verdammte sch... - spam mit gespoofter ip?

[ueckermann]

Hallo,

entschuldigt bitte meinen Ton, aber gerade entdeckte ich dieses in meinen logs:

Code: Select all

Jun 24 08:39:58 p15122077 postfix/smtpd[18340]: connect from p15122077.pureserver.info[217.160.178.115]
Jun 24 08:40:06 p15122077 postfix/smtpd[18396]: 841913B8001: client=p15122077.pureserver.info[217.160.178.115]
Jun 24 08:40:06 p15122077 postfix/cleanup[18397]: 841913B8001: message-id=<20030624064006.841913B8001@p15122077.pureserver.info>
Jun 24 08:40:06 p15122077 postfix/smtpd[18396]: disconnect from p15122077.pureserver.info[217.160.178.115]
Jun 24 08:40:06 p15122077 postfix/qmgr[13762]: 841913B8001: from=<lvhuynh@general-guide.net>, size=2936, nrcpt=13 (queue active)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<bellalitaalli@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<dqmilk@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<homers100@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<joggels45@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<lz2wpb@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<mpcoakley65@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<pepsichick59@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<pulp417@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<spudiss@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<tarangod@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<uubri@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<woodenpens@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)

Das da jemand SPAM über meinen Server verschickt hat dürfte klar sein. Aber wie hat der die IP und den Hostnamen gefälscht und wie kann ich mich dagegegn schützen?

Verärgert,

Nico

[alrad]

Hallo,

wie kommst du darauf, dass der Hostname und die IP gefälscht sind?

Gruß
Albert

[ueckermann]

hmm... habe jetzt mal

Code: Select all

mynetworks = 127.0.0.0/8, 217.160.178.115/24

in das

Code: Select all

mynetworks = 127.0.0.0/8

geändert.

Jetzt wird auf jeden Fall alles brav rejected. Zum Glück sind "nur" ca. 200 Spammails rausgegangen.

Grüße,

Nico

[ueckermann]

wie kommst du darauf, dass der Hostname und die IP gefälscht sind?

Weil das mein hostname und meine ip ist und ich den Kram nicht verschickt habe - ausserdem sieht es anders aus, wenn Sachen von localhost verschickt werden. Zumindest kann ich mir die Sache nicht anders erklären.

Grüße,

Nico

[dodolin]

Du hast wahrscheinlich einen offenen Proxy, z.B. mod_proxy bei Apache. Bitte prüfe die Apachen-Logs und fixe das! Das kommt in letzter Zeit leider in Mode unter den Spammern... gerade habe ich gestern dazu auch jemandem in new:de.admin.net-abuse.mail geholfen, der das selbe Problem hatte.

[ueckermann]

du meins warscheinlich solche einträge:

Code: Select all

203.98.177.88 - - [24/Jun/2003:10:17:08 +0200] "POST http://217.160.178.115:25/ HTTP/1.1" 405 321 "-" "-"

eins muss man den jungs lassen - kreativ sind die.

gruß und danke,

nico

[dodolin]

du meins warscheinlich solche einträge:

Exakt!

Siehe dazu auch http://groups.google.de/groups?as_q=sel ... abuse.mail

-> Du bist nicht der erste/einzige. Leider. Es scheint viele solcher Installationen zu geben. Mich würde es interessieren, welche Einstellungen bei dir im Apachen dafür verantwortlich sind und wie du es gefixed hast. Wäre nett, wenn du das hier mitteilen könntest. Danke.

PS: Da nicht mehr Mailspezifisch, verschiebe ich ins Security.

[ueckermann]

die Einstellung im Apache war folgende:

Code: Select all

<IfModule mod_proxy.c>
    #
    # Proxy Server directives. Uncomment the following lines to
    # enable the proxy server:
    #
    #<IfModule mod_proxy.c>
    ProxyRequests On
    #
    #<Directory proxy:*>
    #    Order deny,allow
    #    Deny from all
    #    Allow from .your_domain.com
    #</Directory>
</IfModule>´

Ich hatte letzteres nicht auskommentiert und angepasst.

Grüße,

Nico

[dodolin]

Ich hatte letzteres nicht auskommentiert und angepasst.

Ok, das ist krass.

Eine Frage musst du dir aber noch gefallen lassen:
Warum hast du überhaupt die ProxyRequests on auskommentiert? Per Default ist das doch alles deaktiviert, oder nicht? Brauchst du mod_proxy denn für irgendwas?

Naja, jetzt hast du ja was dazugelernt, insofern... ich will ja keine Predigt halten.

[ueckermann]

http://server.1und1.com/root_server/howto/6.html

grüße,

nico

[dodolin]

Hm... naja.

Also um RewriteRule irgendwas [P] (P steht für Proxy) zu benutzen, genügt es das mod_proxy mit LoadModule zu laden und keine weiteren mod_proxy Anweisungen zu definieren. Also den obigen Abschnitt am besten wieder komplett als Kommentar setzen.