Benutzt da einer meinen Mailserver ?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
bobo
Posts: 36
Joined: 2006-03-22 20:23
Location: Dortmund

Benutzt da einer meinen Mailserver ?

Post by bobo » 2006-04-28 19:09

Hi,

ich hab nich die Ahnung bin aber bereit dazuzulernen.
Habe nur einen simple Frage, misbraucht da einer meinen Mailserver ?

Das kommt so ca. 100x vor, habs jetzt erst gemerkt
Apr 28 17:27:38 echo102 postfix/smtp[6177]: 92D5510DC1F2: to=<chrisclark781@hotmail.com>, relay=mx4.hotmail.com[65.54.245.104], delay=1, status=sent (250 <20060428152737.92D5510DC1F2@echo102.server4you.de> Queued mail for delivery)
Apr 28 17:27:37 echo102 postfix/qmgr[4837]: 1CE7E10DC1E6: removed
Apr 28 17:27:37 echo102 postfix/pickup[6053]: 92D5510DC1F2: uid=30 from=<wwwrun>
Apr 28 17:27:37 echo301 postfix/cleanup[6175]: 92D5510DC1F2:
danke und Gruß
bobo

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Benutzt da einer meinen Mailserver ?

Post by Roger Wilco » 2006-04-28 19:22

bobo wrote:Habe nur einen simple Frage, misbraucht da einer meinen Mailserver ?
Ja, und zwar durch ein unsicheres Skript auf irgendeiner deiner Webseiten.

bobo
Posts: 36
Joined: 2006-03-22 20:23
Location: Dortmund

Re: Benutzt da einer meinen Mailserver ?

Post by bobo » 2006-04-28 22:22

Ach herrje :?

Wie kann ich das Problem lösen ?

Gruß
bobo

duergner
RSAC
Posts: 976
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: Benutzt da einer meinen Mailserver ?

Post by duergner » 2006-04-28 22:27

Mailserver runterfahren, unsicheres Script an Hand der Logfiles finden, unsicheres Script entfernen, sicherstellen dass unsicheres Script nicht wieder drauf kommt, u.U. mailqueue von angestauten Spam Mails befreien, Mailserver starten.

bobo
Posts: 36
Joined: 2006-03-22 20:23
Location: Dortmund

Re: Benutzt da einer meinen Mailserver ?

Post by bobo » 2006-04-28 22:49

Will ich gerne tun, wie fahre ich den mailserver runter.
Wie muß ich vorgehen um das scirpt zu finden und wo finde die mailqueue.

Da ich Anfänger bin habe ich mit der Firewall zunächst erst Mal die Ports blockiert bis ich den Mailserver runtergefahren habe.
Was passiert denn da ?

stoppt man so den Mailserver: /etc/init.d/postfix stop

Das logfile wird immer größer
Last edited by bobo on 2006-04-29 14:46, edited 1 time in total.

duergner
RSAC
Posts: 976
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: Benutzt da einer meinen Mailserver ?

Post by duergner » 2006-04-28 23:28

Am sichersten kannst du as Problem erst mal durch ein

Code: Select all

shutdown -h now
eindämmen.

bobo
Posts: 36
Joined: 2006-03-22 20:23
Location: Dortmund

Re: Benutzt da einer meinen Mailserver ?

Post by bobo » 2006-04-29 07:35

ich will nicht den Server beenden da auf diesem Gameserver und Forum laufen.
Ich habe die Ports zugemacht und den Mailserver beendet und wie finde ich nun diese besagte script ?
Danke für die Superhilfe hier. Ich bin zwar Anfänger aber nicht blöd. :?

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Benutzt da einer meinen Mailserver ?

Post by flo » 2006-04-29 08:16

Da gab es schon etliche Threads zum Thema . das ist fieseste Handarbeit, nämlich Checken der Apache-Logs und der Mailserver-Logs. Irgendjemand hat IMHO ein Script dafür verfaßt, aber nagel mich darauf nicht fest.

Wenn Du den SMTP runtergefahren hast, ist das ja schon mal gut - prophylaktische Updates aller relevanten Software - speziell Foren - halte ich für angebracht.

mod_proxy hast Du aber nicht geladen, oder?

flo.

bobo
Posts: 36
Joined: 2006-03-22 20:23
Location: Dortmund

Re: Benutzt da einer meinen Mailserver ?

Post by bobo » 2006-04-29 08:37

Sagt mir überhaupt nichts.

Das phpBB2 Forum ist auf dem aktuellen Stand

Ich habe in /var/spool/postfix/maildrop folgendes gefunden

hört aber mit beenden von postfix auf
FWWW daemon apacheSwwwrunM NTo: adamwatson17@hotmail.comNSubject: DOUCHENFrom: <staff@hotmail.com>N NAYOU ARE A JERK, REMOOVE YOUR GAY TUNES AND HAX FROM UR SERVER BAIX Radamwatson17@hotmail.comE
Ich vermute mal stark das mein Mailserver zum spamen misbraucht wurde.
Was ich nicht in den Kopf bekomme wie kann jemand fremdes mein Mailsystem benutzen. Wenn ich ne Mail versende und die Authentifizierung nicht anhabe geht die Mail nicht raus. :?

Soweit ich das bis jetzt checke hat das wohl irgendwas mit meinem Apache zu tun.

Gibts da ein Tool um den Fehler zu beheben oder muß ich das von Hand bereinigen ?

Kann ich die Mails in maildrop alle löschen bzw. soll ich das tun

Ich glaube das hier trifft auf mich zu.
Wenn ich das versenden via Apache abschalten ?

http://www.rootforum.org/forum/viewtopic.php?t=40039

Hat der Angreifer was bei mir installiert oder nun er nur eine Schwachstelle aus ?


danke und Gruß
bobo

bobo
Posts: 36
Joined: 2006-03-22 20:23
Location: Dortmund

Re: Benutzt da einer meinen Mailserver ?

Post by bobo » 2006-04-29 13:59

Also ich habe das böse script gefunden..
Die Datei ist bei mir in einem uploadOrdner gewesen.
Mir ist ein Raetsel wie die Datei da rein kommt.
Damit habe ich die Datei gefunden:
find . -name *php -exec grep -rl "mail" {} ;


imgk.php
<?php
$Title = "K. Script v0.6 (Editing): ";
$GraphicHeader = '<meta http-equiv="Content-Type"
Kennt das jemand ?
Ich hab auch den Uploader, laut whois wohnt der in einem Hotel in Pakistan, aber das kann ich wahrscheinlich vergessen.


Ich habe einige Ordner die auf 777 gesetzt sind, dort hat derjenige die Datei reingeladen und gestartet.
Was kann ich tun, das man in diese Ordner keine php Dateien laden kann, oder das die Dateien dann nicht ausführbar sind ?



Gruß
bobo

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Benutzt da einer meinen Mailserver ?

Post by lord_pinhead » 2006-04-30 21:20

Würde ich ganz einfach sagen da hat jemand Dateien hochgeladen und ausgeführt. Dein Problem liegt also an einem anderen Script, such nach wget bzw. curl anfragen.

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Benutzt da einer meinen Mailserver ?

Post by timeless2 » 2006-05-01 11:48

chmod 777 solltest du tunlichst vermeiden und deine Rechte ordentlich setzen.

bobo
Posts: 36
Joined: 2006-03-22 20:23
Location: Dortmund

Re: Benutzt da einer meinen Mailserver ?

Post by bobo » 2006-05-01 21:41

Wenn ich im Forum den Avatarordner nicht auf 777 setze dann bekomme ich kein Avatar angezeigt ? :?

Ich habe auch einige Statistiktools wo Dateienrein geladen werden wenn der Ordner nitcht auf 777 steht geht da nix, was mach ich dann.
Gibts ne Möglichkeit mit htaccess das ganze zu schützen ?

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Benutzt da einer meinen Mailserver ?

Post by timeless2 » 2006-05-01 23:28

bobo wrote:Wenn ich im Forum den Avatarordner nicht auf 777 setze dann bekomme ich kein Avatar angezeigt ? :?
Zum Anzeigen kannst du den Ordner auf 755 stellen und die Dateien auf 644.
bobo wrote:Ich habe auch einige Statistiktools wo Dateienrein geladen werden wenn der Ordner nitcht auf 777 steht geht da nix, was mach ich dann.
Gibts ne Möglichkeit mit htaccess das ganze zu schützen ?
Der Benutzer, der in die Ordner schreibt, braucht Schreibrechte (entweder selbst als Besitzer oder über die Gruppenrechte). htaccess bringt nur für die Apachezugriffe was (da auch nicht, wenn man irgendetwas über ein Skript einbindet).