Hoop dat ik goed zit hier..? Ben een beetje ten einde raad. Ik krijg sinds een aantal weken enorme spam in mijn email (info@cedante.nl)op de server waar ik mijn website host van versio. Ik heb mijn ww al allemaal veranderd. Versio denkt dat mijn site is gehacked?

Hoe kom ik daar achter. Alvast heel veel dank voor het meedenken, want bij Versio krijg ik geen gehoor meer. grt, Lilian

Dit is zo'n bericht:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

 lesliek@latech.edu
   SMTP error from remote mail server after RCPT TO:<lesliek@latech.edu>:
   host smtp6.latech.edu [138.47.18.72]: 550 5.1.1 <lesliek@latech.edu>:
   Recipient address rejected: User unknown in local recipient table

------ This is a copy of the message, including all the headers. ------

Return-path: <info@cedante.nl>
Received: from cable-178-149-6-180.dynamic.sbb.rs ([178.149.6.180] helo=smtp.cedante.nl)
 by vserver49.axc.nl with esmtpa (Exim 4.82)
 (envelope-from <info@cedante.nl>)
 id 1XxCy8-0000RU-QN; Sat, 06 Dec 2014 11:52:09 +0100
X-Mailer: YahooMailIosMobile/3.6.8 YahooMailWebService/0.8.203.733
Message-ID: <1f9d2fd504dc$d404cb21$b1789927$@cedante.nl>
Date: Fri, 6 Dec 2014 11:52:08 +0000
From: Bryan McKnight <info@cedante.nl>
Subject: Re: Bryan McKnight
To: "lesliek" <lesliek@latech.edu>, "linemenonly" <linemenonly@chosen1sports.com>
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii

<table cellspacing="0" cellpadding="0" border="0"><tr><td valign="top"><html><div id='yahoo__compose_area' style="background-color:white; display:block; font-family:HelveticaNeue-Regular,Helvetica; font-size:15px;">
Hi! <a href="http://bluefitkids.com.au/home.php" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="0">http://bluefitkids.com.au/home.php[/url]<div>You can read about it in the new Oprah's book.</div><div>
</div><div>Bryan McKnight

Sent from Yahoo Mail for iPhone</div></div><div id='yahoo__original_message'></div></html></td></tr></table>

Als je gehacked bent gaan ze je niet ineens veel mail toesturen. Dan gaan ze eerder vanuit jou als persoon mail versturen. Dat is dan ook veel gevaarlijker want dan kan je website uit de lucht gehaald worden. Volgens mij ontvang je nu enkel spam op jouw eigen domein, jij of je mailadres is dus 'gevonden' maar verder is er niet zoveel aan de hand lijkt het.

De oplossing is een goede spamfilter bij de maillhost. Ik zou daar dus informeren naar de mogelijkheden.

Nou, volgens mij is de site van Lilian wel degelijk gehackt. Althans, er lijkt spam te zijn verstuurd namens haar.
Iemand heeft (via Lilians site) een bericht verstuurd aan lesliek @ latech. edu. Dat bericht kwam niet aan, en daar krijgt Lilian nu melding van.

Lilian, dit krijg je niet goed met een spamfilter op je mail. Werk aan de winkel. Vraag je websitebouwer de boel te checken.

Dank voor het snelle antwoord GF. Mijn site was van de zomer uit de lucht zoveel spam was er verstuurd.

Dank voor het meedenken. Ik denk idd ook dat mijn site is gehacked hij is ook enorm traag. Er staat ook in het bericht From: Bryan McKnight <info@cedante.nl> dat is mijn email adres. Als je axc veranderd in vserver49.cedante.nl kom je op mijn site.

Helaas heb ik geen beheerder meer en er wordt momenteel een nieuwe website gemaakt die zal eind december af zijn.

grt, lilian

is je Drupal installatie helemaal up to date?

Je zou eerst is kunnen proberen om je email wachtwoorden te veranderen en ongebruikte email accounts te verwijderen

Beste DP idd niet helemaal up to date ik moest het ineens allemaal zelf uitvogelen nadat mijn website beheerder me had laten zitten. Ik probeer nu zo goed mogelijk de updates te installeren. Ongebruikte mail accounts is wellicht een goed idee daar zal ik morgen naar kijken. Uhh had net weer 28 spam mails binnen. Ik denk dan wat moeten ze met mij ik ben maar een kleintje...

Hoi,

Ik heb het net even geprobeerd, maar de smtp die in een van je berichten genoemd staat, staat wagenwijd open. In ieder geval was ik net in staat om (na een aantal pogingen) een email via die smtp te versturen naar een tijdelijk email adres (c914030@trbvm.com). Ik weet niet of je dat nog in de logs kunt terugvinden. Het laatste bericht dat ik terugkreeg van de server was: 'queued as E5BEB6000CB'.
Je moet in ieder geval denk ik voorlopig die server uitzetten en daarna zo instellen dat die niet meer zomaar alle verzoeken om een mail te verzenden, honoreert.

Ik denk nog niet dat je gehackt bent (hoewel het ook niet uit te sluiten is), maar dat de mail server gewoon verkeerd staat ingesteld.

Artis

Beste Artis,

Dank voor je reactie. Kan ik een server uitzetten bij mijn provider. Het komt met bakken (30/40 tegelijk) tegelijk binnen soms 30 per keer. Bedankt alvast voor de reactie. En waar kan ik dat zien dat de smpt wagenwijd open staat?

Sorry Macwim, ik zie nu dat marcella de bounces betiteld als spam, zodoende mijn verwarring.
Marcella, Jouw mailserver wordt kennelijk inderdaad misbruikt door anderen, of daarmee je site ook gehacked is betwijfel ik. Ik denk net als artis dat de instellingen van de SMTP server gewoon niet goed staan. De oplossing blijft echter gelijk aan wat ik eerder aan gaf; even je provider inlichten want die heeft waarschijnlijk niet alleen de site maar ook de SMTP server in beheer, mag ik aannemen.

dank!  Ik heb het doorgegeven aan Versio. Mijn website zal straks weer uit de lucht zijn vrees ik

000031054  An error occurred during the backup  08/29/2014  
000030934  User cedanow49 has been suspended for bandwidth overusage  08/24/2014  
000030865  User cedanow49 has been suspended for bandwidth overusage  08/21/2014  
000030711  User cedanow49 has used up 84.6% of their bandwidth and 31.8% of his/her allocated disk space  08/13/2014  
000023458  Error reading message config file  Error  
000023456  Error reading message config file  Error  
000022804  Error reading message config file  Error  
000010433  Error reading message config file  Error  
000004004  Error reading message config file  Error  
000003702  Error reading message config file  Error  
000003604  Error reading message config file  Error  
000003566  Error reading message config file  Error  
000003565  Error reading message config file  Error  
000003510  Error reading message config file  Error  

Iemand nog een idee??

mvgrt, Lilian

Eeh.. een andere websiteprovider wellicht?

Hoi,

Ik heb er nog even naar gekeken maar het blijft lastig. Ik zal in ieder geval mijn bevindingen melden. Ik gebruik het programma 'telnet' om te connecten met de mailserver smtp.cedante.nl. Soms meldt die server zich met: '220 postfix-2.gtkcentral.net ESMTP Postfix' (-2 kan ook -1 zijn). Als dat het geval is dan ben ik in staat om via port 25 (dat is de smtp poort) mails uit te sturen. Als de server zich meldt met: '220 vserver49.axc.nl ESMTP Exim 4.82 Tue, 09 Dec 2014 02:01:36 +0100' dan lijkt er niet zoveel aan de hand (als ik een mail wil versturen moet ik me authenticeren). Hoe de server zich meldt lijkt af te hangen van het zender IP adres dat ik gebruik. In alle gevallen ben ik er vrij zeker van dat ik inderdaad contact heb smtp.cedante.nl (46.21.172.137).

Ik heb ook nog even naar versio gekeken en ik neem aan dat je niet van hun (smtp) mailservice gebruik maakt maar ergens anders (uiteindelijk ook via axc.nl) een mailserver hebt draaien. Volgens mij zit daar nog steeds het probleem. Je moet je mailservice provider aanspreken denk ik. Of draai je misschien zonder het zelf te weten toch een mailserver?

Hier volgt nog de berichtenuitwisseling waarmee ik een mail heb kunnen versturen:
====
telnet smtp.cedante.nl 25
Trying 46.21.172.137...
Connected to smtp.cedante.nl.
Escape character is '^]'.
220 postfix-2.gtkcentral.net ESMTP Postfix
EHLO aap.noot.com
250-postfix-2.gtkcentral.net
250-STARTTLS
250-SIZE 10240000
250-VRFY
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM: c1061403@trbvm.com
250 2.1.0 Ok
RCPT TO: c1061403@trbvm.com
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
From: c1061403@trbvm.com
To: c1061403@trbvm.com
Subject: bla bla

sjkdf sdjkfg  skdfhg k sdfg
.
250 2.0.0 Ok: queued as 808FD6000CC
^]
telnet> q
====

Ik weet niet of je van het bovenstaande veel begrijpt, maar je zou het gedeelte tussen ==== kunnen laten zien aan de partij die de smtp server beheert.
Succes

Beste Artis,

Dank dat je de tijd hebt genomen om in mijn probleem te duiken. Ik heb versio dit voorgelegd, maar helaas reageren ze helemaal niet meer op het probleem. Ik krijg keer op keer dit standaard antwoord:

Geachte heer/mevrouw,

Waarschijnlijk is de website gehackt waardoor dit gebeurt, zou u dit kunnen controleren en uit kunnen zoeken? U kan zelf inloggen op directadmin --> E-mail accounts --> usage gaan om te zien wat de oorzaak is en het aan de hand hier van oplossen. Als er een authenticatie gebruikt is dan is een wachtwoord achterhaald van een mail account, u dient dan wachtwoorden aan te passen en de PC grondig te scannen welke dat account gebruikt. Als er een PATH is gebruikt dan is de website gehackt en dient u dat gat te dichten.

Met vriendelijke groet,
Wesley Berendsen - Level 1 Helpdesk Medewerker

Dat kreeg ik de eerste dag ook al. Ze gaan me niet helpen. Ik kreeg net weer 50 mails binnen. En dat zijn nog maar de mails die terugkomen. Op mijn account zag ik dat er 800 a 900 mails per keer worden uitgestuurd. Mijn contract loopt nog, maar denk je dat het zinvol is om het contract op te zeggen en mijn website ergens anders onder te brengen?

mvgrt, lilian

Ja misschien is dat het beste.

Groet,
Artis.

Stel al ben je wel gehacked, dan nog verwacht ik van zo'n partij dat ze je helpen. Direct overstappen dus.

Ja idd niet best die service...

Dit kreeg ik in mijn mail

Hallo Lilian,
Het lijkt erop dat je email adres uit je site is gecrawld. Dus een zoekmachine heeft het adres gevonden en gebruikt dat nu voor spam
Een formulier is altijd veiliger!

Mocht je er niet uitkomen met je huidige host, neem dan even contact op en kijk of wij je kunnen helpen.
Wij hebben controlpanel hosting waarbij je de updates niet vanuit drupal doet maar vanuit het controlepaneel.

Zou dat kunnen???