Ik kreeg een melding van hotmail dat een van mijn servers spam aan het versturen was.
Heel vreemd, want ik dacht dat mijn klanten betrouwbaar waren.
Na wat zoeken bleek dat een bepaalde oude website een registratie formulier heeft waarop een bruteforce aanval werd uitgevoerd.
Hierbij werden verschillende email adressen automatisch ingevoerd en getest.
De ongelukkige gebruikers waarvan hun gegevens op deze bot zijn lijst zijn gekomen, kregen dus een registratie mail bij elke poging.
Nu lijkt het achteraf heel simpel, maar om eerlijk te zijn wist ik niet waar te zoeken toen ik begon.
Hoe pak je dit best aan als je directadmin gebruikt?
1) Ik heb meteen een limiet ingesteld op mijn server van max 200 mails per dag te mogen versturen:
echo 200 > /etc/virtual/limit
2) Dan ben ik gaan kijken welke gebruiker (website) de meeste mails verstuurd heeft:
ls -la /etc/virtual/usage
Het grootste bestand heb ik eerst bekeken.
Dit gaf me meteen een idee vanaf welke user de spam kwam.
3) Vervolgens ben ik gaan kijken welk script welke soort mails verstuurd.
Ik ben ingelogd in de account van de grootste user en ging naar:
User Level -> E-Mail Accounts -> E-Mail Usage
Vervolgens zag ik onderaan meteen welk php script de mails verstuurde en heb ik een captcha op deze registratie pagina gezet.
4) Op zich was ik klaar, maar wou toch nog een beetje verder zoeken:
Admin Level -> Mail Queue Admin
Hier kun je zien welke mails in de wachtrij staan.
Dit heb ik voor de zekerheid ook nagekeken.
5) Ik heb dit dan ook dubbel gecontroleerd door te kijken naar het bestand:
/home/username/.php/php-mail.log
Dan zie je vanuit php welke mails er worden verstuurd vanuit de hosting van die gebruiker.
Nu kon het natuurlijk ook zijn dat het helemaal niet via een script ging, maar dat bv een email account van een gebruiker was gehackt.
Dit kon je wel zien in stap 3, maar zo kun je zien wie er bv probeert in te loggen op email accounts van je klanten:
cd /var/log/exim
grep 'A=login:' mainlog* | less
Verder kun je als dat niets oplevert ook nog altijd kijken in je exim logs.
cd /var/log/exim
eximstats mainlog > stats.txt
less stats.txt
Als laatste raad ik ook aan om DKIM op te zetten voor elk van je domeinen.
Dan verwittigt hotmail je sneller (als je deelneemt aan hun anti-spam programma) en kun je sneller inspelen op dit soort problemen.
Heel vreemd, want ik dacht dat mijn klanten betrouwbaar waren.
Na wat zoeken bleek dat een bepaalde oude website een registratie formulier heeft waarop een bruteforce aanval werd uitgevoerd.
Hierbij werden verschillende email adressen automatisch ingevoerd en getest.
De ongelukkige gebruikers waarvan hun gegevens op deze bot zijn lijst zijn gekomen, kregen dus een registratie mail bij elke poging.
Nu lijkt het achteraf heel simpel, maar om eerlijk te zijn wist ik niet waar te zoeken toen ik begon.
Hoe pak je dit best aan als je directadmin gebruikt?
1) Ik heb meteen een limiet ingesteld op mijn server van max 200 mails per dag te mogen versturen:
echo 200 > /etc/virtual/limit
2) Dan ben ik gaan kijken welke gebruiker (website) de meeste mails verstuurd heeft:
ls -la /etc/virtual/usage
Het grootste bestand heb ik eerst bekeken.
Dit gaf me meteen een idee vanaf welke user de spam kwam.
3) Vervolgens ben ik gaan kijken welk script welke soort mails verstuurd.
Ik ben ingelogd in de account van de grootste user en ging naar:
User Level -> E-Mail Accounts -> E-Mail Usage
Vervolgens zag ik onderaan meteen welk php script de mails verstuurde en heb ik een captcha op deze registratie pagina gezet.
4) Op zich was ik klaar, maar wou toch nog een beetje verder zoeken:
Admin Level -> Mail Queue Admin
Hier kun je zien welke mails in de wachtrij staan.
Dit heb ik voor de zekerheid ook nagekeken.
5) Ik heb dit dan ook dubbel gecontroleerd door te kijken naar het bestand:
/home/username/.php/php-mail.log
Dan zie je vanuit php welke mails er worden verstuurd vanuit de hosting van die gebruiker.
Nu kon het natuurlijk ook zijn dat het helemaal niet via een script ging, maar dat bv een email account van een gebruiker was gehackt.
Dit kon je wel zien in stap 3, maar zo kun je zien wie er bv probeert in te loggen op email accounts van je klanten:
cd /var/log/exim
grep 'A=login:' mainlog* | less
Verder kun je als dat niets oplevert ook nog altijd kijken in je exim logs.
cd /var/log/exim
eximstats mainlog > stats.txt
less stats.txt
Als laatste raad ik ook aan om DKIM op te zetten voor elk van je domeinen.
Dan verwittigt hotmail je sneller (als je deelneemt aan hun anti-spam programma) en kun je sneller inspelen op dit soort problemen.
Groetjes,
Laura
xxx
Laura
xxx
Laura -
Hallo FangorN,
Ik heb inderdaad eerst de klant ingewikkeld dat ik hun website zou wijzigen en ze de gevolgen van de captcha uitgelegd.
De input validatie op het formulier stond gelukkig wel nog goed.