Hilfe, mein Server ist ein Spambot

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
cfraunholz
Posts: 5
Joined: 2006-02-23 10:24

Hilfe, mein Server ist ein Spambot

Post by cfraunholz » 2006-02-23 10:39

Hallo!

Seit einiger Zeit habe ich bei der 1und1 Internet AG einen Root-Server (p15160287.pureserver.info) laufen.
Mit Postfix und Spamschutz habe ich mich bisher noch nicht sonderlich beschäftigt.
Das war vermutlich ein Fehler.
Die Mails von dem Server scheinen nämlich jetzt exponentiell zuzunehmen.
Alleine 17 000 Mails gingen heute vormittag an AOL. 256 000 Mails 8O warten noch auf ihre Zustellung.
Das ist die Auswertung des Postfix Logs:
http://www.php10.de/testwiese/pflogsumm.txt
Ich bekomme außerdem seit zwei Tagen hunderte Mails von "Elvine "@p15160287.pureserver.info, "Schinus "@p15160287.pureserver.info, "Severian "@p15160287.pureserver.info, "Lurton "@p15160287.pureserver.info.
Weiß jemand, welche Lücke hier möglicherweise ausgenützt wird oder besser: wie man diese "stopfen" kann?
Vielen Dank im voraus!

Christian

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Hilfe, mein Server ist ein Spambot

Post by Roger Wilco » 2006-02-23 10:46

Stoppe sofort deinen Postfix Daemon. Dann leere die Queue. Wenn du nicht selbst an der Konfiguration von Postfix herumgespielt hast, sollte der MTA bereits SMTP-Auth für den Versand von Mails verlangen, d. h. dass vermutlich eines deiner Skripte für den Versand der Mails oder die Einspeisung von Fremdcode mißbraucht wurde. Schau zunächst in dein Maillog. Darin sollte stehen, welcher Benutzer (zumindest die UID) die Mails eingeliefert hat.

bfrackie
Posts: 63
Joined: 2003-08-26 12:00

Re: Hilfe, mein Server ist ein Spambot

Post by bfrackie » 2006-02-23 10:52

erstmal postfix runterfahren! es verbleiben dann noch mails in der queue, die du dir mit postqueue -p anzeigen lassen kannst.

ich tippe mal von hier aus auf nicht gesicherte php/perl formulare, das findest du raus, in dem die mails unter der userid des apache verschickt werden, sieht bei mir so aus:

Feb 23 10:24:56 earth2 postfix/pickup[8536]: 4E279C05834: uid=81 from=<apache>

wenn ja, musst du natürlich wissen, welche formulare genutzt werden, das ist nicht ganz so einfach. da gabs aber schonmal nen thread hierzu.

bart

cfraunholz
Posts: 5
Joined: 2006-02-23 10:24

Re: Hilfe, mein Server ist ein Spambot

Post by cfraunholz » 2006-02-23 10:58

ok. Postfix habe ich gestoppt.
Die Queue konnte ich mit dem Befehl "postfix flush" bisher allerdings noch nicht leeren ...?

bfrackie
Posts: 63
Joined: 2003-08-26 12:00

Re: Hilfe, mein Server ist ein Spambot

Post by bfrackie » 2006-02-23 11:03

er meint, du sollst die mails löschen.

Code: Select all

postsuper --help
bart

cfraunholz
Posts: 5
Joined: 2006-02-23 10:24

Re: Hilfe, mein Server ist ein Spambot

Post by cfraunholz » 2006-02-23 11:53

aso :)
Danke, hat geklappt.
Ich komme allerdings nicht darauf, wie der Spam entsteht.
Wenn es ein defektes Formular (es wurden ausschließlich PHP-Formulare auf dem Server verwendet) sein soll, dann müssten doch Einträge im access_log des Apache vorhanden sein, oder nicht?

Gruß
Christian

bfrackie
Posts: 63
Joined: 2003-08-26 12:00

Re: Hilfe, mein Server ist ein Spambot

Post by bfrackie » 2006-02-23 12:10

ja schon, aber in der regel schicken die per 1 request massig solcher spams raus, daher fällt das nicht weiter auf.

die spammer bauen z.b. bei mir einen zeilenumbruch ein und fügen dann ein bcc feld mit den ganzen emailadressen ein. das sind immer ca. 500 adressen pro request.

wenn du mal einen dump eines requests sehen möchtest, welche variablen und wie übergeben werden, einfach ne pn an mich.

bart

cfraunholz
Posts: 5
Joined: 2006-02-23 10:24

Paralellen

Post by cfraunholz » 2006-02-23 12:11

Beim Durchgehen des Mail-Logs

Code: Select all

Feb 23 10:49:02 p15160287 postfix/smtp[14642]: connect to igroupsafety.com.inbound15.mxlogic.net[66.179.26.151]: Connection refused (port 25)

Feb 23 10:49:02 p15160287 postfix/smtp[14642]: connect to igroupsafety.com.inbound15.mxlogic.net[66.179.26.158]: Connection refused (port 25)

Feb 23 10:55:49 p15160287 postfix/qmgr[15812]: 42C1741704D: from=<wwwrun@p15160287.pureserver.info>, size=11402, nrcpt=400 (queue active)

Feb 23 10:55:50 p15160287 postfix/qmgr[15812]: 69C33433AEA: from=<>, size=13937, nrcpt=1 (queue active)
fielen mir bei den Hauptverursachern zwei Paralellen auf:
Zum einen kommen die Beiden ID's 14642 und 15812 sehr häufig vor und zum anderen sendet 14642 stets im IP-Bereich 66.179.26.XXX.

cfraunholz
Posts: 5
Joined: 2006-02-23 10:24

Re: Hilfe, mein Server ist ein Spambot

Post by cfraunholz » 2006-02-23 15:44

Mist. Ich musste den Mailserver wieder anschalten, weil sich Kunden beschwert haben.
Wie kann ich denn zumindest die E-Mails an *@aol.com stoppen?
Ich habe das Gefühl, dass wenn ich in die 'access' was eintrage wie z.B.

Code: Select all

aol.com reject
dass dies gar keine Auswirkung hat.
Danach gebe ich ein:

Code: Select all

postmap access
postfix reload
.
Das sollte genügen, oder?

Danke für die Hilfe!

Christian

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Hilfe, mein Server ist ein Spambot

Post by rootsvr » 2006-02-23 15:51

Du solltest Deinen Kunden sagen das sie leider nicht mailen können solange Du als Spamschleuder arbeitest.. nur mal die AOL empfänger zu sperren ist wie im brennenden Haus nur den Vorgarten zu löschen.

Schalt die Kiste ab, schau woran es liegt, als Tip für Kontakt formulare oder generell Formulare womit user Emails senden können:
http://securephp.damonkohler.com/index. ... _Injection
oder alternativ: http://www.gerd-riesselmann.net/archive ... tact-forms


Edit: Die IDs oben.. Du weißt schon das das die Prozessids DEINES Postfixes sind?

Und SCHALT DEN SERVER AB!

bfrackie
Posts: 63
Joined: 2003-08-26 12:00

Re: Hilfe, mein Server ist ein Spambot

Post by bfrackie » 2006-02-23 15:59

du solltest bedenken, das wenn dein server mal auf einer relay-liste landet, deine kunden lange zeit keine mails mehr verschicken können.

um den mailbetrieb aufrecht zu erhalten, rate ich dir die funktion mail() in der php.ini unter disabled_functions einzutragen. dann funktionieren zwar die kontaktformulare generell nicht, aber das nutzt in der regel eh keiner.

bart

faulenzer
Posts: 5
Joined: 2004-05-13 22:54

Re: Hilfe, mein Server ist ein Spambot

Post by faulenzer » 2006-03-03 19:52

Hallo,

ich habe seit heute auch ein Problem mit Spammail von meinem Server.

Postfix ist abgeschaltet
Queue geleert

Nur hab ich keine Ahnung wie der Versand entstanden ist. Ich habe auch ein PHP Script im Verdacht. Wie bekomme ich heraus ob es wirklich nur ein php Script war, und welches es dann genau war?
Bzw. welches Tipps könnt ihr mir geben um das in Zukunft zu vermeiden.

So hat das bei mir angefangen:

Mar 3 01:09:12 Servername postfix/smtp[19506]: connect to mailin-02.mx.aol.com[64.12.138.185]: server dropped connection without sending the initial greeting (port 25)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<bec2235@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<belvedre2@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<berndmona@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<bertinitaly@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<bgntammysue@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)


Bin mir halt auch nicht sicher ob das wirklich über nen script war oder ob da was ernsteres los ist.

Vielen Dank schon mal für die Antworten

Gruß Ingo

faulenzer
Posts: 5
Joined: 2004-05-13 22:54

Re: Hilfe, mein Server ist ein Spambot

Post by faulenzer » 2006-03-03 20:06

Ok jetzt bin ich mir relativ sicher das es ein PHP Script war:

Mar 3 01:09:11 Servername postfix/pickup[19278]: 7F615308108: uid=30 from=<wwwrun>
Mar 3 01:09:11 Servername postfix/cleanup[19499]: 7F615308108: message-id=<20060303000911.7F615308108@Servername.domain.tld>
Mar 3 01:09:11 Servername postfix/qmgr[11705]: 7F615308108: from=<wwwrun@Servername.domain.tld>, size=4001, nrcpt=411 (queue active)
Mar 3 01:09:12 Servername postfix/local[19502]: 7F615308108: to=<web19p1@Servername.domain.tld>, orig_to=<info@platzhalter.de>, relay=local, delay=1, status=sent (mailbox)
Mar 3 01:09:12 Servername postfix/smtp[19506]: connect to mailin-02.mx.aol.com[64.12.138.185]: server dropped connection without sending the initial greeting (port 25)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<bec2235@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<belvedre2@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<berndmona@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<bertinitaly@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<bgntammysue@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)
Mar 3 01:09:17 Servername postfix/smtp[19501]: 7F615308108: to=<bigd12876@aol.com>, relay=mailin-04.mx.aol.com[205.188.156.249], delay=6, status=sent (250 OK)

hatte vorhin die ersten 5 Zeilen übersehen.

Wie bekomm ich jetzt genau raus von welchem script das versendet wurde? Über die ID: "7F615308108" ?
in welchem Logfile steht sowas? Was für infos bracuh ich noch, ect?

Danke schon einmal für die Antworten

Gruß Ingo

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Hilfe, mein Server ist ein Spambot

Post by Roger Wilco » 2006-03-03 20:13

Schau nach, welche Requests zu der Zeit des Mailversands in deinen access_logs stehen.

faulenzer
Posts: 5
Joined: 2004-05-13 22:54

Re: Hilfe, mein Server ist ein Spambot

Post by faulenzer » 2006-03-03 20:43

ok dankeschön, hab die datei, war die das vermutete kontaktformular.
durch diese log hab ich ja jetzt eine IP Adresse des Aufrufers. Macht es Sinn nachzuforschen, bzw. der nachzugehen um den/diejenigen anzuzeigen oder sonst irgendwie zu bestrafen?

Das Script wurde mehrere Male hintereinander von verschiedenen IP Adressen aufgerufen, denk also das es nicht viel Sinn macht dem nachzugehen. Oder?

DAnke nochmals für die schnelle Antwort.

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Hilfe, mein Server ist ein Spambot

Post by lord_pinhead » 2006-03-04 02:16

Eigentlich macht das kein Sinn, du könntest ja ein Whois versuchen und nachsehen ob der überhaupt aus Deutschland kam, aber zu 99% nicht, von daher würde ich da gar nicht erst anfangen. Allerdings solltest du jetzt nachsehen ob du auf einer Blacklist gelandet bist, und vor allem solltest du die Logfiles sichern wenn noch jemand meint er müsse ein Anwalt einschalten weil er sich von dir belästigt gefühlt hat.

faulenzer
Posts: 5
Joined: 2004-05-13 22:54

Re: Hilfe, mein Server ist ein Spambot

Post by faulenzer » 2006-03-04 15:54

Danke für die Tipps, ist beides bereits geschehen. Der Spamer hat ausschließlich an AOL gesendet und hier hab ich bereits mit der NOC telefoniert. Bin nicht auf der Blacklist, war nur temporär blockiert.

Dann hätte ich aber doch noch eine Frage, und zwar war das ja jetzt ein Script von einem Kunden. In wie weit könnte ich eine Anzeige an den Kunden weitergeben, so das dieser das Script korrigiert, bzw. korrigieren lässt?

Und dann Frag ich mich wie ich mich Zukunft gegen sowas schützen kann? Also was für Tipps habt ihr betüglich der Serverkonfiguration, ohne dabei die php mail() zu deaktivieren und die Kunden großartig einzuschränken. Gibt es da überhaupt Möglichkeiten? Kunden können ja trotzdem unsichere Scripte auf ihren Space schmeißen. Wer trägt dann den Schaden falls hierdurch tatsächlich Mal ein Blacklist-Eintrag zustande kommt? Also vorausgesetzt es klagt mal ein andere Kunde oder ein Spam Opfer.

Muss echt zugeben ich hab mich bisher mit diesem Problem viel zu wenig beschäftigt wie mir scheint. Hoffe also auf euch.

Viele Grüße
Ingo

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Hilfe, mein Server ist ein Spambot

Post by lord_pinhead » 2006-03-04 16:28

In den Links weiter oben ist das eigentlich recht anschaulich erklärt, da gibts eigentlich nichts mehr zu sagen. Ich hab mir irgendwann mal eine Klasse in PHP geschrieben wo sich an meinen Mailserver anmeldet und über den Mailer die sachen rausschickt, wenn man davon absieht das ein Kunde nur 20 Mails/min abschicken kann und der Angreifer noch die gültige Mailadresse über die das Script läuft bedenkt, habe ich da relativ wenig Probleme. Aber is recht viel aufwand, setz deinen Kunden lieber mod_security vor die Nase und trag Regeln ein, in den Links von rootsvr sind eigentlich schon alle gängigen Methoden zusammengefasst.

faulenzer
Posts: 5
Joined: 2004-05-13 22:54

Re: Hilfe, mein Server ist ein Spambot

Post by faulenzer » 2006-03-04 16:34

Ok ich danke dir, dann werde ich mir die jetzt einmal einverleiben.
Muss ja auch irgendwie in den GRiff zu bekommen sein.

Viele Grüße
Ingo

sebastiankolbe
Posts: 31
Joined: 2004-05-17 17:03

Hallo auch bei mir ist das problem seit gestern.

Post by sebastiankolbe » 2006-03-09 15:41

Hallo,

ich habe mal meine Email losg und meine access_log nachgeschaut

in der email log steht als Userid immer diese drin D30DC73510F also nicht immer die gleiche aber immer die 73 in der mitte die steht immer drin.

In den access_log habe ich nichts gefunden was direkt auf ein php script hindeutet. Wie kann ich das herausbekommen wer der versender des spams ist?

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Hilfe, mein Server ist ein Spambot

Post by rootsvr » 2006-03-10 11:27

http://logreport.org/doc/gen/email/postfix.php

QID, nich UserID.

Crossposting ist kacke, mach nen neuse Thema auf, gib Logfiles.

tj051069
Posts: 16
Joined: 2004-10-26 11:39

Spam @aol.com

Post by tj051069 » 2006-06-18 15:11

Hallo,

hilfe bei mir gehen im Sekundentakt solche mails raus.
Was kann ich tun und vol allem wie kann ich das stoppen?

Gruß
Thomas

Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lionslose@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lionsman01@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lionsprey@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lionstmr@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lionsummer03@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lionvybes@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<liorkle@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<liostev@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<liouching@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lip4u47731@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lipawprint@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lipers1@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<liphwe@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:04 h48978 postfix/smtp[24962]: 7768B538827: to=<lipladies@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=115512, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:05 h48978 postfix/smtp[24923]: 7768B538827: to=<lisaecho2002@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=115513, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:05 h48978 postfix/smtp[24923]: 7768B538827: to=<lisaekus@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=115513, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:05 h48978 postfix/smtp[24923]: 7768B538827: to=<lisaericluu@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=115513, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:05 h48978 postfix/smtp[24923]: 7768B538827: to=<lisaewils@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=115513, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:05 h48978 postfix/smtp[24923]: 7768B538827: to=<lisaf99380626@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=115513, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:05 h48978 postfix/smtp[24923]: 7768B538827: to=<lisafayl@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=115513, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Jun 18 15:07:05 h48978 postfix/smtp[24923]: 7768B538827: to=<lisafns@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=115513, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Spam @aol.com

Post by Roger Wilco » 2006-06-18 15:13

TJ051069 wrote:Was kann ich tun und vol allem wie kann ich das stoppen?

Code: Select all

init 0
## oder ##
/etc/init.d/postfix stop

tj051069
Posts: 16
Joined: 2004-10-26 11:39

Re: Hilfe, mein Server ist ein Spambot

Post by tj051069 » 2006-06-18 15:21

Hallo Roger,

danke für die schnelle Antwort.
So bald ich den postfix aber wieder starte geht das Spiel munter weiter. Was kann ich tun?

darkman
RSAC
Posts: 111
Joined: 2004-03-24 14:09

Re: Hilfe, mein Server ist ein Spambot

Post by darkman » 2006-06-18 15:32

Hi,

1. Server abschalten und auslassen
2. viel ueber Serveradministration lernen

Wenn man den ganzen Thread hier so liesst, kann man eigentlich
nur Kopfschuetteln. Habt Ihr alle keinen richtigen Job mehr so das
Ihr als moechtegern Admins Spamschleudern ins Netz stellen muesst
um als weiterer "Hoster" das Land mit Dumpingangeboten und DDoS
Clients zu ueberziehen?

So long,
Darkman