SpamOpfer

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
Anonymous

SpamOpfer

Post by Anonymous » 2003-10-23 02:09

Code: Select all

Oct 23 00:48:28 p15142332 qmail: 1066862908.423749 status: local 0/10 remote 19/20
Oct 23 00:48:28 p15142332 qmail: 1066862908.423778 starting delivery 1268: msg 2257597 to remote konnox@po
.iijnet.or.jp
Oct 23 00:48:28 p15142332 qmail: 1066862908.423804 status: local 0/10 remote 20/20
Oct 23 00:48:28 p15142332 qmail: 1066862908.846976 delivery 1265: success: 205.188.156.122_accepted_messag
e./Remote_host_said:_250_OK/
Hab qmail nach debianhowto eingebaut und meine Maschine verschickt unmengen von solchem Zeugs. So wie ich das sehe bin ich da nicht nur Relay sondern gleich der eigentliche Sender!
Nach dem ich alles was nach courier aussah und die damit zugehörigen Ports gestoppt hatte war Ruhe.

Jetzt will ich trotzdem wissen was da los ist.

Ich hab erst kürzlich bei abuse.net nen relay-test gestartet und mich gefreut dass ich kein Relay bin. Jetzt hab ich mal gesehen wie dieser Test eigentlich aussehen sollte und stelle fest dass diese Meldung
This host was recently tested with an anonymous test.

The host couldn't be reached for testing.
doch nicht das ist was mich glücklich macht.

Kann mir jetzt jemand die eine oder andere vernünfige Frage stellen damit ich die richtigen Antworten raussuchen kann?

Im moment läuft qmail. Courier-imap und Courier-imap-ssl sind gestoppt und seit dem ist Ruhe im Laden.

Ich möchte ja nicht meinen dass da jemand auf meiner Maschine ist?
Da gingen innerhalb kurzer Zeit immerhin gut 500 MB Mail raus!!

Danke
Manfred

Anonymous

Re: SpamOpfer

Post by Anonymous » 2003-10-23 11:10

So.

Kann mal jemand der mehr als ich davon versteht für mich nochmal auf
http://www.abuse.net/cgi-bin/relaytest

217.160.201.39

testen und die Ausgabe bewerten?

Vielen Dank

Ich hoffe ich hab das hingekriegt (bin müde :-) )

(hab für die nächste Zeit mal tail -f /var/log/mail.log auf ssh mitlaufen damit ich nichts verpass)

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SpamOpfer

Post by dodolin » 2003-10-23 14:05

Code: Select all

dominik@trinity:~$ rblcheck -t 217.160.201.39
217.160.201.39 not RBL filtered by blackholes.five-ten-sg.com
217.160.201.39 not RBL filtered by dnsbl.njabl.org
217.160.201.39 not RBL filtered by dynablock.easynet.nl
217.160.201.39 RBL filtered by blackholes.easynet.nl: Blacklisted by easynet.nl DNSBL - http://blackholes.easynet.nl/errors.html
217.160.201.39 not RBL filtered by ipwhois.rfc-ignorant.org
217.160.201.39 not RBL filtered by multihop.dsbl.org
217.160.201.39 not RBL filtered by opm.blitzed.org
217.160.201.39 RBL filtered by list.dsbl.org: http://dsbl.org/listing?ip=217.160.201.39
217.160.201.39 not RBL filtered by korea.services.net
217.160.201.39 RBL filtered by proxies.blackholes.easynet.nl: Open Proxy - http://proxies.blackholes.easynet.nl/errors.html
217.160.201.39 not RBL filtered by sbl.spamhaus.org
217.160.201.39 not RBL filtered by relays.ordb.org
217.160.201.39 not RBL filtered by xbl.selwerd.cx
217.160.201.39 RBL filtered by t1.bl.reynolds.net.au: PLEASE SEE http://bl.reynolds.net.au/lookup/?217.160.201.39
217.160.201.39 RBL filtered by unconfirmed.dsbl.org: http://dsbl.org/listing?ip=217.160.201.39
217.160.201.39 not RBL filtered by relays.bl.kundenserver.de
Bitte mal auf den angegebenen URLs nachschauen, zumindest dsbl.org gibt den Grund für das Listing an. Ich tippe auf offenen Proxy, also mal ganz fix mod_proxy deaktivieren.

PS: blackholes.easynet.nl und list.dsbl.org werden sehr gerne benutzt - du dürftest also ziemliche Probleme in Zukunft bekommen, wenn du diese Listings nicht beseitigen kannst.

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: SpamOpfer

Post by kenzo » 2003-10-23 14:53

Ich tippe auf offenen Proxy, also mal ganz fix mod_proxy deaktivieren.
Richtig getippt - der ist übrigens immer noch aktiv ...!

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SpamOpfer

Post by Joe User » 2003-10-23 20:08

Moin,
dodolin wrote:

Code: Select all

dominik@trinity:~$ rblcheck -t
kann man Dein(?) Script irgendwo beziehen? Oder sollte ich googlen gehen?

Gruss,
Markus

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: SpamOpfer

Post by captaincrunch » 2003-10-23 20:11

DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SpamOpfer

Post by Joe User » 2003-10-23 20:58

CaptainCrunch wrote:Ich hab schon vor dir gegooled : ;)

http://www.salesianer.de/util/rblcheck.html
http://rblcheck.sourceforge.net/
:roll: Thanks :roll:

Anonymous

Re: SpamOpfer

Post by Anonymous » 2003-10-23 22:05

Sorry für die späte Reaktion.

Ohne mod_proxy geht aber der ssl-proxy nicht.
Issja nicht so dass ich den nicht brauche.

Wie kann ich das umschiffen? Oder werd ich jetzt offtopic?

Auf jeden Fall ist mein qmail jetzt besser abgesichert als vorher :-)

Gruß
Manfred

Edit:
Das folgende hab ich auf opm.blitzed.org gefischt.
mod_proxy hab ich erst gegen 22:00 abgestellt.
--snip
Open proxy lookup

Performing a lookup on the IP address 217.160.201.39.

Although the IP address 217.160.201.39 was submitted to us for scanning by a spamtrap reporter we performed a scan of it at 2003-10-22 17:52:05 GMT and found no evidence of an open proxy.
--snap
Last edited by Anonymous on 2003-10-23 22:19, edited 1 time in total.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: SpamOpfer

Post by captaincrunch » 2003-10-23 22:15

Wie kann ich das umschiffen? Oder werd ich jetzt offtopic?
Dazu gab's hier mal einen Thread, den ich aber gerade in der Eile nicht finde.
Auf jeden Fall ist mein qmail jetzt besser abgesichert als vorher
Bringt dir aber auch nichts, wenn dein Apache zum spammen missbraucht wird. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Anonymous

Re: SpamOpfer

Post by Anonymous » 2003-10-23 22:38

Dazu gab's hier mal einen Thread, den ich aber gerade in der Eile nicht finde.
Bin schon wie ein Irrer am Suchen
Bringt dir aber auch nichts, wenn dein Apache zum spammen missbraucht wird. ;)
Hauptsache was gelernt und Life with qmail ausgedruckt :-D

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: SpamOpfer

Post by majortermi » 2003-10-23 23:25

tictric wrote:Ohne mod_proxy geht aber der ssl-proxy nicht.
Issja nicht so dass ich den nicht brauche.

Wie kann ich das umschiffen? Oder werd ich jetzt offtopic?
Für den SSL-Proxy benötigst du zwar mod_proxy, das muss aber nur geladen - nicht aktiviert sind - es reicht also völlig, wenn man die entsprechenden "AddModule" und "LoadModule"-Direktiven hat, mehr braucht man nicht.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

Anonymous

Re: SpamOpfer

Post by Anonymous » 2003-10-23 23:26

Code: Select all

perl pxytest 217.160.201.39
Using mail server: 217.160.201.39 (mislik.com)
Testing addr "217.160.201.39" port "80" proto "http-connect" ... connected
>>> CONNECT 217.160.201.39:25 HTTP/1.0rnrn
<<< HTTP/1.1 403 Forbiddenrn
Testing addr "217.160.201.39" port "80" proto "http-post" ... connected
>>> POST http://217.160.201.39:25/ HTTP/1.0rn
>>> Content-Type: text/plainrn
>>> Content-Length: 6rnrn
>>> QUITrn
<<< HTTP/1.1 200 OKrn
<<< Date: Thu, 23 Oct 2003 21:22:27 GMTrn
<<< X-Cache: MISS from mislik.comrn
<<< Connection: closern
<<< Content-Type: text/plain; charset=iso-8859-1rn
<<< rn
<<< 502 unimplemented (#5.5.1)rn
<<< 502 unimplemented (#5.5.1)rn
<<< 502 unimplemented (#5.5.1)rn
<<< 502 unimplemented (#5.5.1)rn
<<< 502 unimplemented (#5.5.1)rn
<<< 502 unimplemented (#5.5.1)rn
<<< 221 p15142332.pureserver.inforn
<<< EOF: end of input
Testing addr "217.160.201.39" port "3128" proto "http-connect" ... cannot connect
Testing addr "217.160.201.39" port "8080" proto "http-connect" ... cannot connect
Testing addr "217.160.201.39" port "8080" proto "http-post" ... cannot connect
Testing addr "217.160.201.39" port "8081" proto "http-connect" ... cannot connect
Testing addr "217.160.201.39" port "1080" proto "socks4" ... cannot connect
Testing addr "217.160.201.39" port "1080" proto "socks5" ... cannot connect
Testing addr "217.160.201.39" port "23" proto "telnet" ... cannot connect
Testing addr "217.160.201.39" port "23" proto "cisco" ... cannot connect
Testing addr "217.160.201.39" port "23" proto "wingate" ... cannot connect
Testing addr "217.160.201.39" port "6588" proto "http-connect" ... cannot connect
Testing addr "217.160.201.39" port "1180" proto "socks4" ... cannot connect
Test complete - no proxies found
Was meint Ihr?
Das ist mit mod_proxy enabled
Allow from 217.160.201.39

Bitte um schnelle Antwort ob ich gleich wieder deaktivieren muß 8)
Der ssl-proxy funzt so jedenfalls.

Anonymous

Re: SpamOpfer

Post by Anonymous » 2003-10-23 23:37

MajorTermi wrote: Für den SSL-Proxy benötigst du zwar mod_proxy, das muss aber nur geladen - nicht aktiviert sind - es reicht also völlig, wenn man die entsprechenden "AddModule" und "LoadModule"-Direktiven hat, mehr braucht man nicht.
Hoppla, erst gepostet dann gelesen ;)
Gleich IfModule auskommentiert und ausprobiert. Geht ja auch.
Na wer sagts denn.

Hoffe das war's.

Danke für's erste.
Aber ich trau noch keinem Frieden.

PS: Auch wenn ich noch ziemlich Richtung DAU unterwegs bin - macht doch ziemlich Spaß so ein Rooty.
Trotz allem :)
Aber es wird schon besser.
Hab doch tatsächlich geglaubt es ist alles
ganz easy und nur weil ich seit ein paar Jahren mein Debian von einer
Kiste auf die andere mitnehme wär das Null Problemo.
Aber kde hat sich schon ganz gut gemacht ;)

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: SpamOpfer

Post by majortermi » 2003-10-23 23:51

Wichtig ist eigentlich nur, dass "ProxyRequests" nicht auf "on" steht. Siehe dazu auch http://httpd.apache.org/docs/mod/mod_pr ... xyrequests
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SpamOpfer

Post by dodolin » 2003-10-24 11:44

Ersteres ist zu bevorzugen aus den dort genannten Gründen.