Spamversand über meinen Server?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
der dude
Posts: 114
Joined: 2005-03-04 18:46

Spamversand über meinen Server?

Post by der dude » 2005-11-22 19:02

Hallo,

ich habe seit heute Morgen einen ungewöhnlich hohen Load auf meinem Server.

Bei näherem hinsehen, habe ich bemerkt, das es irgenwas mit dem Mailversand zu tun hat. Nur ist das keiner der User auf dem Server.

Folgendes finde ich in den Logs:

Code: Select all

Nov 22 18:40:51 XXX postfix/smtp[27742]: 38CD0B4D3B: to=<vanessa.alves@csn.com.br>, relay=mx01.csn.com.br[200.255.165.112], delay=41968, status=deferred
 (host mx01.csn.com.br[200.255.165.112] said: 452 Too many recipients received this hour (in reply to RCPT TO command))
Davon gibt es tausende Einträge immer mit nem anderen Namen vor @csn.com.br


Dann noch

Code: Select all

Nov 22 18:40:52 XXX postfix/smtp[25847]: 080F7AD7F6: host mx01.csn.com.br[200.255.165.112] said: 452 Too many recipients received this hour (in reply to
 RCPT TO command)
und:

Code: Select all

Nov 22 18:40:51 XXX postfix/smtp[27184]: 00E159E7D8: to=<jbconsult@csn.com.br>, relay=mx02.csn.com.br[200.255.165.113], delay=37959, status=deferred (ho
st mx02.csn.com.br[200.255.165.113] refused to talk to me: 421 #4.4.5 Too many connections from your host.)

Was kann ich dagegen machen?

Habe schon mit telnet relay-test.mail-abuse.org den relaytest gemacht. Aber das kann ich ausschließen.

Gruß

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Spamversand über meinen Server?

Post by timeless2 » 2005-11-22 22:15

Du kannst mal in deinen Logs nachforschen, woher die Mails kommen (bzw. in der Warteschlange die E-Mail anschauen, im Header solltest du auch etwas darüber erfahren). Ich würde spontan auf ein Skript (Kontaktformular) tippen, das nicht richtig abgesichert ist und für den Spam-Versand missbraucht wird. Du kannst hierfür in deiner Apache-Log nachsehen.

der dude
Posts: 114
Joined: 2005-03-04 18:46

Re: Spamversand über meinen Server?

Post by der dude » 2005-11-22 22:45

Das ist ja das komische. Die Warteschlange ist leer. Ist dich Richtig in /var/spool oder? Da ist nichts.

In den Apache Log´s ist auch nichts ungewöhnliches.

Gruß

der dude
Posts: 114
Joined: 2005-03-04 18:46

Re: Spamversand über meinen Server?

Post by der dude » 2005-11-23 11:25

Hat keiner eine Idee was ich machen kann?

Kann ich nicht irgenwo den Verkehr zu *@cns.com.br stoppen?

Gruß

cosmicboy
Posts: 146
Joined: 2003-02-04 13:28

Re: Spamversand über meinen Server?

Post by cosmicboy » 2005-11-23 12:06

Glückwunsch! Das Problem hatte ich vor einigen Tagen. Bei mir wurden 16 GB an eMails innerhalb von 40 Minuten rausgejagt.

Bei mir kamen diese, soweit ich das noch eingrenzen konnte, über den Apache. Irgendwo AWSTATS laufen bzw. phpBB?

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Spamversand über meinen Server?

Post by lord_pinhead » 2005-11-23 14:42

Fahr den Mailer runter und schau mit mailq mal was noch aktiv ist, die meldung das dein Mailsystem runtergefahren wurde kannst ignorieren. Und ja, es liegt in /var/spool/postfix/, vielleicht mal mit du -hs /var/spool/postfix/ schauen was da noch drin liegt. Ansonsten wie immer SuFu und die Kiste sichern + Neuaufsetzen. Wie auch mein vorgänger geschrieben hat kannst du oft über die Buggy PHP und CGI Software das ganze eingrenzen, also grepp mal deine Logs durch falls noch komplett vorhanden.

Code: Select all

root@:/usr/src/# du -hs /var/spool/postfix/
660K    /var/spool/postfix/
root@:/usr/src/# mailq
Mail queue is empty

der dude
Posts: 114
Joined: 2005-03-04 18:46

Re: Spamversand über meinen Server?

Post by der dude » 2005-11-23 15:19

Hm,

also mit Postfix scheint das wohl nix zu tun zu haben.

Ich habe gerade unter Top geschaut und 100te Prozesse des Users wwwrun gesehen mit dem Command "eigei"

Kann damit jemand was anfangen?

Ich habe den Apache dann mal gestoppt und der Load ging nach und nach von 56 runter auf 15.

Dann habe ich versucht den Apache neu zu starten aber ich bekam immer ein failed.

Nachdem ich den ganzen Server jetzt rebootet habe, scheint alles normal zu sein. Aber wie lange? Irgendwas muß ja da noch sein.

Gruß

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Spamversand über meinen Server?

Post by lord_pinhead » 2005-11-23 15:35

Scheint das du damit alle Beweise verwischt hast, in /tmp liegt nach ein Reboot wahrscheinlich nichts mehr. Lief 100% ein Prozess in dem wwwrun nutzerkontext.