Spam ??

Post by **malibuu** » 2003-10-03 10:55

Hallo könnt ihr mir sagen was diese Logs in meiner "warn" zu suchen haben ?

Oct 2 21:41:57 pxxxxxxxx postfix/smtpd[24773]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:annapmoldt@flashmail.com
Oct 2 21:47:26 pxxxxxxxx postfix/smtpd[24838]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:aliciadbethel@acmemail.net
Oct 2 22:07:35 pxxxxxxxx postfix/smtpd[25130]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:jackbran4@hotmail.com
Oct 2 22:08:18 pxxxxxxxx postfix/smtpd[25141]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:belindakshaw@flashmail.com
Oct 2 22:11:29 pxxxxxxxx postfix/smtpd[25130]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:annieb1980@yahoo.com

wäre um Hilfe sehr Dankbar :-)

Post by **captaincrunch** » 2003-10-03 10:57

Der Client hat keine korrekte SMTP-Verbindung aufgebaut. Vermutlich handelt es sich dabei um Spam, um das genauer sagen zu können, liferst du aber nicht genug relevante Logs

Post by **malibuu** » 2003-10-03 11:02

meine "mail" log ist voll von dem Zeug !!

Oct 2 22:05:35 p15131864 postfix/smtpd[25130]: connect from radio2b.org[217.160.110.45]
Oct 2 22:06:05 p15131864 postfix/smtpd[25130]: 5F384488052: client=radio2b.org[217.160.110.45]
Oct 2 22:06:05 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <knobstripe04@aol.com>: Relay access denied; from=<jackbran4@hotmail.com> to=<knobstripe04@aol.com>
Oct 2 22:06:10 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <klouo@acmemail.net>: Relay access denied; from=<jackbran4@hotmail.com> to=<klouo@acmemail.net>
Oct 2 22:06:15 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <marykiou@flashmail.com>: Relay access denied; from=<jackbran4@hotmail.com> to=<marykiou@flashmail.com>
Oct 2 22:06:18 p15131864 postfix/smtpd[25141]: connect from radio2b.org[217.160.110.45]
Oct 2 22:06:20 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <lennnfrtg@swbell.net>: Relay access denied; from=<jackbran4@hotmail.com> to=<lennnfrtg@swbell.net>
Oct 2 22:06:25 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <angelakthalman@mail.ru>: Relay access denied; from=<jackbran4@hotmail.com> to=<angelakthalman@mail.ru>
Oct 2 22:06:30 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <beckynmoldt@gofree.co.uk>: Relay access denied; from=<jackbran4@hotmail.com> to=<beckynmoldt@gofree.co.uk>
Oct 2 22:06:41 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <jrdelly@hotmail.com>: Relay access denied; from=<jackbran4@hotmail.com> to=<jrdelly@hotmail.com>
Oct 2 22:06:48 p15131864 postfix/smtpd[25141]: AAA34488065: client=radio2b.org[217.160.110.45]
Oct 2 22:06:48 p15131864 postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <knobstripe04@aol.com>: Relay access denied; from=<belindakshaw@flashmail.com> to=<knobstripe04@aol.com>
Oct 2 22:06:53 p15131864 postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <klouo@acmemail.net>: Relay access denied; from=<belindakshaw@flashmail.com> to=<klouo@acmemail.net>
Oct 2 22:06:58 p15131864 postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <marykiou@flashmail.com>: Relay access denied; from=<belindakshaw@flashmail.com> to=<marykiou@flashmail.com>
Oct 2 22:07:01 p15131864 popper[25147]: Stats: web2p1 0 0 20 97330 ppp-62-245-232-69.mnet-online.de 62.245.232.69 [pop_updt.c:296]
Oct 2 22:07:03 pxxxxxxxx postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <lennnfrtg@swbell.net>: Relay access denied; from=<belindakshaw@flashmail.com> to=<lennnfrtg@swbell.net>
Oct 2 22:07:08 pxxxxxxxx postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <angelakthalman@mail.ru>: Relay access denied; from=<belindakshaw@flashmail.com> to=<angelakthalman@mail.ru>
Oct 2 22:07:13 pxxxxxxxx postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <beckynmoldt@gofree.co.uk>: Relay access denied; from=<belindakshaw@flashmail.com> to=<beckynmoldt@gofree.co.uk>
Oct 2 22:07:24 pxxxxxxxx postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <jrdelly@hotmail.com>: Relay access denied; from=<belindakshaw@flashmail.com> to=<jrdelly@hotmail.com>
Oct 2 22:07:35 pxxxxxxxx postfix/smtpd[25130]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:jackbran4@hotmail.com
Oct 2 22:07:51 pxxxxxxxx postfix/smtpd[25130]: disconnect from radio2b.org[217.160.110.45]
Oct 2 22:08:18 pxxxxxxxx postfix/smtpd[25141]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:belindakshaw@flashmail.com
Oct 2 22:08:34 pxxxxxxxx postfix/smtpd[25141]: disconnect from radio2b.org[217.160.110.45]
Oct 2 22:09:28 pxxxxxxxx postfix/smtpd[25130]: connect from radio2b.org[217.160.110.45]
Oct 2 22:09:59 pxxxxxxxx postfix/smtpd[25130]: 0A710488052: client=radio2b.org[217.160.110.45]
Oct 2 22:09:59 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <knobstripe04@aol.com>: Relay access denied; from=<annieb1980@yahoo.com> to=<knobstripe04@aol.com>
Oct 2 22:10:04 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <klouo@acmemail.net>: Relay access denied; from=<annieb1980@yahoo.com> to=<klouo@acmemail.net>
Oct 2 22:10:09 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <marykiou@flashmail.com>: Relay access denied; from=<annieb1980@yahoo.com> to=<marykiou@flashmail.com>
Oct 2 22:10:14 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <lennnfrtg@swbell.net>: Relay access denied; from=<annieb1980@yahoo.com> to=<lennnfrtg@swbell.net>
Oct 2 22:10:19 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <angelakthalman@mail.ru>: Relay access denied; from=<annieb1980@yahoo.com> to=<angelakthalman@mail.ru>
Oct 2 22:10:24 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <beckynmoldt@gofree.co.uk>: Relay access denied; from=<annieb1980@yahoo.com> to=<beckynmoldt@gofree.co.uk>
Oct 2 22:10:35 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <jrdelly@hotmail.com>: Relay access denied; from=<annieb1980@yahoo.com> to=<jrdelly@hotmail.com>
Oct 2 22:11:29 pxxxxxxxx postfix/smtpd[25130]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:annieb1980@yahoo.com
Oct 2 22:11:45 pxxxxxxxx postfix/smtpd[25130]: disconnect from radio2b.org[217.160.110.45]

vielleicht sagt das jetzt mehr aus ??! :-) ?? Von den Einträgen stehen noch viel mehr drine !!

Post by **captaincrunch** » 2003-10-03 11:04

Ja, und zwar, dass dein Postfix bisher alle versuche, Spam über ihn zu versenden abgelehnt hat.

Post by **malibuu** » 2003-10-03 11:06

ist es sinnvoll ein Update zum machen ?? Oder gibt es die möglichkeit das es gar nicht dazu kommt alleine zu versuchen spam zu verschicken ??

danke übrigends :-)

Post by **nero27** » 2003-10-03 11:09

Hi malibuu,

bei mir stehen die gleichen Einträge in meinen Logs. Allerdings von 2:09 bis 2:31. Da hat ein "lieber Nachbar" versucht über unsere Server Spam zu verschicken. Aber, wie CaptainCrunch schon sagte, erfolglos (reject).

Gruß nero

Post by **malibuu** » 2003-10-03 11:35

aha !! Ist es schlau so etwas 1und1 zu melden ??
oder war das gar nicht der Server mit der Domain:
radio2b.org[217.160.110.45] ??

thx
chris

Post by **nero27** » 2003-10-03 11:55

Doch doch, das is schon der Richtige (ein nslookup der IP verweist auch auf die Domain)

Geschickterweise hat der Gute auf seiner Seite ein Wiki. Da hab ich ihm mal ne kleine Nachricht hinterlassen.
[url]http://www.radio2b.org/cgi-bin/moin.cgi[/url]

Mal schauen, ob sich der Hamburger Jung' darauf hier meldet.
Wenn der sowas noch mal macht, sollten wir das glaub ich schon mal melden.
Vielleicht war's ja auch nur ein Versehen...

Post by **malibuu** » 2003-10-03 14:14

das war bestimmt kein Versehen !! Mehrere Server wurden davon betroffen ! Das ist auch kein Spass mehr..

Post by **wgot** » 2003-10-03 14:35

Hallo,

sieht nach Proxy aus. Ist dann vermutlich keine Absicht sondern Unwissen.

Gruß, Wolfgang

Post by **Anonymous** » 2003-10-03 17:03

ich habe dummerweise, einem ohne ahnung etwas zuviele rtechte eingeräumt, wird schnellstmöglich behoben, es sollte jetzt erstmal gestoppt sein, wenn nicht, bitte sofort melden, an <rootforum-[at]-slasha.de>
schönen feiertag trotzdem noch

Post by **dodolin** » 2003-10-03 20:10

ich habe dummerweise, einem ohne ahnung etwas zuviele rtechte eingeräumt, wird schnellstmöglich behoben, es sollte jetzt erstmal gestoppt sein, wenn nicht, bitte sofort melden, an <rootforum-[at]-slasha.de>
schönen feiertag trotzdem noch

Sollte der Rechner 217.160.110.45 dir gehören, dann ist da gar nix gefixed. Ich habe ihn jetzt erstmal erfolgreich auf http://dsbl.org/listing?217.160.110.45 gelistet. ;) Wenn du es schnell fixed, erspare ich dir auch die Abuse-Mail an abuse.schlund.de. :) Hint: mod_proxy im Apachen bitte NICHT laden.

Post by **adjustman** » 2003-10-05 01:10

meinst Du sowas in der httpd.conf:

AddModule mod_proxy.c

Das steht bei mir drin. :roll:

Post by **Joe User** » 2003-10-05 13:09

yupp, sowohl die Direktiven AddModule als auch LoadModule für mod_proxy* müssen raus!

Post by **adjustman** » 2003-10-05 14:41

und wie kommen die da rein? Ich hab sie nicht explizit reingeschrieben.

Post by **dodolin** » 2003-10-05 16:25

und wie kommen die da rein? Ich hab sie nicht explizit reingeschrieben.

Dann waren's wohl die Heinzelmännchen. ;)

PS: Wenn man weiß, was man tut, kann man selbstverständlich auch mod_proxy laden und nutzen, wenn es wirklich nötig ist. Aber wie man sieht, kann man sich dabei halt sehr leicht selbst ins Bein schießen... Und als erste Gegenmaßnahme, wenn es bereits zu spät ist, hilft Apache neustarten ohne das Proxy-Modul.

Post by **adjustman** » 2003-10-05 19:36

wozu ist denn mod_proxy gut? (Server war vorinstalliert)

Post by **mutombo** » 2003-10-06 00:16

jo mod_proxy ist vorinstalliert bei 1und1 hat allerdings für den einzel-server-benutzer nicht wirklich eine sinnvolle aufgabe.

Post by **adjustman** » 2003-10-06 00:26

und wenn ich das auskommentiere, geht immer noch alles?

Post by **dodolin** » 2003-10-06 14:16

@adjustman: Oh Mann, warum liest du nicht einfach die Doku zu mod_proxy?! Wenn du es nicht (wissentlich) benutzt, wird wohl auch noch ohne alles gehen...

Post by **darth** » 2003-10-10 08:55

Kann ich nur zustimmen.

Beim 8.1er ist das beides geladen.
Ein einfaches Auskommentieren beider Einträge und ein Apache restart helfen hier schonmal weiter :)

Und solange Du einfach nur ein paar Homepages, Mail etc über den Server laufen lässt, und nichts spezielles das dieses Modul benötigt, kannst Du es einfach auskommentieren..

Gruss,
Michael

Post by **Joe User** » 2003-10-10 17:26

adjustMan wrote:und wie kommen die da rein? Ich hab sie nicht explizit reingeschrieben.

SuSE-Standard

RootForum Community

Spam ??

Spam ??

Re: Spam ??

ok

Re: Spam ??

ist

Re: Spam ??

aha

Re: Spam ??

das

Re: Spam ??

Sorry, an alle, und danke für den hinweis

Re: Spam ??

Re: Spam ??

Re: Spam ??

Re: Spam ??

Re: Spam ??

Re: Spam ??

Re: Spam ??

Re: Spam ??

Re: Spam ??

Re: Spam ??

Re: Spam ??