Likes Likes:  0
Resultaten 1 tot 11 van de 11
  1. #1
    Shared host op blacklist
    geregistreerd gebruiker
    3 Berichten
    Ingeschreven
    21/10/16

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Twan van der Schoot

    Thread Starter

    Shared host op blacklist

    Hallo heren,

    Wij zijn beheerder van een shared DirectAdmin server, maar kampen nu al zo'n week langs met de problemen dat we op blacklist komen te staan, hebben we het één en ander opgeschoond en gescand, dan komen we wel weer op een andere te staan.

    Ten eerste is het send limit terug gezet op 200, zoals aangegeven door de pagina's van DirectAdmin.
    Tevens hebben we een ClamAV scan gedraaid, hierin kwamen veel mail's naar voren met ransomware e.d. (Niet alle klanten maken gebruik van SpamExperts), maar dit moet normaal voor de server zelf niet uitmaken neem ik aan? Aangezien deze mailtjes verder "stil staan" (natuurlijk voor de gebruikers raadzaam om dit op te schonen, maar dit staat in eerste instantie los van ons probleem.

    Ook stonden er in de scan 3 PHP scripts, deze zijn verwijderd en geback-upt, vervolgens weer gescand en kwamen er geen bijzonderheden naar voren. Vervolgens weer een delisting aangevraagd en leek het dus weer goed te gaan, maar vannacht zijn we dus weer op CBL gezet.

    Tevens is er nog een rkhunter gedraaid, maar ook deze gaf aan niks gevonden te hebben, ook hebben we de exim logs uitgebreid na-gekeken, maar ook hier is niks bijzonders te zien.

    Heeft iemand hier nog gouden tips / ideeën?

    Alvast bedankt,

    Met vriendelijke groet,

    Twan van der Schoot



  2. #2
    Shared host op blacklist
    geregistreerd gebruiker
    888 Berichten
    Ingeschreven
    02/10/08

    Locatie
    België

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    50 Berichten zijn liked


    URL: www.siteplan.be
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Worden de mails verzonden vanaf de server? Er is toch geen paswoord gecomprimiteerd van een mail account?

  3. #3
    Shared host op blacklist
    Geregistreerd Gebruiker
    4.754 Berichten
    Ingeschreven
    23/04/05

    Locatie
    Eindhoven

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    353 Berichten zijn liked


    Naam: Toin Bloo
    Bedrijf: Dommel Hosting
    URL: www.dommelhosting.nl
    ISPConnect: Lid
    KvK nummer: 17177247

    Hou je exim queue in de gaten. Als er gespamd wordt, dan komen daar altijd wel een aantal onbestelbare bouncers in te staan. Vervolgens kun je daar in zien waar de mails vandaan komen en dan heb je zo het lek boven.

  4. #4
    Shared host op blacklist
    geregistreerd gebruiker
    3 Berichten
    Ingeschreven
    21/10/16

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Twan van der Schoot

    Thread Starter
    @Dezo
    Het lijkt me wel dat ze vanaf de server worden verstuurd, aangezien dit de enige bak is met dit IP adres.
    Dat zou een mogelijkheid kunnen zijn, maar als ik de /etc/virtual/usage bekijk is er geen user die boven gemiddeld groot is.
    De grootste user hier is "unknown.bytes", maar hier zie ik geen apparte dingen in staan.
    @t.bloo
    In de mail que zie ik geen rare dingen en/of bounces staan.

  5. #5
    Shared host op blacklist
    ICTFrameworks
    1.584 Berichten
    Ingeschreven
    05/07/03

    Locatie
    's-Gravenzande

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    138 Berichten zijn liked


    Bedrijf: ICT Frameworks
    KvK nummer: 52425762

    Ik zou je aanraden om maldet scans elke nacht te draaien. Tevens helpt het erg weinig om alleen het spammende script te verwijderen als een site gehacked is. Het script dat de spamfile geupload heeft staat er waarschijnlijk gewoon nog op. En het lek waarmee ze binnen zijn gekomen ook.

  6. #6
    Shared host op blacklist
    geregistreerd gebruiker
    888 Berichten
    Ingeschreven
    02/10/08

    Locatie
    België

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    50 Berichten zijn liked


    URL: www.siteplan.be
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    En al iets gevonden?

  7. #7
    Shared host op blacklist
    Programmeur / Hoster
    3.952 Berichten
    Ingeschreven
    20/06/06

    Locatie
    Wijlre

    Post Thanks / Like
    Mentioned
    28 Post(s)
    Tagged
    0 Thread(s)
    647 Berichten zijn liked


    Naam: John Timmer
    Bedrijf: SystemDeveloper.NL
    Functie: Eigenaar
    URL: www.systemdeveloper.nl
    KvK nummer: 14083066
    View johntimmer's profile on LinkedIn

    Je kunt altijd easy spam fighter en blockcracking via da activeren en dan het max aantal bounces op 5 zetten of zo. Dan krijg je een melding zodra dat overschreden is en weet je welk account het was.
    SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks

  8. #8
    Shared host op blacklist
    geregistreerd gebruiker
    1.331 Berichten
    Ingeschreven
    10/08/08

    Locatie
    Nuland

    Post Thanks / Like
    Mentioned
    3 Post(s)
    Tagged
    0 Thread(s)
    19 Berichten zijn liked


    Naam: Raoul Vos
    Bedrijf: WeservIT
    Functie: Eigenaar
    URL: http://weservcloud.nl
    Registrar SIDN: nee
    KvK nummer: 66365414
    Ondernemingsnummer: nvt

    Zie je geen berichten in het Directadmin messaging system zoals "Warning: 200 emails have just been sent by *user*"?
    Zie je toevallig rare processen draaien als je top bekijkt? Soms heb je dat bij bepaalde Wordpress of Joomla hacks er rare processen SPAM verstoren. Processen die ik wel eens voorbij heb zie komen zijn het host process die veel CPU verbruikt of httpd.py o.a Deze processen gaan buiten de exim server om en kun je daarom ook lastiger tracken.

    Verder is https://configserver.com/cp/cxs.html een hele goeie om je server te scannen.

  9. #9
    Shared host op blacklist
    geregistreerd gebruiker
    86 Berichten
    Ingeschreven
    16/01/11

    Locatie
    Eindhoven, Nederland

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Wouter van Os
    View wouter0100's profile on LinkedIn

    Een tijd geleden heb ik ook erg veel last gehad van spam. Uiteindelijk was dit (https://www.directadmin.com/features.php?id=1427) een van de acties die ik gedaan heb, wat uiteindelijk best goed effect had.

  10. #10
    Shared host op blacklist
    geregistreerd gebruiker
    3 Berichten
    Ingeschreven
    21/10/16

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Twan van der Schoot

    Thread Starter
    Het probleem lijkt nu opgelost, door binnen CSF "smtp block" aan te zetten (Vergelijkbaar met de instellingen van wouter0100) werd er sindsdien geen SPAM meer gestuurd volgens CBL.
    Toen volgens CBL de laatste SPAM melding 8 uur geleden was heb ik een delisting aangevraagd en nu zijn we ondertussen van alle blacklists af, behalve SORBS aangezien ze hier een bepaalde periode voor hebben.

    Dit verklaard ook waarom er door de users en exim niks werdt opgemerkt.

    Nu vraag ik me alleen af of er nog veel kans op rotzooi op de server zit, want we hebben de poort wel afgeknepen, maar het moet ergens vandaan komen.
    Maar met de door jullie aangeraden scan's (handmatig als root uitgevoerd ivm rechten) kan ik geen bijzonderheden meer vinden.

    Iedereen wel alvast bedankt voor de hulp en het mee denken.

  11. #11
    Shared host op blacklist
    geregistreerd gebruiker
    86 Berichten
    Ingeschreven
    16/01/11

    Locatie
    Eindhoven, Nederland

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Wouter van Os
    View wouter0100's profile on LinkedIn

    Grote kans dat er nog wel een paar vuile bestanden op de server aanwezig zijn. Als je wat scans uitgevoerd hebt, zonder resultaat, kan je wellicht nog het volgende proberen:
    - Afhankelijk van de server en, indien je er een hebt, een spam e-mail kan je wellicht terugwerken naar een HTTP(s)-request in je access logs, waaruit je de file kan halen.
    - Anders zou je ook nog een regel kunnen toevoegen aan je iptables, om te kijken vanaf welke user het komt, en zo het terug te werken naar een bestand (regel niet getest, maar zou iets in deze richting moeten zijn):
    Code:
    iptables -A OUTPUT -m owner ! --uid-owner mail -p tcp --dports 25 -j LOG --log-level 5 --log-uid --log-prefix="Email blocked "

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics