Gehackt und zum Spamversand missbraucht …

Diens­tag, 8:15 Uhr:

Men­no, die Schul­home­page ist ja wie­der schne­cken­lahm. Joom­la ist doch ein­fach Mist. Jetzt aber los zur Bera­tung zwei­er Schu­len.

Diens­tag, 14:42 Uhr:

Boah ey, immer noch. Ich rufe da gleich mal im Rechen­zen­trum an. Das Ding ist zwar gespons­ort, aber so … Hm. Zur Sicher­heit guckst du dir wohl bes­ser noch­mal die Sache von der Kon­so­le aus an.

Diens­tag, 14:53 Uhr:

Über 50 akti­ve post­fix-Pro­zes­se, Load bei 22, vie­les boun­ce-Pro­zes­se — komisch, sind wir wie­der mal auf irgend­ei­ner Black­list gelan­det? Aber wir ver­schi­cken über die­sen Ser­ver doch gar kei­ne Mails.

Diens­tag, 15:01 Uhr:

Arrrgh. 46531 Mails in der Queue. Alle mit einer Domain, die gar nicht als akti­ve Mail­do­main genutzt wird. Und: Wir sind so ziem­lich auf allen Black­lists gelan­det. Bes­ser mal das Mail­sys­tem her­un­ter­fah­ren. Puh. Load nor­ma­li­siert sich.

Diens­tag, 15:13 Uhr:

Erst­mal ist Ruhe — zumin­dest geht nichts mehr raus, aber die Mail­queue füllt sich wie­der Stück für Stück mit ca. 3 Mails / Sekun­de und war­tet auf Aus­lie­fe­rung. Damit ist zumin­dest der Mail­ser­ver schon­mal sau­ber. Kommt der Kram über den Web­ser­ver rein? Ooops. Des­sen Log ist ja leer?

Diens­tag, 15:42 Uhr:

Joah. Der Mist kommt über Apa­che rein und irgend­ein Script setzt des­sen Log auf Null. Aber: Es gibt ja noch wei­te­re Logs an Orten, die der Wurm so nicht vor­her­se­hen konn­te. Aber wel­ches ist das Rich­ti­ge? Auf dem Ser­ver lie­gen unzäh­li­gen Home­pages von Schu­len und auch Test­in­stal­la­tio­nen.

Diens­tag, 16:25 Uhr:

Ein Log ist beson­ders groß. Dank tail mal die letz­ten 50 Zei­len aus­ge­ben. Tref­fer! Ein Wor­d­Press­plug­in, aktu­ells­te Ver­si­on, trotz­dem offen­bar ver­wund­bar. Vie­le net­te ver­schlüs­sel­te PHP-Scripts als Payload. Alles säu­ber­lich im Custom­log als Pfad­an­ga­be.

Diens­tag, 16:48 Uhr:

War­tungs­sei­te set­zen, Instal­la­ti­on hin­ter .htac­cess-Schutz ver­ste­cken, Mail­ser­ver anfah­ren, war­ten.

Diens­tag, 17:03 Uhr:

Mail­ser­ver bleibt unauf­fäl­lig. Ver­seuch­te Instal­la­ti­on rei­ni­gen und wie­der online stel­len. Da es ein Kalen­der­plug­in war, gibt es lei­der eini­ges an Daten­ver­lust.

Diens­tag, 18:15 Uhr:

Seufz. Dann man die IP von dem Spam­lis­ten delis­ten (las­sen). Mails an t-online hän­gen immer noch :o(…

Tage, an denen es bes­ser wäre, ein­fach nur Leh­rer zu sein. Hei­se kam just zum Zeit­punkt mei­ner Suche mit der ent­spre­chen­den War­nung raus — wäh­rend ich schon such­te. Und natür­lich war dann ein Able­ger eines von mir ein­ge­setz­ten Plug­ins auf der ent­spre­chen­den Lis­te. Tja. Es ist halt nicht immer gut, unter den ers­ten zu sein.

Facebook Like

Ein Kommentar

  • So hat es mal bei uns auch ange­fan­gen.
    Ging dann seu­chen­ar­tig los mit Spamming und bin­nen weni­ger Tage hat der Pro­vi­der die Schul­home­page gesperrt. Sind dann von Joom­la auf Wor­d­Press umge­stie­gen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.