# E-Mails weg



## ortsanfang (17. Feb. 2008)

Irgendwie stehe ich vor einem Rätsel: Ich greife per IMAP auf meine Mail-Acoounts zu, die über ISPCongfig (Maildir) eingerichtet und verwaltet werden. Heute konnte ich auf einen Account nicht per Thunderbird zugreifen, weil das Passwort urplötzlich nicht mehr akzeptiert wurde. Nach etlichen Versuchen, es korrekt einzugeben, hatte ich mich entschlossen, in ISPConfig das Passwort für diesen Account neu zu setzen - mit dem Ergebnis, dass alle Verzeichnisse und E-Mails des Accounts "verschwunden" sind. Gibt es Hoffnung, diese wieder zu bekommen? Wie könnte ich mich auf die Suche machen?

Update: Es sind nicht nur die E-Mails futsch, sondern die Dateien des virtuelle Hosts (des entsprechenden Webs). Das ist doch verrückt. Ich habe lediglich für den User über ISPConfig das Passwort neu gesetzt.


----------



## Till (18. Feb. 2008)

ISPConfig löscht keine Daten, wenn Du das Passwort eines Users neu setzt. Da muss ein anderes Problem vorgelegen haben. Insbesondere, da der Login ja schon nicht mehr ging, bevor Du das Passwort neu gesetzt hast.

Sieh mal im auth.log nach, ob sich der Admin User des Webs per FTP oder SSH eingeloggt hat, bevor ls die Probleme anfingen.


----------



## ortsanfang (18. Feb. 2008)

Der Admin des Webs bin ich selber, denn außer mir nutzt niemand den Testserver. Verstehe ich das richtig, dass sich der User web7_christian an der Shell angemeldet hat und root werden wollte? Auf den aufgzeichneten Ports hört aber gar keiner zu. 

Um 20:12 Uhr wurde für web7_christian das Passwort geändert. Leider weiß ich nicht mehr genau, ob das die Zeit war, als ich das Passwort gesetzt habe; ich meine aber, dass ich erst später aktiv wurde. Die IP 217.201.1.76 in Italien bin auf jeden Fall nicht ich.


```
Feb 17 20:05:49 huygens sshd[2996]: Accepted keyboard-interactive/pam for web7_christian from 217.201.1.76 port 2208 ssh2
Feb 17 20:05:49 huygens sshd[3001]: (pam_unix) session opened for user web7_christian by (uid=0)
Feb 17 20:06:07 huygens su[3013]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=web1_christian
Feb 17 20:06:09 huygens su[3013]: FAILED su for web1_christian by web7_christian
Feb 17 20:06:09 huygens su[3013]: - pts/1 web7_christian:web1_christian
Feb 17 20:06:16 huygens su[3016]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=web1_christian
Feb 17 20:06:19 huygens su[3016]: FAILED su for web1_christian by web7_christian
Feb 17 20:06:19 huygens su[3016]: - pts/1 web7_christian:web1_christian
Feb 17 20:06:24 huygens su[3017]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=web2_christian
Feb 17 20:06:26 huygens su[3017]: FAILED su for web2_christian by web7_christian
Feb 17 20:06:26 huygens su[3017]: - pts/1 web7_christian:web2_christian
Feb 17 20:06:31 huygens su[3021]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=web2_christian
Feb 17 20:06:34 huygens su[3021]: FAILED su for web2_christian by web7_christian
Feb 17 20:06:34 huygens su[3021]: - pts/1 web7_christian:web2_christian
Feb 17 20:07:26 huygens su[3042]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=root
Feb 17 20:07:28 huygens su[3042]: FAILED su for root by web7_christian
Feb 17 20:07:28 huygens su[3042]: - pts/1 web7_christian:root
Feb 17 20:11:24 huygens su[3179]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=admispconfig
Feb 17 20:11:26 huygens su[3179]: FAILED su for admispconfig by web7_christian
Feb 17 20:11:26 huygens su[3179]: - pts/1 web7_christian:admispconfig
Feb 17 20:11:29 huygens su[3182]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=admispconfig
Feb 17 20:11:31 huygens su[3182]: FAILED su for admispconfig by web7_christian
Feb 17 20:11:31 huygens su[3182]: - pts/1 web7_christian:admispconfig
Feb 17 20:11:35 huygens su[3183]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=root
Feb 17 20:11:37 huygens su[3183]: FAILED su for root by web7_christian
Feb 17 20:11:37 huygens su[3183]: - pts/1 web7_christian:root
Feb 17 20:11:41 huygens su[3186]: (pam_unix) authentication failure; logname= uid=10028 euid=0 tty=pts/1 ruser=web7_christian rhost=  user=root
Feb 17 20:11:43 huygens su[3186]: FAILED su for root by web7_christian
Feb 17 20:11:43 huygens su[3186]: - pts/1 web7_christian:root
Feb 17 20:12:19 huygens passwd[3199]: (pam_unix) password changed for web7_christian
Feb 17 20:12:19 huygens passwd[3199]: (pam_unix) Password for web7_christian was changed
Feb 17 20:12:23 huygens sshd[3001]: (pam_unix) session closed for user web7_christian
Feb 17 20:12:54 huygens sshd[3208]: Accepted keyboard-interactive/pam for web7_christian from 217.201.1.76 port 2210 ssh2
Feb 17 20:12:54 huygens sshd[3213]: (pam_unix) session opened for user web7_christian by (uid=0)
Feb 17 20:16:55 huygens sshd[3213]: (pam_unix) session closed for user web7_christian
Feb 17 20:22:03 huygens authdaemond: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=web7_christian
Feb 17 23:09:57 huygens authdaemond: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=web7_christian
Feb 17 23:23:13 huygens proftpd: (pam_unix) session opened for user web7_christian by (uid=0)
Feb 17 23:23:13 huygens proftpd[7198]: huygens.zeitrechnen.de (::ffff:XXX[::ffff:XXX]) - USER web7_christian: Login successful. 
Feb 17 23:26:02 huygens proftpd: (pam_unix) session closed for user web7_christian
Feb 17 23:51:36 huygens proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=::ffff:XXX  user=web7_christian
Feb 17 23:51:39 huygens proftpd[8651]: huygens.zeitrechnen.de (::ffff:XXX[::ffff:XXX]) - USER web7_christian (Login failed): Incorrect password. 
Feb 17 23:51:44 huygens proftpd: (pam_unix) session opened for user web7_christian by (uid=0)
Feb 17 23:51:45 huygens proftpd[8654]: huygens.XXX (::ffff:XXX[::ffff:XXX]) - USER web7_christian: Login successful. 
Feb 17 23:56:52 huygens proftpd: (pam_unix) session closed for user web7_christian
Feb 17 23:56:56 huygens proftpd: (pam_unix) session opened for user web7_christian by (uid=0)
Feb 17 23:56:56 huygens proftpd[9100]: huygens.zeitrechnen.de (::ffff:XXX[::ffff:XXX]) - USER web7_christian: Login successful. 
Feb 17 23:59:01 huygens proftpd: (pam_unix) session closed for user web7_christian
```


----------



## Till (18. Feb. 2008)

Ok, wie es aussieht hat jemand sich erfolgreich über Deinen User web2_christian eingeloggt und danach versucht, root user zu werdenn. Vremutlich wurden übder den user auch die Daten gelöscht.

Check Dein System bitte mal mit rkhunter: http://www.rootkit.nl


----------



## ortsanfang (18. Feb. 2008)

Rkhunter meint zumindest, alles sei im grünen Bereich. Komisch ist es aber schon.


----------



## Till (18. Feb. 2008)

Auf jeden Fall solltest Du das Passwort des Users ändern (was Du ja schon getan hast) und mal das Logfile im Auge behalten. Wenn der User nicht unbedingt Shell Zugriff brauchst, solltest Du den Shell Zugriff für das Web deaktivieren.

Wenn Shell Zugriff notwendig ist, solltest Du überlegen, ob Du Deinen SSHD nicht für chrooting patchen willst und dann das Chrooting für User in ISPConfig aktivieren.


----------



## ortsanfang (18. Feb. 2008)

Vielen Dank, Till! Ja, ich habe erst einmal allen Usern den Shell-Zugang entzogen. Deinen Vorschlag werde ich wohl beherzigen, auch wenn das Ergebnis dasselbe ist, oder? Kommt jemand als web7_christian beispielsweise rein, dann kann er da erst einmal schön aufräumen. (Insgesamt natürlich das kleinere Übel.)

Meinstest du wirklich den User web2_christian? Das Logfile verstehe ich so, dass (allem Anschein nach) jemand als web7_christian hereinspaziert ist. Was ich auch nicht nachvollziehen kann: Welchen Port hat er denn benutzt, um sich an der Shell anzumelden, sshd lauscht nämlich nicht auf Port 22, und erst recht nicht auf 2208 oder ähnlichen.


----------



## Till (19. Feb. 2008)

> Deinen Vorschlag werde ich wohl beherzigen, auch wenn das Ergebnis dasselbe ist, oder? Kommt jemand als web7_christian beispielsweise rein, dann kann er da erst einmal schön aufräumen. (Insgesamt natürlich das kleinere Übel.)


Das ist richtig. Aber das chrooting verhindert, dass er sich den Rest Deines Systems ansehen kann. als User web7_christian kann er zwar nicht allzu viel auf dem Server löschen, aber z.B. kann er in die Konfigurationsdateien anderer Websites reinsehen, wenn diese worl readable sind.



> Meinstest du wirklich den User web2_christian?


Ich meinte web7_christian, hatte mich vertippt 



> Welchen Port hat er denn benutzt, um sich an der Shell anzumelden, sshd lauscht nämlich nicht auf Port 22, und erst recht nicht auf 2208 oder ähnlichen.


Er kann z.B. einen Portscan gemacht haben und dann alle offenen Ports ausprobiert haben.


----------



## ortsanfang (19. Feb. 2008)

Ich habe fail2ban zusätzlich installiert, macht einen guten Eindruck - soweit.


----------

