RootForum Community

Posted: **2005-12-01 08:37**

Moin,

ich habe auf einem Server erhebliche Probleme mit Spammails. Zuerst war es das B1gMail von einem Kunden. Das ließ sich ja relativ einfach finden und runterschmeißen.

Aber nun scheinen die Mails direkt über den Mailer verschickt zu werden. Wie kann ich dem Einhalt gebieten? In den Apache Log´s habe ich dazu nichts gefunden, da die Mails ja auch nicht über wwwrun verschickt werden.

Hier mal nur ein kurzer Auszug der Kilometerlangen mail.log

Code: Select all

Dec  1 08:24:49 XXX postfix/smtp[31628]: connect to yahoo.jp[210.81.150.5]: Connection timed out (port 25)
Dec  1 08:24:53 XXX postfix/qmgr[30740]: 544E613A3F4: to=<paulmover@mailru.com>, relay=none, delay=216749, status=deferr
ed (delivery temporarily suspended: connect to mailru.com[66.246.195.41]: Connection timed out)
Dec  1 08:24:58 XXX postfix/qmgr[30740]: 23CA113A2C9: to=<bhyt@whyweb.com>, relay=none, delay=216124, status=deferred (d
elivery temporarily suspended: connect to whyweb.com[66.116.109.62]: Connection timed out)
Dec  1 08:25:00 XXX postfix/smtp[998]: connect to anafi.atlantic.net[209.208.127.2]: Connection timed out (port 25)
Dec  1 08:25:03 XXX postfix/qmgr[30740]: 3C75B13A758: to=<bianchi@whyweb.com>, relay=none, delay=215388, status=deferred
 (delivery temporarily suspended: connect to whyweb.com[66.116.109.62]: Connection timed out)
Dec  1 08:25:08 XXX postfix/qmgr[30740]: 3216C139F29: to=<bhull@whyweb.com>, relay=none, delay=217624, status=deferred (
delivery temporarily suspended: connect to whyweb.com[66.116.109.62]: Connection timed out)
Dec  1 08:25:13 XXX postfix/qmgr[30740]: 3B46713CEAD: to=<big_dawg@whyweb.com>, relay=none, delay=115780, status=deferre
d (delivery temporarily suspended: connect to whyweb.com[66.116.109.62]: Connection timed out)

Gruß

Posted: **2005-12-01 12:38**

Wie kann ich dem Einhalt gebieten?

MTA und Apache runterfahren. Dann auf die Suche gehen.

Posted: **2005-12-01 14:05**

Ja, das ist mir schon klar, aber wonach soll ich suchen? In den logs steht nur das geschriebene.

Weiß nicht wo ich sonst suchen sollte.

Gruß

Posted: **2005-12-01 14:09**

In den logs steht nur das geschriebene.

Damit lässt sich leider nicht sehr viel anfangen.

Posted: **2005-12-01 15:54**

findest du vielleicht in der Queue noch ein paar dieser Mails? Vielleicht hilft das weiter. Ansonsten kannst du mal schauen, ob bei dir ein Rootkit drauf ist, bzw. anhand der Logs den Beginn des Mailversands nachvollziehen und nach Auffälligkeiten suchen.

Posted: **2005-12-12 11:13**

Schau mal unter [url]http://www.webhostgear.com/232.html[/url] (auch Kommentare beachten).

Damit habe ich bei mir einen netten installierten Formmailer gefunden ...

Posted: **2005-12-27 18:26**

Ich hab auch ein Spamproblem auf meinem Server (qmail/Plesk 7.5): Immer wieder werden darüber Spammails verschickt, teilweise sogar so massiv, so dass der Server lahmgelegt wurde und ich die qmail-Queue löschen musste (150'000 Nachrichten).

Nun, seit er wieder läuft, habe ich die Logs beobachtet und ein paar verdächtige Mails beobachtet wie dieses hier:

Code: Select all

Dec 27 18:06:36 pX qmail: 1135703196.559264 starting delivery 113: msg 20983449 to remote SRS0=fk9g=2Y=skf.com=Valenciajkad@srs.kundenserver.de
Dec 27 18:06:36 pX qmail: 1135703196.644553 delivery 113: success: 212.227.15.134_accepted_message./Remote_host_said:_250_Message_0MKsxo-1ErIHU2axI-0001A6_accepted_by_mxeu7.kundenserver.de/

Das sieht ziemlich aus wie Spam, der über meinen Server läuft. Mein Problem ist nun: Wie finde ich raus, wie dieses Mail verschickt wurde bzw. wo das Sicherheitsloch sein könnte?

Ich habe den qmail soweit gesichert, dass er kein offenes Relay ist, also in die rcpthosts-Datei all meine Domains eingefügt. Das reicht ja, oder? (http://www.palomine.net/qmail/relaying.html)

Posted: **2005-12-27 22:46**

So ist das schwer zu sagen. Wenn du dein qmail nicht als open Relay laufen hast, ist die Variante mit einem unsicheren Skript die wahrscheinlichste. Schau einfach mal in deine Apache-Log, ob ein Kontaktformular o.ä. sehr häufig aufgerufen wurde. Wenn du deine Logs grafisch auswerten lässt, müsste sowas auch gleich ins Auge stechen.

Posted: **2005-12-27 22:50**

Ok, danke für die Antwort. Dann schau ich mich dort mal um und melde mich, wenn ich mehr weiss...

Posted: **2006-01-02 15:35**

und ^^ ???

Posted: **2006-01-02 23:02**

Aus den Apache-Logs habe ich nichts herauslesen können, weshalb ich den Support kontaktierte. Dieser fand auf dem Server folgendes:

Auf dem Server lief ein Programm unter der Benutzerkennung wwwrun, welches eine interaktive Shell auf Port 44464 zur Verfügung gestellt hat:

$ netstat -tulpen|grep cgi
tcp 0 0 0.0.0.0:44464 0.0.0.0:* LISTEN
0 1906 339/cgi

$ ps uax|grep cgi
wwwrun 339 0.0 0.1 1312 344 ? Ss 01:34 0:00 ./cgi
wwwrun 573 0.1 0.1 1312 380 ? S 02:08 1:24 ./cgi
wwwrun 1407 0.0 0.1 1312 376 ? S 15:19 0:00 ./cgi

$ telnet server.com 44464
Trying server.com...
Connected to server.com.
Escape character is '^]'.

sh-2.05b$ id
id
uid=30(wwwrun) gid=8(www) groups=8(www),2523(psaserv)
sh-2.05b$

Das Programm wurde wahrscheinlich über eine Sicherheitslücke von YaBB SE installiert (siehe http://www3.ca.com/securityadvisor/vuln ... px?ID=7009).

Zur Sicherheit lassen wir nun den Server neu aufsetzen.

RootForum Community

Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Ursache von Spamversand finden

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)

Re: Wie kann ich diesen Spamversand stoppen? (Siehe Log)