verdammte sch... - spam mit gespoofter ip?

Lesenswerte Artikel, Anleitungen und Diskussionen
ueckermann
Posts: 44
Joined: 2003-05-01 14:12

verdammte sch... - spam mit gespoofter ip?

Post by ueckermann » 2003-06-24 09:22

Hallo,

entschuldigt bitte meinen Ton, aber gerade entdeckte ich dieses in meinen logs:

Code: Select all

Jun 24 08:39:58 p15122077 postfix/smtpd[18340]: connect from p15122077.pureserver.info[217.160.178.115]
Jun 24 08:40:06 p15122077 postfix/smtpd[18396]: 841913B8001: client=p15122077.pureserver.info[217.160.178.115]
Jun 24 08:40:06 p15122077 postfix/cleanup[18397]: 841913B8001: message-id=<20030624064006.841913B8001@p15122077.pureserver.info>
Jun 24 08:40:06 p15122077 postfix/smtpd[18396]: disconnect from p15122077.pureserver.info[217.160.178.115]
Jun 24 08:40:06 p15122077 postfix/qmgr[13762]: 841913B8001: from=<lvhuynh@general-guide.net>, size=2936, nrcpt=13 (queue active)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<bellalitaalli@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<dqmilk@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<homers100@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<joggels45@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<lz2wpb@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<mpcoakley65@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<pepsichick59@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<pulp417@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<spudiss@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<tarangod@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<uubri@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Jun 24 08:40:13 p15122077 postfix/smtp[18385]: 841913B8001: to=<woodenpens@aol.com>, relay=mailin-01.mx.aol.com[64.12.138.152], delay=7, status=sent (250 OK)
Das da jemand SPAM über meinen Server verschickt hat dürfte klar sein. Aber wie hat der die IP und den Hostnamen gefälscht und wie kann ich mich dagegegn schützen?

Verärgert,

Nico

alrad
Posts: 90
Joined: 2003-04-27 10:15

Re: verdammte sch... - spam mit gespoofter ip?

Post by alrad » 2003-06-24 09:43

Hallo,

wie kommst du darauf, dass der Hostname und die IP gefälscht sind?

Gruß
Albert

ueckermann
Posts: 44
Joined: 2003-05-01 14:12

Re: verdammte sch... - spam mit gespoofter ip?

Post by ueckermann » 2003-06-24 09:45

hmm... habe jetzt mal

Code: Select all

mynetworks = 127.0.0.0/8, 217.160.178.115/24
in das

Code: Select all

mynetworks = 127.0.0.0/8
geändert.

Jetzt wird auf jeden Fall alles brav rejected. Zum Glück sind "nur" ca. 200 Spammails rausgegangen.

Grüße,

Nico

ueckermann
Posts: 44
Joined: 2003-05-01 14:12

Re: verdammte sch... - spam mit gespoofter ip?

Post by ueckermann » 2003-06-24 09:50

alrad wrote:wie kommst du darauf, dass der Hostname und die IP gefälscht sind?
Weil das mein hostname und meine ip ist und ich den Kram nicht verschickt habe - ausserdem sieht es anders aus, wenn Sachen von localhost verschickt werden. Zumindest kann ich mir die Sache nicht anders erklären.

Grüße,

Nico

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: verdammte sch... - spam mit gespoofter ip?

Post by dodolin » 2003-06-24 10:08

Du hast wahrscheinlich einen offenen Proxy, z.B. mod_proxy bei Apache. Bitte prüfe die Apachen-Logs und fixe das! Das kommt in letzter Zeit leider in Mode unter den Spammern... gerade habe ich gestern dazu auch jemandem in new:de.admin.net-abuse.mail geholfen, der das selbe Problem hatte.

ueckermann
Posts: 44
Joined: 2003-05-01 14:12

Re: verdammte sch... - spam mit gespoofter ip?

Post by ueckermann » 2003-06-24 10:18

du meins warscheinlich solche einträge:

Code: Select all

203.98.177.88 - - [24/Jun/2003:10:17:08 +0200] "POST http://217.160.178.115:25/ HTTP/1.1" 405 321 "-" "-"
eins muss man den jungs lassen - kreativ sind die.

gruß und danke,

nico

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: verdammte sch... - spam mit gespoofter ip?

Post by dodolin » 2003-06-24 10:24

du meins warscheinlich solche einträge:
Exakt!

Siehe dazu auch http://groups.google.de/groups?as_q=sel ... abuse.mail

-> Du bist nicht der erste/einzige. Leider. Es scheint viele solcher Installationen zu geben. Mich würde es interessieren, welche Einstellungen bei dir im Apachen dafür verantwortlich sind und wie du es gefixed hast. Wäre nett, wenn du das hier mitteilen könntest. Danke.

PS: Da nicht mehr Mailspezifisch, verschiebe ich ins Security.

ueckermann
Posts: 44
Joined: 2003-05-01 14:12

Re: verdammte sch... - spam mit gespoofter ip?

Post by ueckermann » 2003-06-24 11:28

die Einstellung im Apache war folgende:

Code: Select all

<IfModule mod_proxy.c>
    #
    # Proxy Server directives. Uncomment the following lines to
    # enable the proxy server:
    #
    #<IfModule mod_proxy.c>
    ProxyRequests On
    #
    #<Directory proxy:*>
    #    Order deny,allow
    #    Deny from all
    #    Allow from .your_domain.com
    #</Directory>
</IfModule>´
Ich hatte letzteres nicht auskommentiert und angepasst.

Grüße,

Nico

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: verdammte sch... - spam mit gespoofter ip?

Post by dodolin » 2003-06-24 11:59

Ich hatte letzteres nicht auskommentiert und angepasst.
Ok, das ist krass. ;)

Eine Frage musst du dir aber noch gefallen lassen:
Warum hast du überhaupt die ProxyRequests on auskommentiert? Per Default ist das doch alles deaktiviert, oder nicht? Brauchst du mod_proxy denn für irgendwas?

Naja, jetzt hast du ja was dazugelernt, insofern... ich will ja keine Predigt halten. :)

ueckermann
Posts: 44
Joined: 2003-05-01 14:12

Re: verdammte sch... - spam mit gespoofter ip?

Post by ueckermann » 2003-06-24 12:07


dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: verdammte sch... - spam mit gespoofter ip?

Post by dodolin » 2003-06-24 12:54

Hm... naja.

Also um RewriteRule irgendwas [P] (P steht für Proxy) zu benutzen, genügt es das mod_proxy mit LoadModule zu laden und keine weiteren mod_proxy Anweisungen zu definieren. Also den obigen Abschnitt am besten wieder komplett als Kommentar setzen.