Kann Keyhelp mich sperren? [SOLVED]

[Jolinar]

Sorry Bloodgirl, aber mit wildem Herumraten:

Vermutung

nicht belegten Behauptungen:

Davon abgesehen, YABB ist nicht gerade besonders aktuell.
Habe ich in den letzten Tagen gesehen..

und völlig sinnfreien Empfehlungen:

Ich würde ihm aber jeden Fall auch zu einem Managed Server raten.

kommen wir hier aber nicht weiter!


Vielleicht kläre ich mal die Verwirrung um die Erreichbarkeit etwas auf...
Tobi hat (entweder als Kompetenztraining für unsere User oder einfach versehentlich) ein Nicht-ASCII Zeichen in seinen Post eingeschmuggelt:

Warum ist das plötzlich keine sichere Verbindung mehr zu anti–Scam.de?

Zur Erklärung:
Der Bindestrich im Domainnamen ist in Wirklichkeit kein Bindestrich (Unicode: U+002D), sondern ein Gedankenstrich (Unicode: U+2013) und beim Aufruf wird die Domain in Punycode umgewandelt (xn--antiscam-vn3d.de).
Da dieser Domainname aber im DNS garnicht existiert, kommt ein Fehler, wie Tobi7889 festgestellt hat.
Verwendet man den richtigen "Strich" im Domainnamen, dann flutscht es auch.


Also liebes Bloodgirl,

ich bin begeistert, wenn sich neue User aktiv am Forenleben beteiligen und ihre Sach- und Fachkompetenz der Community zur Verfügung stellen.
Ich sehe es allerdings etwas kritisch, wenn durch sinnfreie und höchst spekulative Posts die Forenthreads unnötig aufgebläht werden.

[Bloodgirl]

Ja gut, mit der Empfehlung zu einem Managed Server kam jedoch leitztlich nicht von mir.
Ich habe nur, Tobi7889' Äußerung zugestimmt, weil ich einfach der gleichen Meinung bin.

Ansonsten ziehe ich meine Vermutung gerne wieder zurück, wird aber denke ich mal nicht wirklich jetzt großartig notwendig sein.

Edit:
Nach Tobi' Beitrag, lasse ich meine Vermutung eher doch mal stehen.
Wegen aus dem selben Grund.

[Tobi]

Gedankenstrich hin oder her.

Vorhin war das Zertifikat falsch, und zwar bei anti-scam.de.
Jetzt sind die Deeplinks wieder verfügbar aber das Forum ist im Wartungsmodus.
Die TLD direkt aufgerufen zeigt aktuell Keyhelp-Default Startseite.

Und ja ich denke auch gehackt, weil gestern ging’s kurzzeitig.

[Pyragony]

@Tobi,
stimmt. Ich habe zwischenzeitlich den Server so gut wie möglich abgesichert.
Ich hoffe, es hilft.

Nun ist ein weiteres Problem aufgetaucht, was ich bei Debian 9 nicht hatte und was vermutlich auch den Absturz vollzogen hat.
Kann ich aber jetzt nur vermuten.

In der Mailwarteschlage tauchen öffters Mails auf. Folgend:

root@mein Server oder auch double.root@mein Server

an

meine externe Mailadresse.

Die Mails gehen nicht raus, weil der Versender "root" ja nicht existiert und es auch keine Sicherheitszertifikate dafür gibt.

Ob das jetzt der Grund war, warum der Server ab stürzte oder nicht, entzieht sich jetzt meiner Kenntnis.

Wie kann ich diese Mails weiterleiten? Wäre eine interne Mailadresse da besser?

Beim ersten Absturz waren es über 50000 Mails in der Warteschlange.

Erst ging der FTP, der IMAP und POP3 offline. Reihenfolge unbekannt.
Nach einiger Zeit gingen dann wohl http und https offline und ich konnte auf nichts mehr zugreifen.
Die ssh war jedoch vorhanden, ich konnte darauf zugreifen. So konnte ich noch alle Daten herunterladen.

[Jolinar]

Moderativer Hinweis:
Thread nach Off Topic verschoben, da kein direkter Bezug zu Keyhelp vorhanden ist.

[tab-kh]

@Tobi,
stimmt. Ich habe zwischenzeitlich den Server so gut wie möglich abgesichert.
Ich hoffe, es hilft.

Nun ist ein weiteres Problem aufgetaucht, was ich bei Debian 9 nicht hatte und was vermutlich auch den Absturz vollzogen hat.
Kann ich aber jetzt nur vermuten.

In der Mailwarteschlage tauchen öffters Mails auf. Folgend:

root@mein Server oder auch double.root@mein Server

an

meine externe Mailadresse.

Die Mails gehen nicht raus, weil der Versender "root" ja nicht existiert und es auch keine Sicherheitszertifikate dafür gibt.

Ob das jetzt der Grund war, warum der Server ab stürzte oder nicht, entzieht sich jetzt meiner Kenntnis.

Wie kann ich diese Mails weiterleiten? Wäre eine interne Mailadresse da besser?

Beim ersten Absturz waren es über 50000 Mails in der Warteschlange.

Erst ging der FTP, der IMAP und POP3 offline. Reihenfolge unbekannt.
Nach einiger Zeit gingen dann wohl http und https offline und ich konnte auf nichts mehr zugreifen.
Die ssh war jedoch vorhanden, ich konnte darauf zugreifen. So konnte ich noch alle Daten herunterladen.

Hast du den Server neu aufgesetzt oder versuchst du ihn wieder zu entseuchen? Das Letztere ist eher nicht empfehlenswert, weil du nie sicher sein kannst, alle durch die Hacker durchgeführten Änderungen rückgängig gemacht zu haben. Vor allem in Anbetracht deiner Schilderung, wer die Hacker sind. Also nicht irgendwelche Script-Kiddies, die gar nicht so genau wissen was ihr runtergeladenes Script so alles macht.

Was die Mails von root@dein Server betrifft, die könnten normalerweise durchaus rausgehen.Ich bekomme z.B. täglich von jedem meiner Keyhelp-Server die Benachrichtigung über das in der Nacht durchgeführte Server-Backup eine Mail von dieser Adresse. Den Absender habe ich auch nicht selbst erstellt, trotzdem kommt die Mail von root@mein Server bei mir an. Dass nach und nach die Dienste offline gingen, kann am fehlenden RAM gelegen haben. Möglicherweise verbraucht durch die zig-Tausend Mails in der Warteschlange - oder durch andere Änderungen der Hacker. Die Dienste könnten also wegen knapp werdendem RAM nach und nach vom OOM-Killer beendet worden sein.

[Pyragony]

Ich habe natürlich den Server neu aufgesetzt.
Am RAM kann es nicht liegen. 16 GB sollten eigentlich reichen.
Das Forum geht jetzt dann wieder online, nach dem zweiten Zwischenfall. Da waren nicht viel Mails in der Warteschlange, aber keine ging raus.

... und Danke, dass bei dir die Mails weitergeleitet werden, bei mir tun sie es nicht.

[Tobi]

50000 Mails in der Warteschlange sind ein %iges Indiz dafür, dass deine Webseite mindestens ein gewaltiges Sicherheitsloch (von Lücke zu sprechen wäre verharmlosend) hat.

Du solltest dringend auf eine aktiv supportete Forensoftware umsteigen. Am besten etwas als SaaS wo du dich nicht ums Hosting kümmern musst.

[Pyragony]

Schön, jetzt habe ich zwei Antworten, aber das E-Mail-Problem wurde nicht gelöst.

Wie bereits erwähnt, bei Debian 9 hatte ich das nicht.

[Jolinar]

Schön, jetzt habe ich zwei Antworten, aber das E-Mail-Problem wurde nicht gelöst.

Kannst du bitte etwas genauer werden?
Meinst du jetzt das Problem mit Mails an rosa Adressen, die 50000 Mails in der Queue oder die Mails von root?

[OlliTheDarkness]

Schön, jetzt habe ich zwei Antworten, aber das E-Mail-Problem wurde nicht gelöst.

Kannst du bitte etwas genauer werden?
Meinst du jetzt das Problem mit Mails an rosa Adressen, die 50000 Mails in der Queue oder die Mails von root?

In deiner Auflistung fehlt der Link zum Linux Basics Fachbuch ^^

[Pyragony]

Ich meine damit jede Mail, die die Bezeichnung "root@meinServer" als Absender haben. Das hatten damals die 50000 Mails und jetzt auch die Mail über den Virenscan und die Mail, dass ich mein Postfach richtig eingerichtet habe und der Virenscan nichts ergab.
Ich habe einen Punkt entdeckt, den es vorher nicht gab innerhalb des Panels von Keyhelp.
Hier mal ein Screener. Die Punkte root, admin und hostmaster standen bereits drinnen.
In die leere Zeile hatte ich meine externe Mailadresse eingegeben. Leider befindet sich jetzt keine Mail in der Warteschlange.

[Jolinar]

Leider befindet sich jetzt keine Mail in der Warteschlange.

Dann schick dir doch einfach eine Mail an root:

Code: Select all

echo "Testnachricht" | mail -s "Testbetreff" root@domain.tld

[Pyragony]

@ Jolinar

in die Putty eingegeben, naürlich mit richtiger tld, aber es passiert nichts. Keine Mail in der Warteschlange.

[Jolinar]

aber es passiert nichts. Keine Mail in der Warteschlange.

Dann ist jetzt ein guter Zeitpunkt, mal ins Maillog zu schauen...