Goedeavond,

Ik heb een server bij een grote server leverancier, helaas word ik al 3 weken lang gepest door een virus of hacker.
De server heeft de volgende software ingebruik:
- Windows 2008
- Kerio connect (mailserver voor maar 1 domain met 6 e-mail accounts)
- Kerio control (incl Sophos)

Dit zou normaal genoeg moeten zijn voor een veilige omgeving dacht ik. Helaas is echter het probleem dat mijn server word gemeld(gebanned,XBL) bij spamhaus.org.
Hun melding is: It appears to be infected with a spam sending trojan or proxy.

Nu heb ik alle mogelijkheden bekeken, zelfs met verschillende systeembeheerders. Echter niemand komt eruit waarom ik steeds wordt gebanned.
Ik heb het volgende al geprobeerd:

- mcfee stinger
- windows ess. virus
- antivir
- hijack ( al was dat moeilijk te begrijpen, zal mijn log even posten indien nodig)
- mynetwatchman.com/tools/sc/
- log bekeken mailserver of ik wat vanuit kerio zend
- al desktops in mijn bezit en van de collega`s gescanned met bovenstaande software

Echter niks geeft de oplossing,zelfs het formateren was niet voldoende.
Ik heb wel daarna een backup van de oude config geinstalleerd, deze data kan ik namelijk niet missen (e-mail data) ik heb hierover de nodige scans gedraaid zonder resultaat.

Wel kon ik in kerio control een log tegen, die mij opviel:

[02/Aug/2011 03:54:36] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2500402 ET COMPROMISED Known Compromised or Hostile Host Traffic TCP (202), proto:TCP, ip/port:202.75.211.206:40393 -> 85.XX.XXX.XX:80 (WIN-15W3UK3YEMZ.uw-zekerheid.nl)
[02/Aug/2011 05:04:15] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2500622 ET COMPROMISED Known Compromised or Hostile Host Traffic TCP (312), proto:TCP, ip/port:31.24.207.12:20593 -> 85.XX.XXX.XX:22 (WIN-15W3UK3YEMZ.uw-zekerheid.nl)
[02/Aug/2011 10:55:52] IPS: Alert, severity: Medium, Rule ID: 1:2003466 ET WEB_SERVER PHP Attack Tool Morfeus F Scanner, proto:TCP, ip/port:137.214.1.205:35958 ->85.XX.XXX.XX:80 (WIN-15W3UK3YEMZ.uw-zekerheid.nl)

Vooral Morfeus F scanner is vreemd maar ik vind de info via google lastige te begrijpen.

Iemand hier ervaringen mee?

Heeft iemand anders nog ideeen om van dit probleem af te komen?

Alvast bedankt!

Het kan zijn dat het virus al verwijderd is :



IP Address 85.xx.xxx.24 is listed in the CBL. It appears to be infected with a spam sending trojan or proxy.

It was last detected at 2011-08-09 08:00 GMT (+/- 30 minutes), approximately 2 hours, 30 minutes ago.

It has been relisted following a previous removal at 2011-08-07 19:53 GMT (1 days, 14 hours, 39 minutes ago)


De laatste maal dat het gevonden werd was alweer zo'n tweeënhalf uur geleden.

Overigens willen geïnfecteerde iframes ook nog wel 'ns problemen geven. Je zult dan geen viri ontdekken, maar een bezoeker van de web site wordt wel door gestuurd naar een web site met viri via jouw web site.

Bedankt voor je reactie!

Helaas kom ik deze melding vaker tegen ook word er een poortscan gedaaan.

geinfecteerde iframes zegt mij niks, ik ga het wel even googlen. Heb je nog tips om het probleem te verhelpen met de ban op spamhaus.org?

trouwens ik gebruik ook openspf.

Geïnfecteerde iframes zijn we vooral tegen gekomen bij accounts waarvan het wachtwoord d.m.v. een virus bij de eigenaar van het account werd achterhaald (en door gestuurd) of waarvan geïnstalleerde scripts veiligheidslekken hebben; een en ander is meestal te zien aan de datum waarop het script is aan gepast of d.m.v. de FTP/access logs.

Even voor de duidelijkheid, server is enkel mailserver met kerio erop ? Of worden er nog andere diensten mee geserveerd ?

Heb je een e-mail log? Je hebt in Kerio volgens mij mooie statistieken? Kun je ook de spamrun voorbij zien komen? Hoeveel berichten heb je normaal? Hoeveel tijdens een spamrun? Stuur ook eens een support e-mail naar Kerio.

Het is in Linux erg makkelijk een wrapper te installeren en dan zie je heel mooi een lijst met alle uitgaande e-mails met veel nuttige informatie, zoals door welk PHP-bestand ze zijn verstuurd, wanneer ze zijn verstuurd, welk onderwerp, e.d.

Er is wat weinig informatie om je te kunnen helpen. Wellicht kun je de logging settings verhogen door Kerio, zodat je aan meer informatie komt. Je vertrekt nauwelijks informatie over je bevindingen in de Kerio logs tot nu toe. Het kan maar zo zijn dat je server niet is gehackt, maar dat de hacker de login-informatie van 1 van de e-mail accounts heeft en dat gebruikt. Kijk dus even goed naar de logs, SMTP authenticaties, e.d.

De mail log vanuit Kerio connect ( mail server ) heb ik bekeken.
Hierin zit niks vreemds, geen grote mailingen.
Op de server staat inderdaad niks anders dan kerio control en connect.
De iframes moet ik nog verder onderzoeken.

VANUIT DE SECURITY LOG

[02/Aug/2011 17:31:05] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2500350 ET COMPROMISED Known Compromised or Hostile Host Traffic TCP (176), proto:TCP, ip/port:200.63.17.55:48020 -> 85.XX.XXX.XXX:22 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)
[03/Aug/2011 15:47:59] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2500712 ET COMPROMISED Known Compromised or Hostile Host Traffic TCP (357), proto:TCP, ip/port:62.168.46.118:43390 -> 85.XX.XXX.XXX:22 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)
[04/Aug/2011 06:09:15] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2500396 ET COMPROMISED Known Compromised or Hostile Host Traffic TCP (199), proto:TCP, ip/port:202.41.0.4:43615 -> 85.XX.XXX.XXX:25 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)
[04/Aug/2011 11:15:30] IPS: Port Scan, protocol: TCP, source: 85.17.150.50, destination: 85.XX.XXX.XXX, ports: 256, 25, 53, 80, 111, 135, 8080, 8888, 443, 1723, ...
[04/Aug/2011 11:38:05] IPS: Port Scan, protocol: TCP, source: 85.17.150.50, destination: 85.XX.XXX.XXX, ports: 25, 554, 110, 111, 139, 143, 8080, 1720, 993, 995, ...
[04/Aug/2011 11:48:11] IPS: Port Scan, protocol: TCP, source: 85.17.150.50, destination: 85.XX.XXX.XXX, ports: 21, 22, 25, 554, 135, 139, 143, 443, 199, 3306, ...
[06/Aug/2011 05:02:14] IPS: Packet drop, severity: Medium, Rule ID: 1:2000381 ET EXPLOIT MS-SQL DOS bouncing packets, proto:UDP, ip/port:208.116.7.124:2894 -> 85.XX.XXX.XXX:1434 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)
[06/Aug/2011 17:39:23] Intrusion Prevention engine: Shutdown
[06/Aug/2011 17:39:25] Kerio Control engine: Shutdown (Initiated by the system shutdown)
[06/Aug/2011 17:42:33] Kerio Control engine: Startup
[06/Aug/2011 17:43:02] Intrusion Prevention engine: Startup
[06/Aug/2011 18:38:23] Intrusion Prevention engine: Shutdown
[06/Aug/2011 18:38:25] Kerio Control engine: Shutdown (Initiated by the system shutdown)
[06/Aug/2011 18:40:51] Kerio Control engine: Startup
[06/Aug/2011 18:41:19] Intrusion Prevention engine: Startup
[06/Aug/2011 19:54:52] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2500094 ET COMPROMISED Known Compromised or Hostile Host Traffic TCP (48), proto:TCP, ip/port:121.31.253.90:56484 -> 85.XX.XXX.XXX:3389 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)
[07/Aug/2011 11:29:03] Intrusion Prevention engine: Shutdown
[07/Aug/2011 11:29:04] Kerio Control engine: Shutdown (Initiated by the system shutdown)
[07/Aug/2011 11:31:14] Kerio Control engine: Startup
[07/Aug/2011 11:31:42] Intrusion Prevention engine: Startup
[07/Aug/2011 12:21:29] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2500778 ET COMPROMISED Known Compromised or Hostile Host Traffic TCP (390), proto:TCP, ip/port:72.55.164.79:42031 -> 85.XX.XXX.XXX:443 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)
[07/Aug/2011 13:57:13] Intrusion Prevention engine: Shutdown
[07/Aug/2011 13:57:15] Kerio Control engine: Shutdown (Initiated by the system shutdown)
[07/Aug/2011 14:00:41] Kerio Control engine: Startup
[07/Aug/2011 14:01:10] Intrusion Prevention engine: Startup
[07/Aug/2011 20:47:50] Intrusion Prevention engine: Shutdown
[07/Aug/2011 20:47:52] Kerio Control engine: Shutdown (Initiated by the system shutdown)
[07/Aug/2011 20:52:06] Kerio Control engine: Startup
[07/Aug/2011 20:52:35] Intrusion Prevention engine: Startup
[07/Aug/2011 21:17:15] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2406483 ET RBN Known Russian Business Network IP UDP (242), proto:UDP, ip/port:85.XX.XXX.XXX:59361 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl) -> 64.158.223.64:53
[07/Aug/2011 21:47:18] Intrusion Prevention engine: Shutdown
[07/Aug/2011 21:47:20] Kerio Control engine: Shutdown (Initiated by the system shutdown)
[07/Aug/2011 21:51:23] Kerio Control engine: Startup
[07/Aug/2011 21:51:52] Intrusion Prevention engine: Startup
[08/Aug/2011 14:14:04] Intrusion Prevention engine: Shutdown
[08/Aug/2011 14:14:06] Kerio Control engine: Shutdown (Initiated by the system shutdown)
[08/Aug/2011 14:18:00] Kerio Control engine: Startup
[08/Aug/2011 14:18:34] Intrusion Prevention engine: Startup
[08/Aug/2011 14:53:49] Intrusion Prevention engine: Shutdown
[08/Aug/2011 14:53:50] Kerio Control engine: Shutdown (Initiated by the system shutdown)
[08/Aug/2011 14:57:45] Kerio Control engine: Startup
[08/Aug/2011 14:58:13] Intrusion Prevention engine: Startup
[08/Aug/2011 15:49:12] Virus: Sophos verdict: Mal/Generic-L, client - 85.XX.XXX.XXX, http://sc.mynetwatchman.com/downloads/scu.exe
[08/Aug/2011 15:49:25] Virus: Sophos verdict: Mal/Generic-L, client - 85.XX.XXX.XXX, http://sc.mynetwatchman.com/downloads/scu.exe
[08/Aug/2011 15:49:32] Virus: Sophos verdict: Mal/Generic-L, client - 85.XX.XXX.XXX, http://sc.mynetwatchman.com/downloads/scu.exe
[08/Aug/2011 15:49:41] Virus: Sophos verdict: Mal/Generic-L, client - 85.XX.XXX.XXX, http://sc.mynetwatchman.com/downloads/scu.exe
[08/Aug/2011 15:49:50] Virus: Sophos verdict: Mal/Generic-L, client - 85.XX.XXX.XXX, http://sc.mynetwatchman.com/downloads/scu.exe
[08/Aug/2011 15:50:25] Remote Administration: Protocol violation: network error, client failure, wrong client or client doesn't trust us. Peer was connected from 127.0.0.1:53886 to 0.0.0.0:0. Session with ID 0 not established.
[08/Aug/2011 15:52:07] Remote Administration: Protocol violation: network error, client failure, wrong client or client doesn't trust us. Peer was connected from 127.0.0.1:54025 to 0.0.0.0:0. Session with ID 1 not established.
[09/Aug/2011 14:30:15] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2406414 ET RBN Known Russian Business Network IP TCP (208), proto:TCP, ip/port:46.182.104.136:48872 -> 85.XX.XXX.XXX:25 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)
[09/Aug/2011 14:33:51] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2406414 ET RBN Known Russian Business Network IP TCP (208), proto:TCP, ip/port:46.182.104.136:33618 -> 85.XX.XXX.XXX:578 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)
[09/Aug/2011 14:39:31] IPS: Packet drop, severity: Blacklist, Rule ID: 1:2406414 ET RBN Known Russian Business Network IP TCP (208), proto:TCP, ip/port:46.182.104.136:39602 -> 85.XX.XXX.XXX:587 (WIN-15W3UK3YEMZ.mijn-bedrijf.nl)


Als er meer nodig is hoor ik dat graag