Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
der dude
Posts: 114
Joined: 2005-03-04 18:46

Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by der dude » 2005-12-01 08:37

Moin,

ich habe auf einem Server erhebliche Probleme mit Spammails. Zuerst war es das B1gMail von einem Kunden. Das ließ sich ja relativ einfach finden und runterschmeißen.

Aber nun scheinen die Mails direkt über den Mailer verschickt zu werden. Wie kann ich dem Einhalt gebieten? In den Apache Log´s habe ich dazu nichts gefunden, da die Mails ja auch nicht über wwwrun verschickt werden.

Hier mal nur ein kurzer Auszug der Kilometerlangen mail.log


Code: Select all

Dec  1 08:24:49 XXX postfix/smtp[31628]: connect to yahoo.jp[210.81.150.5]: Connection timed out (port 25)
Dec  1 08:24:53 XXX postfix/qmgr[30740]: 544E613A3F4: to=<paulmover@mailru.com>, relay=none, delay=216749, status=deferr
ed (delivery temporarily suspended: connect to mailru.com[66.246.195.41]: Connection timed out)
Dec  1 08:24:58 XXX postfix/qmgr[30740]: 23CA113A2C9: to=<bhyt@whyweb.com>, relay=none, delay=216124, status=deferred (d
elivery temporarily suspended: connect to whyweb.com[66.116.109.62]: Connection timed out)
Dec  1 08:25:00 XXX postfix/smtp[998]: connect to anafi.atlantic.net[209.208.127.2]: Connection timed out (port 25)
Dec  1 08:25:03 XXX postfix/qmgr[30740]: 3C75B13A758: to=<bianchi@whyweb.com>, relay=none, delay=215388, status=deferred
 (delivery temporarily suspended: connect to whyweb.com[66.116.109.62]: Connection timed out)
Dec  1 08:25:08 XXX postfix/qmgr[30740]: 3216C139F29: to=<bhull@whyweb.com>, relay=none, delay=217624, status=deferred (
delivery temporarily suspended: connect to whyweb.com[66.116.109.62]: Connection timed out)
Dec  1 08:25:13 XXX postfix/qmgr[30740]: 3B46713CEAD: to=<big_dawg@whyweb.com>, relay=none, delay=115780, status=deferre
d (delivery temporarily suspended: connect to whyweb.com[66.116.109.62]: Connection timed out)

Gruß

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by dodolin » 2005-12-01 12:38

Wie kann ich dem Einhalt gebieten?
MTA und Apache runterfahren. Dann auf die Suche gehen.

der dude
Posts: 114
Joined: 2005-03-04 18:46

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by der dude » 2005-12-01 14:05

Ja, das ist mir schon klar, aber wonach soll ich suchen? In den logs steht nur das geschriebene.

Weiß nicht wo ich sonst suchen sollte.

Gruß

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by dodolin » 2005-12-01 14:09

In den logs steht nur das geschriebene.
Damit lässt sich leider nicht sehr viel anfangen.

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by timeless2 » 2005-12-01 15:54

findest du vielleicht in der Queue noch ein paar dieser Mails? Vielleicht hilft das weiter. Ansonsten kannst du mal schauen, ob bei dir ein Rootkit drauf ist, bzw. anhand der Logs den Beginn des Mailversands nachvollziehen und nach Auffälligkeiten suchen.

wellenflug
Posts: 4
Joined: 2002-06-30 21:37

Ursache von Spamversand finden

Post by wellenflug » 2005-12-12 11:13

Schau mal unter [url]http://www.webhostgear.com/232.html[/url] (auch Kommentare beachten).

Damit habe ich bei mir einen netten installierten Formmailer gefunden ...

silverbergh
Posts: 8
Joined: 2005-10-27 17:21

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by silverbergh » 2005-12-27 18:26

Ich hab auch ein Spamproblem auf meinem Server (qmail/Plesk 7.5): Immer wieder werden darüber Spammails verschickt, teilweise sogar so massiv, so dass der Server lahmgelegt wurde und ich die qmail-Queue löschen musste (150'000 Nachrichten).

Nun, seit er wieder läuft, habe ich die Logs beobachtet und ein paar verdächtige Mails beobachtet wie dieses hier:

Code: Select all

Dec 27 18:06:36 pX qmail: 1135703196.559264 starting delivery 113: msg 20983449 to remote SRS0=fk9g=2Y=skf.com=Valenciajkad@srs.kundenserver.de
Dec 27 18:06:36 pX qmail: 1135703196.644553 delivery 113: success: 212.227.15.134_accepted_message./Remote_host_said:_250_Message_0MKsxo-1ErIHU2axI-0001A6_accepted_by_mxeu7.kundenserver.de/
Das sieht ziemlich aus wie Spam, der über meinen Server läuft. Mein Problem ist nun: Wie finde ich raus, wie dieses Mail verschickt wurde bzw. wo das Sicherheitsloch sein könnte?

Ich habe den qmail soweit gesichert, dass er kein offenes Relay ist, also in die rcpthosts-Datei all meine Domains eingefügt. Das reicht ja, oder? (http://www.palomine.net/qmail/relaying.html)

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by timeless2 » 2005-12-27 22:46

So ist das schwer zu sagen. Wenn du dein qmail nicht als open Relay laufen hast, ist die Variante mit einem unsicheren Skript die wahrscheinlichste. Schau einfach mal in deine Apache-Log, ob ein Kontaktformular o.ä. sehr häufig aufgerufen wurde. Wenn du deine Logs grafisch auswerten lässt, müsste sowas auch gleich ins Auge stechen.

silverbergh
Posts: 8
Joined: 2005-10-27 17:21

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by silverbergh » 2005-12-27 22:50

Ok, danke für die Antwort. Dann schau ich mich dort mal um und melde mich, wenn ich mehr weiss...

mrmasterjpsy
Posts: 16
Joined: 2005-10-13 14:09

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by mrmasterjpsy » 2006-01-02 15:35

und ^^ ???

silverbergh
Posts: 8
Joined: 2005-10-27 17:21

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Post by silverbergh » 2006-01-02 23:02

Aus den Apache-Logs habe ich nichts herauslesen können, weshalb ich den Support kontaktierte. Dieser fand auf dem Server folgendes:

Auf dem Server lief ein Programm unter der Benutzerkennung wwwrun, welches eine interaktive Shell auf Port 44464 zur Verfügung gestellt hat:

$ netstat -tulpen|grep cgi
tcp 0 0 0.0.0.0:44464 0.0.0.0:* LISTEN
0 1906 339/cgi

$ ps uax|grep cgi
wwwrun 339 0.0 0.1 1312 344 ? Ss 01:34 0:00 ./cgi
wwwrun 573 0.1 0.1 1312 380 ? S 02:08 1:24 ./cgi
wwwrun 1407 0.0 0.1 1312 376 ? S 15:19 0:00 ./cgi

$ telnet server.com 44464
Trying server.com...
Connected to server.com.
Escape character is '^]'.

sh-2.05b$ id
id
uid=30(wwwrun) gid=8(www) groups=8(www),2523(psaserv)
sh-2.05b$

Das Programm wurde wahrscheinlich über eine Sicherheitslücke von YaBB SE installiert (siehe http://www3.ca.com/securityadvisor/vuln ... px?ID=7009).

Zur Sicherheit lassen wir nun den Server neu aufsetzen.