Zum Spammen missbrauchter Webserver von Schadsoftware befreit

Ich könnte inzwischen eine nette Liste von kleinen Anbietern veröffentlichen für welche ich auf diese Weite tätig bin.

Das mache ich aber nicht, weil ich die kriminelle Energie gewissen Packs nicht auf meine Kunden locken will. Immerhin fanden, von einer in Düsseldorf sitzenden Firma initiiert, inzwischen schon mehrfach Versuche statt, meinen Webauftritt anzugreifen. Die haben dabei allerdings auch nur erstaunlich wenig Intelligenz aufwenden können. Zum anderen wäre das für meine Kunden aus deren unternehmerischer Sicht nicht so ideal, weshalb ich das besser lasse.

Wie auch immer: ich habe mal wieder einen zum Spam senden missbrauchten Webserver von Schadsoftware befreit.

In den vergangenen Tagen habe ich nunmehr einem weiteren Hoster geholfen, die Folgen eines Angriffs auf den Webauftritt eines Kunden zu beseitigen. Hintergruund war wieder einmal eine Joomla-Installation, welche jahrelang nicht mit Updates versorgt wurde und bei welcher sich das NoNumber-Plugin als Einfallstor erwies. Das bedeutete 2 Stunden Arbeit und 3 Tage lang lachen, weil der verzweifelte Käufer der Webshell (das war das, was die Kriminellen installiert hatten und offensichtlich an einen Dritten, der spammen wollte, verkauft hatten)  natürlich weiter versucht hatte, seine Webshell (eine Webseite mit einem Formular, über welches er auch komplexe Befehle absetzen kann) zu erreichen.

Ferner musste die IP-Adresse des Servers bei spamhaus.org aus der SBL-Liste ausgetragen werden - ein Blick in die Logfiles zeigte, dass GMX den "Einwurf" von Mails an seine Kunden (zu Recht!) verweigerte. Immerhin wurde der Server schon eine Weile missbraucht, bevor meine Dienste in Anspruch genommen wurden.

Daneben habe ich den Server dann auch mit Jail2ban "versorgt". Und ein wirklich kleines Tool istalliert, welches via Web eine Übersicht über den Systemzustand liefert. Derlei kann erste Anhaltspunkte dafür liefern, ob auf dem System irgendend etwas stattfindet, was nicht stattfinden sollte.

Für mich selbst setze ich nicht nur auf Fail2ban und die Firewall, sondern auch auf einen Honeypot. Damit sind solche Würstchen schon "außen vor" wenn diese nach einem angreifbaren Joomla, Wordpress (und weitere CMS-Systeme) auch nur suchen. Das fastix-cms ist sicher.


Weitere Informationen in diesem Bereich: