Gehackt und zum Spamversand missbraucht …

Dienstag, 8:15 Uhr:

Menno, die Schulhomepage ist ja wieder schneckenlahm. Joomla ist doch einfach Mist. Jetzt aber los zur Beratung zweier Schulen.

Dienstag, 14:42 Uhr:

Boah ey, immer noch. Ich rufe da gleich mal im Rechenzentrum an. Das Ding ist zwar gesponsort, aber so … Hm. Zur Sicherheit guckst du dir wohl besser nochmal die Sache von der Konsole aus an.

Dienstag, 14:53 Uhr:

Über 50 aktive postfix-Prozesse, Load bei 22, vieles bounce-Prozesse – komisch, sind wir wieder mal auf irgendeiner Blacklist gelandet? Aber wir verschicken über diesen Server doch gar keine Mails.

Dienstag, 15:01 Uhr:

Arrrgh. 46531 Mails in der Queue. Alle mit einer Domain, die gar nicht als aktive Maildomain genutzt wird. Und: Wir sind so ziemlich auf allen Blacklists gelandet. Besser mal das Mailsystem herunterfahren. Puh. Load normalisiert sich.

Dienstag, 15:13 Uhr:

Erstmal ist Ruhe – zumindest geht nichts mehr raus, aber die Mailqueue füllt sich wieder Stück für Stück mit ca. 3 Mails / Sekunde und wartet auf Auslieferung. Damit ist zumindest der Mailserver schonmal sauber. Kommt der Kram über den Webserver rein? Ooops. Dessen Log ist ja leer?

Dienstag, 15:42 Uhr:

Joah. Der Mist kommt über Apache rein und irgendein Script setzt dessen Log auf Null. Aber: Es gibt ja noch weitere Logs an Orten, die der Wurm so nicht vorhersehen konnte. Aber welches ist das Richtige? Auf dem Server liegen unzähligen Homepages von Schulen und auch Testinstallationen.

Dienstag, 16:25 Uhr:

Ein Log ist besonders groß. Dank tail mal die letzten 50 Zeilen ausgeben. Treffer! Ein WordPressplugin, aktuellste Version, trotzdem offenbar verwundbar. Viele nette verschlüsselte PHP-Scripts als Payload. Alles säuberlich im Customlog als Pfadangabe.

Dienstag, 16:48 Uhr:

Wartungsseite setzen, Installation hinter .htaccess-Schutz verstecken, Mailserver anfahren, warten.

Dienstag, 17:03 Uhr:

Mailserver bleibt unauffällig. Verseuchte Installation reinigen und wieder online stellen. Da es ein Kalenderplugin war, gibt es leider einiges an Datenverlust.

Dienstag, 18:15 Uhr:

Seufz. Dann man die IP von dem Spamlisten delisten (lassen). Mails an t-online hängen immer noch :o(…

Tage, an denen es besser wäre, einfach nur Lehrer zu sein. Heise kam just zum Zeitpunkt meiner Suche mit der entsprechenden Warnung raus – während ich schon suchte. Und natürlich war dann ein Ableger eines von mir eingesetzten Plugins auf der entsprechenden Liste. Tja. Es ist halt nicht immer gut, unter den ersten zu sein.

Facebook Like

Ein Kommentar

  • So hat es mal bei uns auch angefangen.
    Ging dann seuchenartig los mit Spamming und binnen weniger Tage hat der Provider die Schulhomepage gesperrt. Sind dann von Joomla auf WordPress umgestiegen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.