Kundencenter Wissensdatenbank Sicherheit Mein Server wird zum Spam-Versand ausgenutzt, was kann ich tun?

Mein Server wird zum Spam-Versand ausgenutzt, was kann ich tun? Drucken

  • spam, server, ocs, security, sicherheit
  • 0

Was ist passiert?

Hier gibt es verschiedene Möglichkeiten z.B.:

 

  • Ein Angreifer hat sich eine Sicherheitslücke innerhalb Ihrer Webseiten (z.B. WordPress/Joomla/Drupal usw.) zu Nutze gemacht und hat zum Zwecke des Spam-Versand eine oder mehrere Schadcode-Dateien in Form eines PHP-Skriptes platziert. Diese kleinen Programme nutzten die sogenannte PHP mail()-Funktion zum Versand einer generierten Spam-E-Mail, an eine meist recht große, unbekannte Empfängerliste. Oftmals wird auch das üblicherweise von Ihren Seitenbesuchern genutzte Kontakt-Formular oder eine Gästebuch-Funktion zum Spam-Versand zweckentfremdet.
  • Dem Angreifer ist es gelungen das (SMTP-)Kennwort einer Ihrer E-Mail-Adresse auszuspionieren. Dies geschieht in der Regel über Trojaner oder Viren die wiederum in herkömmlichen Spam-E-Mails auf Ihrem Endgerät geöffnet wurden. Die erbeuteten Login-Daten werden dabei direkt an den Angreifer übermitteln. Dieser kann dann über herkömmliche E-Mail-Client (z.B. Outlook, Thunderbird und Co.) Spam-E-Mails mit den Zugangsdaten Ihrer E-Mail-Adresse versenden.
  • Kompromittierung des Gesamtsystems durch unsichere Passwörter oder veralteten Softwarestand.

 

Was muss ich tun?

Sollten uns derartige Aktivitäten von Ihrem Server bekannt werden, führen wir unter Umständen eine Sperrung des Servers durch. Wir informieren Sie in jedem Fall per E-Mail und bitten Sie um zeitnahe Kontaktaufnahme über das Supportsystem, welches Sie in Ihrem Kundencenter-Login finden. Teilen Sie uns dort bitte Ihre geplanten oder womöglich bereits durchgeführten Gegenmaßnahmen mit.

 

  • Beim Spam-Versand über eingeschleusten Schadcode/PHP-Skript gilt:

    Bedenken Sie bitte von Anfang an unbedingt, dass alleiniges Löschen der platzierten Schadcode-/Phishing-Dateien die eigentliche Ursache dieses Sicherheitsvorfalles nicht bekämpfen wird. Gehen Sie bitte davon aus, dass Ihr CMS/PHP-Skript (z.B. Joomla/WordPress/Drupal usw.) durch eine darin befindliche Sicherheitslücke manipuliert und nachhaltig an unbekannter Stelle verändert wurde. Verpasste Sicherheitsupdates nachträglich einzuspielen löst die Problematik leider ebenso wenig, da der Schadcode im Vorfeld platziert wurde. Auf kürzlich erstellte Backups sollten Sie ebenso verzichten, da die Sicherheitslücke zum Zeitpunkt der Datensicherung womöglich schon ausgenutzt wurde. Wir empfehlen Ihnen aus den genannten Gründen die durchgreifende Änderung relevanter Passwörter (z.B. FTP/MySQL), sowie eine saubere Neuinstallation des verwendeten CMS/PHP-Skriptes in der aktuellsten Version. In diesem Zusammenhang sollten alle nachträglich installierten Erweiterungen/Plugins und ganz besonders auch Templates auf deren Herkunft/Quelle/Vertrauenswürdigkeit von Ihnen überprüft werden.

    Kontaktformulare
     und Gästebücher sollten prinzipiell mit einem Captcha abgesichert werden.


  • Beim Spam-Versand über ein kompromittiertes E-Mail-Postfach gilt:

    Bitte bedenken Sie von Anfang an unbedingt, dass ein alleiniges Ändern des Kennwortes des betroffenen E-Mail-Postfaches die Dateien die eigentliche Ursache dieses Sicherheitsvorfalles unter Umständen nicht bekämpfen wird. Gehen Sie bitte davon aus, dass Ihr Kennwort entweder zu einfach konzipiert, einem Dritten bekannt war oder eines Ihrer Endgeräte, welches das betroffene Postfach synchronisiert, von einem Angreifer manipuliert wurde (z.B. Trojaner, Virus, Malware etc.). Prüfen Sie daher Ihre genutzten Endgeräte zunächst mit einer geeigneten Sicherheitssoftware. Sofern ein Befall der Endgeräte ausgeschlossen werden kann, speichern Sie bitte ein neues und sicheres Kennwort ab.

    Besonderheit: In seltenen Fällen nutzen PHP-Skripte zum E-Mail-Versand nicht die PHP mail()-Funktion, sondern die sogenannte SMTP-Authentifizierung über ein angelegtes E-Mail-Postfach. Wenn es einem Angreifer gelingt das von Ihnen genutzte CMS/PHP-Skript zu manipulieren, wäre er unter Umständen in der Lage das SMTP-Kennwort Ihres dort hinterlegten Postfaches auszulesen. Prüfen Sie daher im Zweifelsfall auch Ihre CMS/PHP-Skripte ob diese den E-Mail-Versand per SMTP-Authentifizierung durchführen.  Passen Sie in diesem Falle auch dort das geänderte E-Mail-Passwort (SMTP) an oder wechseln Sie die Versandart im Backend auf Sendmail.

  • Wenn das Gesamtsystem kompromittiert ist, sichern Sie bitte Ihre Daten über das zur Verfügung stehende Rettungssystem und führen Sie anschließend eine Neuinstallation des Servers durch.

Wer kann mir helfen?

Wenn Ihr Server von einem Administrator erstellt/verwaltet wurde, involvieren Sie ihn unbedingt.

Was muss ich in Zukunft beachten?

Achten Sie bitte immer darauf, dass die Kennwörter Ihrer E-Mail-Postfächer nur Ihnen bekannt sind und eine entsprechend hohe Komplexität bzw. Passwort-Stärke aufweisen.

Wichtig ist ebenso die Aktualität Ihres Server Betriebssystems und natürlich auch die Aktualität der im Einsatz befindlichen CMS-/PHP-Skripte. Nutzen Sie stets die als „stable“ eingestuften Versionen von PHP, MySQL usw.

Kontrollieren Sie den Netzwerkverkehr mit geeigneten Anwendungen (z.B. ntop) oder den zur Verfügung stehenden Bordmitteln (z.B iptables). Schauen Sie sich ebenso das „syslog" Ihres Servers an und überprüfen Sie auch die laufenden Prozesse Ihres Servers.


War diese Antwort hilfreich?

« Zurück