Woher kommen die Spammails auf meinem Server

[uprocka]

Hallo,

ich habe folgendes Problem:


Ich sehe im Logfile verdächtige emails:

Feb 3 19:56:01 server qmail: 1170528961.555677 delivery 120011: failure: Sorry,_I_couldn't_find_any_host_named_relationshipdesign.net._(#5.1.2)/
Feb 3 19:56:01 server qmail: 1170528961.556073 status: local 0/10 remote 19/20
Feb 3 19:56:01 server qmail: 1170528961.556142 starting delivery 120012: msg 8509560 to remote aqua212jb@yahoo.com
Feb 3 19:56:01 server qmail: 1170528961.556153 status: local 0/10 remote 20/20
Feb 3 19:56:03 server qmail: 1170528963.397597 delivery 120010: success: 64.18.4.10_accepted_message./Remote_host_said:_250_Thanks/
Feb 3 19:56:03 server qmail: 1170528963.397669 status: local 0/10 remote 19/20
Feb 3 19:56:03 server qmail: 1170528963.397682 starting delivery 120013: msg 8509560 to remote shaina-99@msn.com
Feb 3 19:56:03 server qmail: 1170528963.397694 status: local 0/10 remote 20/20

Jetzt versuche ich also herauszufinden wo diese mails herkommen und wieso mein Server diese ausliefert.

Wenn ich Apache abschalte - laufen solche Mails weiterauf d.h.die Quelle des Bösen können keine Scripte (z.B. php) oder sowas sein. Richtig?


Evtl. existiert ein offenes Relay:

Wobei ich eigentlich alles so eingestellt habe, dass es geschlossen ist.
Ich nutze QMail und rcpthost läuft. d.h. er nimmt nur bekannte Domains an.
SMTP-user müssen sich auch vorher identifizieren.

Der Test unter: http://www.abuse.net/relay.html sagt zwar leider folgendes:

Relay test 9
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<spamtest@[XXX.XXX.XXX.XXX]>
<<< 250 ok
>>> RCPT TO:<"user%domain.com">
<<< 250 ok
>>> DATA
<<< 354 go ahead
>>> (message body)
<<< 250 ok 1170529722 qp 18805

Relay test result
Hmmn, at first glance, host appeared to accept a message for relay.

THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY.

Aber die Mail wird nicht wirklich vom Server geliefert.

Das einzige was ich noch denke ist, das ein SMTP-Account gehackt wurde.
Ich finde aber keinen Weg um herauszufinden wo die Spammails ihren "Ursprung" haben. finde dazu keine UID oder sowas. Jmd. einen Tipp?

Wo können die Mails noch herkommen?

Danke im Vorraus

[aquajo]

Jetzt versuche ich also herauszufinden wo diese mails herkommen und wieso mein Server diese ausliefert.

Schau doch 'mal im qmail-Logfile nach, wie die E-Mails eingeliefert werden, wenn es von localhost kommt ist es vermutlich der Webserver o.Ä., falls von extern hast du wohl ein offenes Relay.

[uprocka]

Ich habe folgende logfiles angesehen:

• /usr/local/psa/var/log/maillog
  mail.err
  mail.warn
  mail.info

habe aber die nötigen infos dort nicht finden können...
Sprich von wo die Mails kommen.

gibt es noch ein anderes Logfile mit diesen infos?


PS: habe Qmail unter Suse mit Plesk laufen

[kenzo]

habe aber die nötigen infos dort nicht finden können...
Sprich von wo die Mails kommen.

Um dein Beispiel vom Anfang mal zu nehmen:

Code: Select all

grep 8509560 /pfad/zu/logs/current | grep uid

zeigt dir die UID des Users, der für die Einlieferung der besagten Mail verantwortlich ist (z.B. apache).

[Roger Wilco]

Um dein Beispiel vom Anfang mal zu nehmen:

Code: Select all

grep 8509560 /pfad/zu/logs/current | grep uid

zeigt dir die UID des Users, der für die Einlieferung der besagten Mail verantwortlich ist (z.B. apache).

Aber nur wenn metalog läuft. ;)

[frank1973]

Was ist wenn als uid 110 angegeben wird?

[aquajo]

Was ist wenn als uid 110 angegeben wird?

Dann schaust du in der /etc/passwd nach welcher Benutzer das ist:

grep 110 /etc/passwd

[Roger Wilco]

Was ist wenn als uid 110 angegeben wird?

Dann schaust du in deiner /etc/passwd nach, welcher Benutzer die UID 110 hat.

[frank1973]

Dann schaust du in deiner /etc/passwd nach, welcher Benutzer die UID 110 hat.

dann erhalte ich die Antwort:

popuser110:110::/var/qmail:/bin/false

[uprocka]

Ja die Suche nach UID hatte bei mir auch nur unklare Ergebnisse ergeben.

Mal ergab die Suche den User des webservers, mal qmail... obwohl die zugehörige Mail definitiv Spam war...(wie sich später herausstellte war es ein php script)

Evtl. ist es beim 1. Mal der user unter dem der Webserver bzw. php läuft und wenn sie nicht rausgeht und in die Queue kommt, wird beim 2. Versuch Qmail der user.

bin aber da nicht wirklich versiert. Kann ja mal ein Profi was zu sagen.