Spam Problem

[akurion]

Hallo ich hab seid gestern ein kleines problem mit meinem Mailserver.
Ich bekomme am Tag so ca 1600 - 2000 emails.
Das sieht mir nach einem Mailbomber aus... ich poste die komplette mail mal hier drunter. Kann mir da jemand helfen?

Danke Akurion

---------snip------------

From: Mail Delivery System <MAILER-DAEMON@spray.net>
Subject: Undelivered Mail Returned to Sender
To: www-data@akurion.akurion.org

[-- Attachment #1: Notification --]
[-- Type: text/plain, Encoding: 7bit, Size: 0.4K --]

This is the Postfix program at host lmin14.st1.spray.net.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the message returned below.

The Postfix program

<may80de@lycos.de>: mailbox full/quota exceeded

[-- Attachment #2: Delivery error report --]
[-- Type: message/delivery-status, Encoding: 7bit, Size: 0.2K --]

Reporting-MTA: dns; lmin14.st1.spray.net
Arrival-Date: Thu, 28 Aug 2003 06:04:35 +0200 (MEST)

Final-Recipient: rfc822; may80de@lycos.de
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; mailbox full/quota exceeded

[-- Attachment #3: Undelivered Message --]
[-- Type: message/rfc822, Encoding: 7bit, Size: 0.7K --]

To: may80de@lycos.de
Subject: 797663
From: ""@aol.com

Weil Du so Panne bist

--------snap----------

[wgot]

Hallo,

mein Verdacht (gibt natürlich auch andere Möglichkeiten):

Du hast auf dem Server einen Formmailer laufen, und den verwendet jemand als Spamschleuder.

Ist ein Formmailer vorhanden, womöglich noch mit den Standardnamen formmail.pl oder formmail.cgi?

Wenn ja, schau mal in die Webserver-Logs, ob der tausendfach aufgerufen wurde.

Analysier mal den Header der undelivered message.

Gruß, Wolfgang

[akurion]

ich hatte mal einen php mailer auf meiner hp... aber der ist schon lange wieder runter... also daran kanns schonmal nicht liegen.

Kann es vielleicht daran liegen das jemand mit meiner emial addy als absender jemanden bomben will aber die opfer addy gibt es nicht deswegen kommt der ganze kram an mich zurück?

[captaincrunch]

Stichwort : mod_proxy beim Apachen

[dodolin]

Kann es vielleicht daran liegen das jemand mit meiner emial addy als absender jemanden bomben will aber die opfer addy gibt es nicht deswegen kommt der ganze kram an mich zurück?

So ähnlich. Das Prinzip hast du wohl schon erkannt, in der Regel wird aber nicht ein und derselbe "gebombt", sondern jeweils möglichst viele unterschiedliche Leute mit dem Spam beglückt. Aber keine Sorge, in der Regel dauert es nicht lange, bis du böse Post von den 1&1-Admins bekommst, weil sich jemand beschwert hat... ;)

Es besteht natürlich noch die geringe Chance, dass dein Server nicht missbraucht wurde und lediglich deine Adressen als Return-Path missbraucht wurden. Allerdings spricht der localpart www-run nicht gerade für diese These...

[akurion]

was hat denn 1&1 damit am Hut?

[captaincrunch]

Ganz einfach : 1&1 trägt Sorge dafür, dass die Rooties nicht zum spammen missbraucht werden. Zu diesem Zweck werden die Rechner ab und an automatisch einem Relaytest unterzogen.

[wgot]

Hallo,

wenn tatsächlich Spam über Deinen Server verschickt wurde, wird sich irgendjemand beschweren. Vermutlich bei Deinem Server-Provider. Nach deiner IP ist das allerdings nicht 1&1.

Ã?ffne bitte Attachment #3 (das ist die Spammail) mit einem Texteditor (Wordpad) und kopiere den Header in's Forum.

pxytest.pl findet bei Dir keinen offenen Proxy.
@Captaincrunch: das Script wurde hier im Forum empfohlen, taugt das was?

Gruß, Wolfgang

[captaincrunch]

@Captaincrunch: das Script wurde hier im Forum empfohlen, taugt das was?

Ã?hm ... welches Script ? ;)

[wgot]

Hallo,

pxytest.pl

http://www.unicom.com/sw/pxytest/pxytest


Gruß, Wolfgang

[akurion]

Das steht im Attachement drin

To: may80de@lycos.de
Subject: 797663
From: ""@aol.com

Weil Du so Panne bist


Achja und ich bin kein 1&1 Kunde :)
Der Server steht in der Firma wo ich arbeite.
Der "spammer" hat mir nen Hinweis in die Mails gelegt...
RFC822 ... aber was er mir damit sagen will weiß ich noch nicht...
Hab mir die RFC zwar mal angesehen aber schlau wurde ich nicht draus.

MfG Akurion

[wgot]

Hallo,

wenn ich mal Spam zurückbekomme (der aber nicht von meinem Server kommt!), werden die kompletten Mailheader mitgeschickt. Ist auch dringend nötig für die Nachforschung.

Code: Select all

[-- Attachment #3: Undelivered Message --] 
[-- Type: message/rfc822, Encoding: 7bit, Size: 0.7K --] 

To: may80de@lycos.de 
Subject: 797663 
From: ""@aol.com 

Weil Du so Panne bist 

Das sind doch keine 700 Byte. Die restlichen 600 wären interessant.

Was fehlt, sieht ungefähr so aus:

Code: Select all

Return-Path: ...
Delivered-To: ...
Received: from ... [...] by ... for ... 

Post von 1&1 kann's trotzdem geben, die interessieren sich auch für externe Spamschleudern, wenn der Müll bei ihnen ankommt.

Gruß, Wolfgang

[akurion]

here we go:

Received: from akurion.akurion.org (akurion.org [212.105.197.12])
by lmin04.st1.spray.net (Postfix) with ESMTP id 58BDA6F8A3
for <may80de@lycos.de>; Thu, 28 Aug 2003 06:20:06 +0200 (MEST)
Received: from akurion.akurion.org (smmsp@sd [127.0.0.1])
by akurion.akurion.org (8.12.9/8.12.9/Debian-5) with ESMTP id h7S4K3AC004212
for <may80de@lycos.de>; Thu, 28 Aug 2003 06:20:06 +0200
Received: (from www-data@localhost)
by akurion.akurion.org (8.12.9/8.12.9/Debian-5) id h7S42pHK000876;
Thu, 28 Aug 2003 06:02:51 +0200
Date: Thu, 28 Aug 2003 06:02:51 +0200
Message-Id: <200308280402.h7S42pHK000876@akurion.akurion.org>
To: may80de@lycos.de
Subject: 511539
From: ""@aol.com

[wgot]

Hallo,

ok, der Spam ging über deinen Server raus. Abgeschickt vom User www-data, das ist sicher der Webserver.
Schau mal beim Webserver in die Logs (access_log und error_log), was da Thu, 28 Aug 2003 06:20:06 und Thu, 28 Aug 2003 06:02:51 so drinsteht.

Gruß, Wolfgang

[akurion]

also ich finde es sieht so aus als ob jemand via webserver mails verschickt hat. Zum Beispiel über einen formailer den ich nicht habe.
Kann man das nicht in den logs sehen wer von wo und wann die mails verschickt hat? Wenn ja in welcher genau?
/var/log/apache/access.log oder so?

[akurion]

ahh ok... da war jemand schneller ;)

[akurion]

ok alles klar!!
Thread kann geschlossen werden.

Wen es interessiert:

Ich hab vor einiger Zeit jemanden Webspace von mir angeboten.
Der hat das ausgenutzt und sich ein php script geschrieben und damit gebombt.

Frage:
Kann ich sowas anzeigen oder ähnliches?

Gruß Akurion

[wgot]

Hallo,

> /var/log/apache/access.log

klar, schau da mal rein. Irgendwas wird da um die Uhrzeit drin stehen.

Ich hab http://www.akurion.org mal kurz angesehen. ist das Handarbeit oder ist das ein Content-Managing-System (phpnuke oder so)?

Gruß, Wolfgang

[akurion]

nein da steht nichts drin...
aber ich hab entdeckt das ein paar minuten früher jemand das script aufgerufen hat. Und das kann nur derjenige gewesen sein dem ich den webspace gegeben habe.

[wgot]

Hallo,

> Der hat das ausgenutzt und sich ein php script geschrieben
> und damit gebombt.

na, das ist ja ganz toll, damit hatte ich nicht gerechnet.

> Kann ich sowas anzeigen oder ähnliches?

Keine Ahnung, nicht mein Gebiet. Ich kann mir aber nicht vorstellen, daß es viel bringt.

Viel Spaß noch mit dem Server, Wolfgang

[akurion]

tja... so kann man sich in Leuten irren...
Auf jedenfall werde ich ihm mit einer einzeige drohen.
Ich stelle mir vor das es so ein kleiner 15 Jähriger Scriptkiddy ist der sich das script runtergeladen hat. Der macht sich schon in die Hose wenn man mit der Anzeige droht.

Danke für eure Hilfe!!

Akurion

[Anonymous]

schau mal unter /var/log/ nach. dort sollte es die mail-logs geben. da steht dann auch die ip vom spammer drin. die schreibst du dann mit uhrzeit, datum, etc. auf und erstattest bei der kripo anzeige. vorher solltest, du allerdings deinen mailserver so konfiguerieren dass der spam aufhört. das kann nämlich ins auge gehen.
was ähnliches ist auch einem freund von mir mal passiert und die spam-mail hatte ziemlich unseriösen inhalt (mit schnellball-system, etc), worauf sich die angespammten heftig beschwert haben und teilweise mit anzeige gedroht haben.
im schlimmsten fall musst du halt den mailserver abschalten oder neben den logfiles sitzen bleiben bis es wieder anfängt und dann den mailserver stoppen und neu starten.
welchen mailserver verwendest du denn?

[Anonymous]

in der zeit in der ich geschrieben habe, wurden schon wieder 2 neue kommentare gepostet.
der heinzel der das bei meinem kumpel gemacht hat, wurde ermittelt und von der staatsanwaltschat ermahnt, da er noch keine vorstrafen hatte und noch minderjährig war. mails hatte er auf diese art ca. 40.000 verschickt. bei nicht-mehr minderjährigen oder vorbestraften personen bringt das bestimmt auf jeden fall was. ich würd ihn anzeigen. einen nachteil hast du davon nicht.
einfach die daten aufschreiben, eine kurze schilderung des vorgangs und an die polizei schicken. den rest erledigen die.