sendmail config und dringendes problem!

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
prometheus
Posts: 56
Joined: 2003-06-20 08:14

sendmail config und dringendes problem!

Post by prometheus » 2004-03-25 17:05

ich habe seit tagen schon das problem das ich wurmmails bekomme. ist ja inzwischen nichts ungewöhnliches mehr aber laut meinem maillog werden auch ohne ende mails über meinen sendmail verschickt an ganz dubiose adressen. erstmal ein kleiner auszug aus dem maillog (nur damit ich auch nichts falsch erkläre)
Mar 25 00:00:19 s15137469 sendmail[5383]: i2LHLJT09146: to=falutschi@haotmail.com, ctladdr=apache (48/48), delay=3+05:39:00, xdelay=00:01:00, mailer=esmtp, pri=7142269, relay=haotmail.com. [216.102.246.27], dsn=4.0.0, stat=Deferred: Connection timed out with haotmail.com.

prometheus
Posts: 56
Joined: 2003-06-20 08:14

Re: sendmail config und dringendes problem!

Post by prometheus » 2004-03-25 17:06

das eine zeile von gesammt 1500 bis heute um 16:20 Uhr.

das problem ist nun das ich den sendmail konfigurieren kann wie ich will aber der macht freudig weiter mit dem senden. mir ist garnicht ganz klar wie das geht denn normal wenn telnet als dienst gestoppt ist sollte es doch garnicht möglich sein datei anhänge mit zu schicken oder?

alles in allem ist es so, ich muß das problem in den griff bekommen da die empfänger sich natürlich sehr freuen über sowas! bin für jede hilfe dankbar!

p.s.: auf dem server läuft sendmail version 8.16 und ist ein redhat linux 7.2 betriebener server.

squize
Userprojekt
Userprojekt
Posts: 741
Joined: 2003-05-19 16:46
Location: Karlsruhe

Re: sendmail config und dringendes problem!

Post by squize » 2004-03-25 17:51

Es gibt wohl 3 Gründe warum deine Kiste SPAMs verschickt:

1. Deine Kiste wurde gehackt und es läuft ein Tool, dass über deinen MTA verschickt

2. Dein Server ist ein offenes Relay und Leute können ihn von ausserhalb benutzen um SPAM zu verschicken.

3. Du hast Ein MAilformular auf deiner Kistwe rumliegen, so dass man über den Webserver mails verschickn kann
ctladdr ===== The "controlling" user", that is, the name of the user whose credentials we use for delivery.
Ichbin kein Sendmaillogspezialist, ich würde aber mal schätzen, dass die Mail vom Apachen verschickt wird. Schalte ihn doch mal aus und schau was passiert. Zudem Wäre es interessant nicht nur den Log vom verschicken zu sehen, sondern auch die Zeile für die Mailannahme, dass kann man schon mehr sagen.

Falls ich mit meiner Logik hier totalen Schwachsinn erzähle, dann sagt es mir :)

Gruss

Marc

prometheus
Posts: 56
Joined: 2003-06-20 08:14

Re: sendmail config und dringendes problem!

Post by prometheus » 2004-03-25 18:37

ok danke erstmal für die antwort.

zu 1: die standard sachen die ich mit dem rootkit und nmap testen konnte sind ok und dicht. allerdings hat man mir gesagt es gibt tools die irgendwie den ssh client austrixen und da dann hantieren. ist also nicht zu 100% auszuschließen

zu 2: da hab ich eben einen test gestartet und warte da jetzt auf die mail was da los ist.

zu 3: ich hatte den apache gestoppt und die mails wurden dennoch weiter verschickt. deswegen denke ich wenn httpd nicht läuft ist da wohl nicht viel möglich.

die andere zeile mit der mailanname kann ich nicht liefern da es diese nicht gibt. es gibt hunderte einträge mit to=irgendwas aber keine mit from=irgendwas. die einzigen from einträge sind welche die auch ok sind und erlaubt. das sind aber nur ne hand voll.

prometheus
Posts: 56
Joined: 2003-06-20 08:14

Re: sendmail config und dringendes problem!

Post by prometheus » 2004-03-25 19:44

so also ein offenes relay habe ich auch nicht. mir fällt nichts mehr ein was ich noch tun könnte.
ich hab sendmail version 8.11.6 bei mir drauf. sollte ich vielleicht ein update machen oder so? ich update normal sehr ungerne da ich z.b. beim proftpd mega probleme hatte bis der kram wieder lief.
ich versteh an diesem sendmail teil eh was nicht. ich hab das so eingerichtet das ich in outlook authentifizierung brauche um mails zu schicken. gehe ich aber per windows console über telnet auf port 25 dann kann ich über mail from: und rcpt to: einfach so ne mail verschicken. das dürfte doch auch nicht sein oder? das teil sorgt nochmal für graue haare bei mir hier ;)

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: sendmail config und dringendes problem!

Post by wgot » 2004-03-25 20:01

Hallo,

Proxy-Schnelltest: trage Deine IP in Deinen Browser als Proxy ein und ruf irgendeine Seite auf die nicht auf Deinem Server liegt (z.B. das Forum).
gehe ich aber per windows console über telnet auf port 25 dann kann ich über mail from: und rcpt to: einfach so ne mail verschicken.
Wenn die Zieladresse auf Deinem Server liegt ist das ganz normal. Schreib mal per Telnet an eine externe Adresse.
Schau mal in die Apachelogs, suexec_log und suphp_log nach ungewöhnlicher Aktivität, ggf. genügt "viel los".
Wenn Du sendmail stoppst ersparst Du den Opfern den Spam.

Gruß, Wolfgang

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: sendmail config und dringendes problem!

Post by flo » 2004-03-25 20:14

Mir schaut das auch nach einem formmailer aus, sieh doch bitte mal nach, ob Du solche Sachen mit den Standardnamen in den cgi-verzeichnissen rumliegen hast.

Falls Du weiter nichts weißt, fahr den Sendmail erst mal runter ... oder sieh Dir mal eine der gespoolten Mails an, (sendmail -q, dann Dateinamen im Spooler-Verzecihnis anschauen) evtl. gibt das dann noch Hinweise.

Sorry, aber meine Sendmail-Kenntnisse sind etwas eingerostet.

flo.

prometheus
Posts: 56
Joined: 2003-06-20 08:14

Re: sendmail config und dringendes problem!

Post by prometheus » 2004-03-25 20:51

also ... sind ja jede menge tips die ihr mir da gebt ... und langsam wünsche ich mir schon das ich irgendwo sehe "root zugriff auf irgendwas gehackt" *lach* ... dann wüsste ich zumindest mal wo ich suchen muß.

proxy gibts bei mir nicht. der dienst ist garnicht erst vorhanden und da bin ich auch totsicher das da nix is. in den apachelogs ist nichts ungewöhnliches zu finden. der formmailer des forensystems wurde zwar paar mal genutzt aber laut maillog sind 100 mal so viele mails raus gegangen. suexec_log habe ich ca. 10 einträge von september letzten jahres drin und sonst nichts und eine suphp_log gibts bei mir garnicht auf dem server.

sendmail ist gestoppt eben aus besagtem grund und ich hab auch schon paar leute angeschrieben sie sollen mir mal die mail zusenden wenn möglich damit ich zusätzlich den mailheader vergleichen kann mit meinem zeug hier. zwar eigentlich unnötig aber gut was solls.

im cgi gibts bei mir nichts ich nutze keine perl geschichten. wenn ich nicht irre hab ich das perl modul nichtmal aktiv mit drin.

gibts denn einen weg heraus zu finden wie die mail überhaupt erstmal zu meinem server gekommen ist? mir kam da schonmal die idee da es ja kein from gibt das irgendwo aufm server selber was platziert wurde was diese mail jetzt produziert. denn wenn einer ne mail von außen schicken würde dann hätte ich das ja in der log drin.

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: sendmail config und dringendes problem!

Post by wgot » 2004-03-25 21:47

Hallo,

Du hast kein suphp.log weil php als Modul läuft.
Die Mails werden über den Apache versandt, steht in Deiner Logzeile.

Verdacht: Dein Forum hat ein Loch, und wenn es das "richtige" Loch ist kann man über einen manipulierten Beitrag oder Footer Mails versenden.

Zeitlichen Zusammenhang zwischen Mailversand (Sendmaillog) und Seitenaufrufen (Apachelog) suchen, mehr fällt mir dazu nicht ein.

Gruß, Wolfgang

prometheus
Posts: 56
Joined: 2003-06-20 08:14

Re: sendmail config und dringendes problem!

Post by prometheus » 2004-03-26 00:47

so also nachdem ich jetzt seit ewigen stunden daran rum hantiere nähert sich mir auch immer mehr der gedanke das da einer was mit dem forum hantiert. erstens sind alle angeschriebenen leute aus diesem forum und zweitens wenn ich pop3 für diese eine domain deaktiviere dann is sofort ruhe ... nur wie ist das möglich so, das man nicht mal sieht über welchen weg der/die/das es macht. es ist ein woldlab burning board (wbb) v2.1.3 und nach meinen informationen ist da kein bug mehr drin der sowas ermöglicht. vor allem wie kann einer die user auslesen? ich glaub kaum das der 15000 user manuell raus schreibt (wobei einige immer wieder kerend sind also könnte selbst das sein) ... im board sind auch keine datei anhänge erlaubt wie php oder so das es daran liegen könnte. html ist nirgendwo erlaubt. selbst bilder sind nur jpg und gif erlaubt.

nachtrag: pop3 für die domain aus schalten hat es doch nicht gebracht ... es geht schon wieder los :cry:

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: sendmail config und dringendes problem!

Post by wgot » 2004-03-26 01:49

Hallo,

gibt's im Board-Admin eine Möglichkeit, die Mailfunktion des Boards erstmal abzuschalten?

Hast Du mal eine der verschickten Mails gesehen, halt mal einen der belästigten User fragen (die Emailadressen hast Du ja in den Logs :cry: )?

Vorsichtshalber mal eine ganz dumme Frage: Du schreibst was von 15000 Usern und 1500 Mails. Wenn das Board gut läuft, könnten das rein mengenmäßig die ganz normalen Benachrichtigungen bei markierten Threads sein.

Gruß, Wolfgang

prometheus
Posts: 56
Joined: 2003-06-20 08:14

Re: sendmail config und dringendes problem!

Post by prometheus » 2004-03-26 02:11

ou man ... das ist jetzt ne echt peinliche aktion hier *lach* ...

es sind über 3800 themen von usern aboniert! das heißt selbst wenn nur 1% davon tatsächlich aktive themen sind so wird bei jedem beitrag eine mail an 38 user verschickt! bei 60 postings am tag kommt das mit dem mailverkehr dann sogar hin!

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: sendmail config und dringendes problem!

Post by wgot » 2004-03-26 02:15

Hallo,

macht nix, etwas Paranoia gehört zum Job. :lol:
Besser so als eine Spamschleuder und der Besitzer merkt's nicht.

Viel Erfolg noch mit dem Forum, Wolfgang

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: sendmail config und dringendes problem!

Post by flo » 2004-03-26 10:07

;-)

@wgot: stimmt