Spam über meinen Server

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
weezel
Posts: 6
Joined: 2006-06-13 22:46

Spam über meinen Server

Post by weezel » 2006-06-13 22:54

Hi,

ich hatte gerade ein riesen Problem.. Anscheinend gab es ein Problem mit meinem MailServer und es wurde unkontrolliert Spam verschickt :(

Ist zwar nur 5min lang gewesen, Monitoring hat aber schnell angeschlagen.. Auf jeden Fall bräuchte ich nun Hilfe woher dies kam...

Jun 13 22:31:53 ** postfix/qmgr[5273]: A1994112FEDE: to=<alway@yahoo.com.tw>, relay=none, delay=6586, status=deferred (delivery temporarily suspended: host mx2.mail.tw.yahoo.com[203.84.195.1] refused to talk to me: 451 VS2-IP Excessive unknown recipients - possible Open Relay http://help.yahoo.com/help/us/mail/spam/spam-18.html (#4.1.8) )

Open Relay ist klar, nur meine Configs sollten alle passen..

das ist die Config von Postfix..

Code: Select all

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
myhostname = hauptdomain
mydomain = hauptdomain
mydestination = meine domains
mynetworks = 127.0.0.0/8
alias_maps = $alias_database
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
virtual_mailbox_base = /var/kunden/mail/
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_alias_domains =
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_uid_maps = static:2000
virtual_gid_maps = static:2000
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
ich hoffe das reicht und ihr könnt mir helfen..

mfg

weez

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam über meinen Server

Post by rootsvr » 2006-06-13 23:51

Schön wäre ein bischen mehr Logfiles.
Mal nen Open Relay test gemacht?

Generell tippe ich mal auf nen schlecht programmiertes Script, z.B. nen Kontaktformular. Aber ohne Logfile auszüge wie die Mail bei Dir angekommen ist (die muß ja auf deinem Server gelandet sein und taucht nicht einfach im qmgr auf..)

weezel
Posts: 6
Joined: 2006-06-13 22:46

Re: Spam über meinen Server

Post by weezel » 2006-06-13 23:56

mehr als die oben geschrieben dinge habe ich nicht..

nach hilfe im IRC war ich gerade eben bei nem rootkit angekommen, was es anscheinend aber auch nicht war...

jetzt ist seit rund 20min Ruhe, keine Verstandversuche mehr

das mit dem PHP Script hab ich auch schon in erwägung gezogen, doch es sind nur 2 php mail scripte vorhanden, beide davon habe ich gerade selbst überprüft.

open relay test gab keine ergebnisse..

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam über meinen Server

Post by rootsvr » 2006-06-14 00:14

Also das kann ich mir jka mal garnicht vorstellen.. Dein Logfile enthält nichts außer der einen Zeile? Dann hast Du echt nen rootkit oder ne vollgelaufene Partition..

Hast Du mal nach der Message ID gegreppt?
Edit: ist keine Message ID, sondern die QueueID, aber egal..

Was heißt Du hast Deinen Mail Scripte getestet?
http://www.securephpwiki.com/index.php/Email_Injection

weezel
Posts: 6
Joined: 2006-06-13 22:46

Re: Spam über meinen Server

Post by weezel » 2006-06-14 00:24

die sourcen von den dingern angeschaut..

partition ist auch nicht voll ;)

hier trotzdem mal ein paar zeilen was passiert ist..

http://nopaste.php-q.net/218807

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam über meinen Server

Post by rootsvr » 2006-06-14 00:34

Naja anschauen und dann hast Du beschlossen die sind ok?
Du prüfst also ob die From addresse nur eine Email, keine Zeilenumbrüche etc enthalten kann?

Ansonsten in meiner main.cf hab ich sowas:
smtpd_recipient_restrictions =
reject_non_fqdn_recipient,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unauth_pipelining,
reject_multi_recipient_bounce,
reject_non_fqdn_hostname,
reject_invalid_hostname,
permit
aber das blockt auch nur mehr Spam am Anfang.
Wann fing es an? was sagen die Logfiles um den Zeitpunkt rum?

weezel
Posts: 6
Joined: 2006-06-13 22:46

Re: Spam über meinen Server

Post by weezel » 2006-06-14 00:42

das sind sehr oft verwendete Scripte (webspell und wordpress) daher denke ich nicht das die unsicher sind, sind auch immer die neuesten Versionen der jeweiligen Software.

so gings los, kam ganz plötzlich...

http://nopaste.php-q.net/218809

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spam über meinen Server

Post by rootsvr » 2006-06-14 01:02

Hmm daraus werde ich auch nicht wirklich schlau.. Du bist Sicher das nicht in /tmp o.ä. nen Script liegt was da nicht hingehört oder kein seltsamer Process läuft?

Normalerweise sollten die drei Zeilen in der main.cf reichen damit keinen wilden Mails von aussen verschickt werden können.
Grep doch mal nach einer einzigen queue ID also z.B.
grep A7AE316F2400 /var/log/mail.log
dann hat man wenigstens zusammenhängend wo die her kommt.

Und sonst sind auf dem Server keine Webseiten? nur Wordspell oder Wordpress?

weezel
Posts: 6
Joined: 2006-06-13 22:46

Re: Spam über meinen Server

Post by weezel » 2006-06-14 08:55

/tmp ist komplett leer..

das ist das grep..

Jun 13 22:17:07 xxx postfix/smtp[3154]: A7AE316F2400: to=<codegen@pchome.com.tw>, relay=mx.pchome.com.tw[211.20.188.150], delay=253070, status=deferred (host mx.pchome.com.tw[211.20.188.150] said: 450 Client host rejected: cannot find your hostname, [xxx] (in reply to RCPT TO command))

und es läuft definitiv nur wordpress und webspell..

aber wenn ich das ganze mail sammelsurium wieder starte gehts sofort weiter ;(

http://nopaste.php-q.net/218827

werd wohl die mühle im laufe des tages neu aufsetzen..

debianneuling
Posts: 16
Joined: 2006-04-19 09:51

Re: Spam über meinen Server

Post by debianneuling » 2006-06-14 11:35

weezel wrote:das mit dem PHP Script hab ich auch schon in erwägung gezogen, doch es sind nur 2 php mail scripte vorhanden, beide davon habe ich gerade selbst überprüft.
naja, ich würde mal sagen, JEDES "suboptimal"-programmierte php-Skript kann für sowas verantwortlich sein. Lass dir doch einfach mal mitloggen, welches Skript Emails versendet. Gibts z.B. unter http://www.webhostgear.com/232.html oder http://gregmaclellan.com/blog/sendmail-wrapper/ Anleitungen zu dem Thema, die du an deine Bedürfnisse anpassen kannst. Wenn du einfach nur den Server neu aufsetzt und die gleichen anfälligen Skripte weiter verwendest wird sich da nichts ändern ;-)

weezel
Posts: 6
Joined: 2006-06-13 22:46

Re: Spam über meinen Server

Post by weezel » 2006-06-14 12:34

hab jetzt alles neu aufgesetzt..

anfragen sind immer noch da, aber diesmal extern..

deswegen ma ganz Korea :twisted: ausgesperrt, seitdem hat sichs gelegt..

ma abwarten :)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spam über meinen Server

Post by Joe User » 2006-06-14 13:56

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.