Beiträge von isphttp.de

Zitat von TCRserver

Brute Force ist jetzt nicht unbedingt eine Lücke...

Wenn man die Zugangsdaten hat, dann hat man "legitimen" Zugriff auf das Mail System.

Hier hilft dann sowas wie fail2ban oder sshguard gegen zu häufige Anmeldeversuche.

Anhand des Log Auszugs kann ich nichts erkennen.

Im Prinzip müsste man die Queue prüfen wo die Mails her kommen, also von welchem Kunden oder ob die von z.B. PHP versendet werden.

Code

cd  /var/spool/postfix
find active bounce deferred incoming maildrop -type f | wc -l

Wenn hier irgendwas größer 10 raus kommt, dann würde ich anfangen die Queue zu prüfen.

Um danach zumindest mal den permanenten Versand zu beenden, könnte man temporär die Mailserver stoppen.

Dann fängt die Suche nach dem Versender innerhalb des Systems an.

Alles anzeigen

Danke für eure Hilfe, dass hat wirklich geholfen, letztlich kam mein Techniker wieder back und hat sich darum gekümmert. Ich habe aber schon mal einiges damit ausschließen können und ich war extrem irritiert, dass kein LC Benutzer vorhanden war, aber scheinbar auch kein Formular ausgenutzt wurde.

LG

Guten Morgen,

wir hatten auf einer der Maschinen einen Bruteforce angriff, welcher scheinbar LiveConfig ausgehebelt hat, da über Fiktive E-Mail Adressen munter SPAM versendet wurde und wird, wie z.B

1163B427954     5248 Tue Apr 15 03:53:03  info@howtomeasurecobb.com
(host mx00.emig.gmx.net[212.227.15.9] refused to talk to me: 554-gmx.net (mxgmx009) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MmRkp-1tM8Nz0pmr-00iYBU)
                                         [redacted]@gmx.net

D228D425F44   106036 Tue Apr 15 03:31:01  astywqy@listinser.mom
(host mx-ha02.web.de[212.227.17.8] refused to talk to me: 554-web.de (mxweb105) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1N94iT-1szUyn2Kud-015ffT)
                                         [redacted]@web.de

85762420187   126595 Tue Apr 15 02:11:38  ymfyypy@nikosale.makeup
(host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx106) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MGwUl-1trbBl15PP-004Z24)
                                         [redacted]@gmx.net

582AE3826AE    37693 Tue Apr 15 05:26:09  msprvs1=20200Uh5FyTYc=bounces-15996-85049@bounce.ecomailapp.cz
(host mx-ha03.web.de[212.227.15.17] refused to talk to me: 554-web.de (mxweb006) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MBkMK-1tsREU1ycG-00CauW)
                                         [redacted]@web.de

B18AB3DE52A   106063 Mon Apr 14 23:25:58  imduplx@folowaunt.de
(host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx107) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MWxTV-1tXBJb25Yv-00Xq8q)
                                         [redacted]@gmx.de
                                         [redacted]@gmx.de

068BA426C5A   163644 Tue Apr 15 03:42:12  uwzacry@collo.in.rs
(host mx-ha03.web.de[212.227.15.17] refused to talk to me: 554-web.de (mxweb004) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MVdtA-1tcyF045pM-00HjTq)
                                         [redacted]@web.de

0FA722A97C8    26162 Tue Apr 15 04:22:23  jkmsh@thebestone.click
(host mx-ha03.web.de[212.227.15.17] refused to talk to me: 554-web.de (mxweb004) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1Mj8Rl-1tPR5n0zuH-00mojE)
                                         [redacted]@web.de

04E3C407615   126582 Tue Apr 15 00:31:40  oqzyqlk@linkersame.eu
(host mx00.emig.gmx.net[212.227.15.9] refused to talk to me: 554-gmx.net (mxgmx007) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MkpvZ-1tJC9J1grv-00ojcN)
                                         [redacted]@gmx.de
                                         [redacted]@gmx.de

0C9EC409F50   106038 Tue Apr 15 01:03:38  ywhobhj@listinser.mom
(host mx00.emig.gmx.net[212.227.15.9] refused to talk to me: 554-gmx.net (mxgmx007) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1M58OU-1u3TYg1F7U-005HgA)
                                         [redacted]@gmx.net

471234111CD   126597 Tue Apr 15 06:40:13  anqarrn@nikosale.makeup
(host mx-ha02.web.de[212.227.17.8] refused to talk to me: 554-web.de (mxweb105) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MBRi9-1tsiR70wcJ-00CrOi)
                                         [redacted]@web.de

----

Hat jemand eine Idee, wie man die Lücke ausfindig machen könnte?

Ich möchte etwas zum Design sagen: "hell" zu wenig Akzente, gerade wichtige Buttons wie z.B als Benutzer Anmeldung müssten besser hinterlegt sein.

Es ist alles viel zu eben, dadurch geht etwas überblick verloren.

LG

Andreas

Vielen Dank Herr Keppler, ich habe mir das schon Gedacht.

Besten Dank.

LG

Grüßt euch,

ich habe einige Kunden, die obwohl Sie Ihre Mails abrufen, diese nicht vom Server gelöscht werden. Im Client wird laut Kunden die Einstellung gesetzt, dass nach dem Abrufen diese vom Server gelöscht werden.

Kann ich im LC noch etwas zusätzlich einstellen, um das Problem von meiner Seite aus zu regeln? Weil diese Kunden haben mehrere GB schon voll und es wird als mehr. Ich würde da gerne eine andere Lösung bevorzugen, als mehr Webspace zu vermieten.

Danke für eure Tipps.

LG

Gibt es eigentlich eine Möglichkeit, Spamhaus mit öffentlichen DNS zu nutzen? Ich finde gerade die Wahl vom DNS kann schon einiges ausmachen, es ist Unverschämtheit, dass Spamhaus hier vorschreibt, welchen DNS man nicht zu nutzen hat.

Lg

Dann kann bei uns etwas nicht richtig sein, weil bei uns greift es 0,0

Meine Hosting Kollegen, 2 Stück an der Zahl, haben das auch schon bestätigt. Also ich bin nicht der einzigste, aber wenn es bei dir greift, ist es schon seltsam.

Grüßt euch,

in LiveConfig kann man bei E-Mails bestimmte E-Mail Adressen und Domains blockieren lassen, in dem man diese auf eine Blacklist einträgt.

Nun habe ich einen Kunden, der mich seit Monaten zu spamt und der Eintrag im LiveConfig unter Blacklist bringt absolut nichts. Wenn das schon bei einer normalen Kunden Domain nichts bringt, wie soll das bei richtigen SPAM ziehen?

@Herr Keppler, die Funktion ist absolut nutzlos! Ich frage mich wo der Sinn dabei besteht? Das Eintragen kann man sich definitiv sparen.

Lg

Andreas

Ich habe das Problem gelöst, DNS gewechselt.

der lokale BIND service wird gar nicht verwendet. die lokal eingestellten resolver sind die folgenden 3 nameserver

root@s3:~# cat /etc/resolv.conf

# --- BEGIN PVE ---

search configserv.de

nameserver 195.10.195.195

nameserver 94.247.43.254

nameserver 9.9.9.9

Im Wordpress selbst bekomme ich folgende Meldung:

Grüßt euch,

kann mir jemand bei den Einstellungen der PHP Konfiguration helfen, ich würde diese gerne mehr für Wordpress optimieren und erhalte beispielsweise auch die Meldung "REST-API-Antwort: (http_request_failed) cURL error 28: Resolving timed out after 10000 milliseconds"

Kann mir jemand hier Hilfestellung geben, der mit seiner Konfiguration zufrieden ist?

Lg

Okay, weil ich dachte, er verschiebt diese Nachricht eher, statt zu kopieren.

Problem gelöst, dass SSL Zertifikat ist fehlerhaft gewesen, ich habe woanders eins bestellt, dass ging sofort durch.

Guten Morgen,

ich wollte heute unseren Server ein neues SSL geben, leider lässt sich der Key nicht über LiveConfig importieren, es kommt immer folgende Fehlermeldung:

Fehler beim Lesen des Schlüssels: error:09091064:PEM routines:PEM_read_bio_ex:bad base64 decode

Ich habe das SSL auch danach gelöscht, aber keine Änderung, es lässt sich nicht installieren.

Jemand eine Idee?

Lg

Der Ordner gelöschte Mails ist schon vorhanden, dass müsste doch der Trash Ordner sein oder?

Nein, die Postfächer haben noch bissle Platz, aber nicht viel, vielleicht 20%. Meinst du das ist zu wenig?

Grüßt euch,

meine Kundin möchte per Roundcube die Postfächer leeren, d.h alte Mails löschen um wieder Platz zu machen. Leider bekommt Sie beim löschen folgende Meldung:

Hat jemand eine Idee?

Lg

Andreas

Grüßt euch,

ich habe einen LC Server mit Debian und ein Kunden Web verursacht extreme Load durch FastCGI, welche den RAM verbraucht bis der SQL Dienst dann nur noch Fehler bringt und die Ladezeiten sich entsprechend verschlechtern.

Der Kunde hat nur 64 MB PHP Memory Limit, trotzdem zieht er alles weg, was kann man hier am besten tun?

Viele Grüße
Andreas

Grüßt euch,

ich habe das selbe Problem. aber mit web6, also dem Hauptbenutzer.

Ein Login ist jedenfalls per SSH über web6 nicht möglich, er sagt immer "Falsches Passwort". PW für Hauptbenutzer geändert, keine Änderung.

Hat jemand eine Idee?

Wäre besser, dass solche Log Files nur mit dem Admin PW gelöscht werden können.

Es hat ja auch eine Art Kontrolle, wenn jemand scheiße baut, ist es zu prüfen... Ansonsten wäre es nicht möglich.