aber Joomla macht es eben Angreifern oft auch entsprechend einfach. Die Joomla-Installationen waren natürlich nicht von uns, sondern wurden von den Kunden in Eigenregie aufgesetzt - weil das System eben so vermeintlich einfach zu installieren und zu bedienen ist. Leider ein Trugschluss.

Gruß
Christian