Hallo alle zusammen,
nachdem ich das Forum durchforstet habe und nichts Passendes finden konnte, habe ich diesen Beitrag eröffnet.
Das Setup:
System: TS-439 Pro II+ / 4 x 2TB R5
Router: Fritz!Box 6360 Cable UM
DYNDNS-Anbieter: selfhost.de
Portweiterleitung: Port 80 und Port 21
Es sind alle unnötigen Dienste deaktiviert. Lediglich Der Webserver, MySQL, FTP, TwonkyMedia und das eigene interne Antivirus laufen.
Es sind lediglich 2 Benutzer neben dem Admin eingerichtet (komplexe Passwörter).
Die Systembenachrichtigungen sind ebenfalls eingerichtet. Es wird ein Mailaccount meines Providers benutzt (ist gleichzeitig ein Freund), allerdings auf meiner Domain (futurestream.de).
Was ist passiert?
Vorgestern rief mich mein Provider an und nach Ableich meiner IP stellte sich heraus, daß mein Server Unmengen an SPAM-Mails über den unter Systembenachrichtigung eingestellten Mailaccount versendet.
Was habe ich seither getan?
Ich habe den Webserver deaktiviert und mein komplettes Hilfeweb (nach Sicherung) aus dem Web-Ordner des NAS gelöscht. Der Ordner war leer. Sicherheitshalber habe ich per Telnet draufgeschaut und mit etwas Hilfe von meinem Linux-Spezi alle uns bekannten, relevanten Bereiche manuell abgesucht, wo sich diverse Schädlinge aufhalten könnten. Gefunden haben wir nichts.
Ich habe daraufhin einen kompletten Virenscan mit dem eingebauten (aktualisierten) Virenscanner durchgeführt, der allerdings nur zu 2 Fundergebnissen in rar-Archiven kam. Die Archive wurden gelöscht. Der Netzwerk-Papierkorb ist danach ebenfalls geleert worden. Gleiches habe ich mit meinem Arbeitsrechner getan, um ganz sicher zu gehen - allerdings komplett ohne Funde oder Verdachtsmomente. Auch die Sichtung der Systemprotokolle ergab nichts Beunruhigendes...
Endergebnis:
Der Webserver war während der gesamten Scanzeit deaktiviert, der Ordner Web leer. Es gab auch keine weiteren SPAM-Mails. Gestern früh habe ich den Webserver wieder aktiviert, allerdings kein Web eingerichtet (Ordner leer). Es ist erstmal nichts passiert. Heute Morgen schaue ich in meinen Web-Ordner und es waren annähernd ein Dutzend Dateien darin, die ich sofort gelöscht habe. Auch hat der SPAM-Versand wieder begonnen. Ich habe den Webserver vorerst wieder deaktiviert und nun ist Ruhe.
Trotzdem bin ich komplett ratlos. Ich lebe in der Hoffnung, daß sich hier jemand findet, der mir ein wenig mehr Rat geben kann, was ich noch tun kann. Ich bin ziemlich verwirrt, daß die SPAM-Mails mit dem Mailaccount des Systems rausgehen und nicht mit irgendwas anderem. Auch verstehe ich nicht so ganz, wieso ausgerechnet der Webserver (Apache?) Auslöser dieses Vorganges ist. Es laufen laut Prozess-Übersicht auch keine ungewöhnlichen Prozesse, was die Verwirrung nur nochmehr steigert...
Einfach das System zu löschen ist sicherlich nicht der Weisheit letzter Schluss, denn ohne Wissen über die Ursache des Problems ist die Wahrscheinlichkeit meiner Meinung nach hoch, daß es wieder auftritt. Ich bitte um Rat!
LG, Marco