Server für Spams missbraucht - SOS

[goisgo]

Hallo Community,

mein kleiner SuSe (Plesk 7.1.7 mit ein paar Domains) wurde wohl für den Spamversand missbraucht. Ist ein VPS RootDS Server. Mitgeteilt wurde dies von der CBL.abuseat.org - mein Server (IP) ist in der Blacklist. Die Uhrzeit und Datum des Eintrages (als meine IP also das letzte Mal missbraucht wurde) zeigte mir nach einem Blick ins Traffic-Log: Am 11.11. um 16.00 Uhr war der einkommende Traffic 1000mal höher als gewöhnlich. Es ist das erste Mal, dass mich so etwas erwischt. Habt Ihr mir Lösungsansätze, Tipps wie ich das Problem (Ursache) eingrenzen kann.

Leider gibt es beim Plesk 7.1.7 keine reject-Möglichkeit für nichtexistierende Emailadressen. Hab in der DB alle via catch-all auf x verwiesen. Was wäre noch zu tun - zu testen. Weiss ja gar nicht wo ich jetzt anfangen soll (qmail). Meine letzte Qmail-Statabfrage zeigten mir noch 8 hängengebliebene Mails. Dumme Sache - bin auch neu im Rootbusiness.... ;(

Grussle, s'goisgerl

P.S.: sicher kein Open Relay *tested*

[sledge0303]

Wie sieht es mit den Webmailer, Kontaktformularen und der PHP Config aus?
Betreibst du ein Forum?

Mehr Infos wären schon angebracht

[EdRoxter]

Meine Glaskugel zeigt mir ein PHP-Script, in dem, ohne zu prüfen, eine Formulareingabe direkt in den Header der Mail geschrieben wird.

[rootsvr]

Meine Glaskugel zeigt mir ein PHP-Script, in dem, ohne zu prüfen, eine Formulareingabe direkt in den Header der Mail geschrieben wird.

Aber das macht nornmalerweise keinen 1000fach höheren Traffic, oder?

Ich tippe auf Webexploit+Spamscript

Neu im rootbusiness heißt "keine Ahnung aber Server?"

[goisgo]

rootsvr: Keine Ahnung würde ich nicht behaupten. Denke dass hier viele erst mal erschrecken, wenn ihr Server in einer Blacklist landet - und man Stück für Stück gucken muss woran es liegt. Aber ja: Habe den Server erst seit knapp einem Jahr und teste hier nur mit Domains von Bekannten und Freunden - bisher (...;() erfolgreich und zufriedenstellend. Bitte störe dich nicht am Begriff serverbusiness - war eher ironisch in Bezug auf Business....:)


Zu meinem Problem:

Also habe eben alle Logs überprüft. Am 11.11. gibt es nichts Verdächtiges. Einer hat ein phpbb laufen - allerdings am 11.11. überhaupt keinen Logeintrag. Die Kontaktformulare wurden am 11.11. auch nicht benutzt. Exploits müsste ich doch über die Logs ebenfalls erkennen. Was denkt Ihr: Ist nun das Qmail(Plesk) bounced bounce Problem wohl die wahrscheinlichste Erklärung?

Grussle,
s'goisgerl

[EdRoxter]

Meine Glaskugel zeigt mir ein PHP-Script, in dem, ohne zu prüfen, eine Formulareingabe direkt in den Header der Mail geschrieben wird.

Aber das macht nornmalerweise keinen 1000fach höheren Traffic, oder?

Einer meiner Kunden hatte sowas mal. Ich bin zwar noch nicht in einer Blacklist gelandet, aber die haben über das Teil schon gut 2-3GB Extratraffic am Tag verbraucht.. 1000fach war's aber nicht, das stimmt schon.

Was sagt denn die mail.log?

[goisgo]

Die Logdaten zeigen mass Spam und:

double und triple bounces ohne Ende :)

Was mich an den logs aber beruhigt: Es ist definitiv kein php-Skript (formular, Gästebuch, ...) dass den Mailverkehr verursacht hat. Mein Apache UID 30 hat nur eine nachvollziehbare Mail abgelassen - in den letzten 7 Tagen.

Da ich mit Plesk 7.1.7-qmail kein reject einbauen kann muss ich aber den Bounce abstellen. Habe nun alle Emailkonten catch-all (bei nicht-existierender Mailadresse) auf xxx@xxx.de gelegt (ein Postfach von mir auf dem Server....hüstl.). Dieses Mailverzeichnis werde ich nun via Cronjob regelmässig leeren (/var/qmail/mailname/xxx).

Ist die Idee gut?
Oder gibts nen Trick von Profis den Reject auch manuell zu koppeln - über die interne DB?

grussle s'goisgerl

[Anonymous]

Ich habe seit kurzem genau das gleiche Problem. Mein Server ist auf der CBL eingetragen aber ich kann in meinen Logs nichts auffälliges finden.
Ein Scan auf http://www.abuse.net/relay.html hat ebenfalls nichts ergeben. Die übermäßige Nutzung eines Antwortformulares müsste in den AWStats zu sehen sein :(

Ich hab keine Idee mehr.

cu

rigo2

[rot]

Die übermäßige Nutzung eines Antwortformulares müsste in den AWStats zu sehen sein :(

Bei einem unsicheren Kontaktformular reicht u. U. ein einzelner Zugriff auf dieses Formularscript, um tausende von Adressen zu bespamen.

Was sagt die CBL denn, was dein Problem sei? Und im Maillog müsstest du doch fündig werden.

[Anonymous]

Bei einem unsicheren Kontaktformular reicht u. U. ein einzelner Zugriff auf dieses Formularscript, um tausende von Adressen zu bespamen.

Stimmt auch wieder.

Was sagt die CBL denn, was dein Problem sei? Und im Maillog müsstest du doch fündig werden.

Die CBL-Seite sagt nichts konkretes. Das ist nur eine statische, allgemein gehaltene Seite. Im Maillog ist nichts, was auf eine übermäßige Nutzung hinweist, also z.B. viele Mail in einer kurzen Zeitspanne. In meiner Mailqueue sind auch keine Mails (müssten es aber dann aber sein, weil ja viele Spammails nicht zustellbar sind).

cu
rigo2

[flo]

mod_proxy aktiv?

[Anonymous]

mod_proxy aktiv?

Nein, wozu?

[flo]

eben dazu - mod_proxy ist eine der schlankesten Möglichkeiten, sich Zugriff auf Port 25 zu verschaffen :-)

flo.