Server für SPAM missbraucht?

Post by **cgiresource** » 2003-09-08 20:14

Hi,

eben loggte ich mich per SSH auf meinen Server und musste feststellen, dass sendmail ziemlich am rödeln war.
Ich habe mir also sofort die Logs angeschaut und musste folgendes feststellen:

/var/log/mail

Code: Select all

Sep  8 20:04:33 soul mailin-01.mx.aol.com.: idle[9127]: h88I4Ta09123: to=<zzzzderletzte@aol.com>, delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=120930, relay=mailin-01.mx.aol.com. [64.12.138.152], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:34 soul mailin-03.mx.aol.com.: idle[9115]: h88I4Sa09111: to=<zzyatapizz@aol.com>, delay=00:00:06, xdelay=00:00:05, mailer=esmtp, pri=120927, relay=mailin-03.mx.aol.com. [64.12.138.120], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:34 soul mailin-03.mx.aol.com.: idle[8935]: h88I4Da08932: to=<zwerghasem@aol.com>, delay=00:00:21, xdelay=00:00:20, mailer=esmtp, pri=120927, relay=mailin-03.mx.aol.com. [64.12.137.121], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:34 soul mailin-01.mx.aol.com.: idle[9133]: h88I4Ua09129: to=<zzzzzz515934435@aol.com>, delay=00:00:04, xdelay=00:00:04, mailer=esmtp, pri=120932, relay=mailin-01.mx.aol.com. [64.12.137.184], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:34 soul mailin-01.mx.aol.com.: idle[9091]: h88I4Qa09086: to=<zzille@aol.com>, delay=00:00:08, xdelay=00:00:08, mailer=esmtp, pri=120923, relay=mailin-01.mx.aol.com. [64.12.137.184], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:35 soul mailin-03.mx.aol.com.: idle[9063]: h88I4Oa09060: to=<zyros1981@aol.com>, delay=00:00:11, xdelay=00:00:11, mailer=esmtp, pri=120926, relay=mailin-03.mx.aol.com. [64.12.137.121], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:37 soul mailin-03.mx.aol.com.: idle[8991]: h88I4Ia08988: to=<zwillingju@aol.com>, delay=00:00:19, xdelay=00:00:19, mailer=esmtp, pri=120927, relay=mailin-03.mx.aol.com. [64.12.137.152], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:37 soul mailin-03.mx.aol.com.: idle[9107]: h88I4Sa09104: to=<zzsteffenzz@aol.com>, delay=00:00:09, xdelay=00:00:09, mailer=esmtp, pri=120928, relay=mailin-03.mx.aol.com. [64.12.137.121], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:40 soul mailin-01.mx.aol.com.: idle[9131]: h88I4Ua09128: to=<zzzzz36m@aol.com>, delay=00:00:10, xdelay=00:00:10, mailer=esmtp, pri=120925, relay=mailin-01.mx.aol.com. [205.188.156.122], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:44 soul mailin-03.mx.aol.com.: idle[9053]: h88I4Na09048: to=<zymric@aol.com>, delay=00:00:21, xdelay=00:00:21, mailer=esmtp, pri=120923, relay=mailin-03.mx.aol.com. [64.12.138.120], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:47 soul mailin-01.mx.aol.com.: idle[9059]: h88I4Na09055: to=<zyrenaika@aol.com>, delay=00:00:24, xdelay=00:00:23, mailer=esmtp, pri=120926, relay=mailin-01.mx.aol.com. [64.12.137.184], dsn=2.0.0, stat=Sent (OK)
Sep  8 20:04:51 soul mailin-03.mx.aol.com.: idle[9121]: h88I4Ta09117: to=<zzzestzz@aol.com>, delay=00:00:22, xdelay=00:00:22, mailer=esmtp, pri=120925, relay=mailin-03.mx.aol.com. [64.12.137.152], dsn=2.0.0, stat=Sent (OK)

/var/log/messages

Code: Select all

Sep  8 18:37:26 soul ./h88GbQa11206 p5087E093.dip0.t-ipconnect.de [80.135.224.147]: DATA[11206]: h88GbQa11206: from=<Fun_MovieZ@web.de>, size=928, class=0,
nrcpts=1, msgid=<200309081637.h88GbQa11206@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087E093.dip0.t-ipconnect.de [80.135.224.147]
Sep  8 18:37:26 soul ./h88GbQa11207 p5087E093.dip0.t-ipconnect.de [80.135.224.147]: DATA[11207]: h88GbQa11207: from=<Fun_MovieZ@web.de>, size=928, class=0,
nrcpts=1, msgid=<200309081637.h88GbQa11207@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087E093.dip0.t-ipconnect.de [80.135.224.147]
Sep  8 18:37:27 soul mailin-01.mx.aol.com.: idle[11203]: h88GbPa11199: to=<rosemariew144941@aol.com>, delay=00:00:02, xdelay=00:00:01, mailer=esmtp, pri=1209
relay=mailin-01.mx.aol.com. [205.188.156.122], dsn=2.0.0, stat=Sent (OK)

(jeweils so ca. 200 Einträge).

Mein sendmail ist mit SMTP-Auth normalerweise geschützt. Ich weiss nicht, warum da jetzt jemand reinkommen konnte...

Ich weiss auch nicht, wie ich mich in Zukunft davor schützen kann.

Bringt es etwas, wenn ich an an die Abuse-Abteilung von der Telekom eine Mail sende? Und wenn ja, mit oder ohne Logfiles?

Mein OS: SuSE 7.2 mit sendmail und qpopper.

Vielleicht kann mir ja jemand helfen.

Mit freundlichen Grüßen,

CGIResource

Post by **alexander newald** » 2003-09-08 22:07

Schauen, ob du ohne smtp auth mails verschicken kannst, wenn nein, besteht immer noch die möglichkeit, dass einer, der per smtp auth die berechtigung hat mails zu verschicken den server missbraucht...

Post by **cgiresource** » 2003-09-08 22:10

Hi,

danke für die Antwort! Ich kann ohne SMTP-Auth nichts verschicken.
Muss wohl einer sein, der einen Account hat.
Werde mal eine abuse-mail absetzen.

Gruß,

CGIResource

Post by **cgiresource** » 2003-09-09 11:11

Hmm,

es geht schon wieder los.
Ich weiss nicht woran es liegt.

Es ist sogar so, dass wenn ich sendmail stoppe, dass sendmail dann trotzdem noch weiter läuft und reagiert.

Woran kann das liegen?

Gruß,

CGIResource

P.S.:
Nochmal ein Schub logfiles :D

Code: Select all

Sep  9 11:10:02 soul mailin-01.mx.aol.com.: idle[14611]: h899A0V14592: to=<seestern7825@aol.com>, delay=00:00:02, xdelay=00:00:01, mailer=esmtp, pri=120999, relay=mailin-01.mx.aol.com. [205.188.156.122], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:02 soul mailin-01.mx.aol.com.: idle[14241]: h8999VV14238: to=<sebastian4688@aol.com>, delay=00:00:31, xdelay=00:00:31, mailer=esmtp, pri=121000, relay=mailin-01.mx.aol.com. [64.12.136.57], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:02 soul ./h899A2V14633 p5087EE05.dip0.t-ipconnect.de [80.135.238.5]: DATA[14633]: h899A2V14633: from=<Shocker_world@web.de>, size=1003, class=0, nrcpts=1, msgid=<200309090910.h899A2V14633@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]
Sep  9 11:10:02 soul ./h899A2V14634 p5087EE05.dip0.t-ipconnect.de [80.135.238.5]: DATA[14634]: h899A2V14634: from=<Shocker_world@web.de>, size=1003, class=0, nrcpts=1, msgid=<200309090910.h899A2V14634@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]
Sep  9 11:10:03 soul ./h899A2V14639 p5087EE05.dip0.t-ipconnect.de [80.135.238.5]: DATA[14639]: h899A2V14639: from=<Shocker_world@web.de>, size=1001, class=0, nrcpts=1, msgid=<200309090910.h899A2V14639@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]
Sep  9 11:10:03 soul mailin-01.mx.aol.com.: idle[14249]: h8999VV14245: to=<sebastianeagle@aol.com>, delay=00:00:32, xdelay=00:00:31, mailer=esmtp, pri=121001, relay=mailin-01.mx.aol.com. [64.12.136.57], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:03 soul mailin-01.mx.aol.com.: idle[14632]: h899A1V14628: to=<seesternche72824@aol.com>, delay=00:00:02, xdelay=00:00:01, mailer=esmtp, pri=121003, relay=mailin-01.mx.aol.com. [64.12.137.89], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:03 soul mailin-03.mx.aol.com.: idle[14630]: h899A1V14627: to=<seestern87707826@aol.com>, delay=00:00:02, xdelay=00:00:01, mailer=esmtp, pri=121003, relay=mailin-03.mx.aol.com. [64.12.138.57], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:03 soul ./h899A2V14640 p5087EE05.dip0.t-ipconnect.de [80.135.238.5]: DATA[14640]: h899A2V14640: from=<Shocker_world@web.de>, size=1001, class=0, nrcpts=1, msgid=<200309090910.h899A2V14640@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]
Sep  9 11:10:03 soul mailin-03.mx.aol.com.: idle[14562]: h8999wV14559: to=<seeraeuber1971@aol.com>, delay=00:00:05, xdelay=00:00:05, mailer=esmtp, pri=121001, relay=mailin-03.mx.aol.com. [64.12.138.120], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:03 soul mailin-01.mx.aol.com.: idle[14636]: h899A2V14633: to=<seesternchen1059@aol.com>, delay=00:00:01, xdelay=00:00:01, mailer=esmtp, pri=121003, relay=mailin-01.mx.aol.com. [64.12.136.57], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:03 soul ./h899A3V14646 p5087EE05.dip0.t-ipconnect.de [80.135.238.5]: DATA[14646]: h899A3V14646: from=<Shocker_world@web.de>, size=997, class=0, nrcpts=1, msgid=<200309090910.h899A3V14646@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]
Sep  9 11:10:03 soul ./h899A3V14647 p5087EE05.dip0.t-ipconnect.de [80.135.238.5]: DATA[14647]: h899A3V14647: from=<Shocker_world@web.de>, size=1000, class=0, nrcpts=1, msgid=<200309090910.h899A3V14647@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]
Sep  9 11:10:04 soul mailin-03.mx.aol.com.: idle[14642]: h899A2V14639: to=<seesternchen78@aol.com>, delay=00:00:02, xdelay=00:00:01, mailer=esmtp, pri=121001, relay=mailin-03.mx.aol.com. [64.12.137.121], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:04 soul mailin-02.mx.aol.com.: idle[14645]: h899A2V14640: to=<seesternwerfer@aol.com>, delay=00:00:02, xdelay=00:00:01, mailer=esmtp, pri=121001, relay=mailin-02.mx.aol.com. [64.12.136.89], dsn=2.0.0, stat=Sent (OK)
Sep  9 11:10:04 soul ./h899A3V14657 p5087EE05.dip0.t-ipconnect.de [80.135.238.5]: DATA[14657]: h899A3V14657: from=<Shocker_world@web.de>, size=1000, class=0, nrcpts=1, msgid=<200309090910.h899A3V14657@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]
Sep  9 11:10:04 soul ./h899A3V14658 p5087EE05.dip0.t-ipconnect.de [80.135.238.5]: DATA[14658]: h899A3V14658: from=<Shocker_world@web.de>, size=998, class=0, nrcpts=1, msgid=<200309090910.h899A3V14658@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]

Post by **captaincrunch** » 2003-09-09 11:13

Stichwort : mod_proxy ?!?

Post by **cgiresource** » 2003-09-09 11:18

Im Apache?

Post by **gamecrash** » 2003-09-09 11:19

Guck dir mal durch was hier alles drinsteht... evtl. hilft das...

Post by **cgiresource** » 2003-09-09 11:28

Hi,

ich habe mod_proxy jetzt mal deaktiviert. Jetzt laufen zwar meine SSL-Domains nicht mehr, aber das ist erstmal unwichtig.

Allerdings geht der SPAM-Spaß immer noch weiter...

Post by **cgiresource** » 2003-09-09 11:53

So,

im Moment ist wieder Ruhe.
Sieht dies hier eigentlich gut aus?

/var/log/httpd/error_log:

Code: Select all

[Tue Sep  9 11:46:37 2003] [error] [client 62.8.251.218] Invalid method in request CAC
[Tue Sep  9 11:47:41 2003] [error] [client 145.64.128.5] Invalid method in request FAC

oder was kann das sein?

Gruß,

CGIResource

Post by **dodolin** » 2003-09-09 17:15

Guck mal lieber im access.log vom Apachen und suche dort nach POST und :25 bzw. CONNECT.

Post by **cgiresource** » 2003-09-09 20:45

Hi,

hab die Dinger mal durchsucht. Ist jetzt nichts mehr auffällig.
Der Spambefall hat nun auch aufgehört. Ich hoffe ich konnte das Loch stopfen.

Nun muss ich mir mal überlegen, wir ich meine SSL-Domains wieder zum laufen bekomme :) Dafür habe ich ja nun leider mod_rewrite benutzt.

Gruß,

CGIResource

Post by **alexander newald** » 2003-09-10 02:37

Wie ich schon gesagt habe, hat nichts mit mod_proxy oder so zu tun:

[

Code: Select all

14639]: h899A2V14639: from=<Shocker_world@web.de>, size=1001, class=0, nrcpts=1, msgid=<200309090910.h899A2V14639@soul.blackball.biz>, proto=ESMTP, daemon=MTA, mech=LOGIN, relay=p5087EE05.dip0.t-ipconnect.de [80.135.238.5]

und insbesondere: mech=LOGIN deutet für mich darauf, dass entweder jemand eine Bentzerid/Passwort Kombination erraten hat, oder das ein echter Benutzer lustig spammt... Wobei sendmail eigendlich noch ein AUTH=server bzw authid=USERID_DES_LOGINS hinzufügt!!

RootForum Community

Server für SPAM missbraucht?

Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?

Re: Server für SPAM missbraucht?