Woher kommen die Spammails auf meinem Server

uprocka
Posts: 26
Joined: 2003-06-28 17:16

Woher kommen die Spammails auf meinem Server

Post by uprocka »

Hallo,

ich habe folgendes Problem:


Ich sehe im Logfile verdächtige emails:
Feb 3 19:56:01 server qmail: 1170528961.555677 delivery 120011: failure: Sorry,_I_couldn't_find_any_host_named_relationshipdesign.net._(#5.1.2)/
Feb 3 19:56:01 server qmail: 1170528961.556073 status: local 0/10 remote 19/20
Feb 3 19:56:01 server qmail: 1170528961.556142 starting delivery 120012: msg 8509560 to remote aqua212jb@yahoo.com
Feb 3 19:56:01 server qmail: 1170528961.556153 status: local 0/10 remote 20/20
Feb 3 19:56:03 server qmail: 1170528963.397597 delivery 120010: success: 64.18.4.10_accepted_message./Remote_host_said:_250_Thanks/
Feb 3 19:56:03 server qmail: 1170528963.397669 status: local 0/10 remote 19/20
Feb 3 19:56:03 server qmail: 1170528963.397682 starting delivery 120013: msg 8509560 to remote shaina-99@msn.com
Feb 3 19:56:03 server qmail: 1170528963.397694 status: local 0/10 remote 20/20
Jetzt versuche ich also herauszufinden wo diese mails herkommen und wieso mein Server diese ausliefert.

Wenn ich Apache abschalte - laufen solche Mails weiterauf d.h.die Quelle des Bösen können keine Scripte (z.B. php) oder sowas sein. Richtig?


Evtl. existiert ein offenes Relay:

Wobei ich eigentlich alles so eingestellt habe, dass es geschlossen ist.
Ich nutze QMail und rcpthost läuft. d.h. er nimmt nur bekannte Domains an.
SMTP-user müssen sich auch vorher identifizieren.

Der Test unter: http://www.abuse.net/relay.html sagt zwar leider folgendes:

Relay test 9
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<spamtest@[XXX.XXX.XXX.XXX]>
<<< 250 ok
>>> RCPT TO:<"user%domain.com">
<<< 250 ok
>>> DATA
<<< 354 go ahead
>>> (message body)
<<< 250 ok 1170529722 qp 18805

Relay test result
Hmmn, at first glance, host appeared to accept a message for relay.

THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY.
Aber die Mail wird nicht wirklich vom Server geliefert.

Das einzige was ich noch denke ist, das ein SMTP-Account gehackt wurde.
Ich finde aber keinen Weg um herauszufinden wo die Spammails ihren "Ursprung" haben. finde dazu keine UID oder sowas. Jmd. einen Tipp?

Wo können die Mails noch herkommen?

Danke im Vorraus
Top

aquajo
RSAC
Posts: 167
Joined: 2003-02-25 21:07

Re: Woher kommen die Spammails auf meinem Server

Post by aquajo »

uprocka wrote:Jetzt versuche ich also herauszufinden wo diese mails herkommen und wieso mein Server diese ausliefert.
Schau doch 'mal im qmail-Logfile nach, wie die E-Mails eingeliefert werden, wenn es von localhost kommt ist es vermutlich der Webserver o.Ä., falls von extern hast du wohl ein offenes Relay.
Top

uprocka
Posts: 26
Joined: 2003-06-28 17:16

Qmail Logfiles

Post by uprocka »

Ich habe folgende logfiles angesehen:
    /usr/local/psa/var/log/maillog mail.err mail.warn mail.info
habe aber die nötigen infos dort nicht finden können...
Sprich von wo die Mails kommen.

gibt es noch ein anderes Logfile mit diesen infos?


PS: habe Qmail unter Suse mit Plesk laufen
Top

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Woher kommen die Spammails auf meinem Server

Post by kenzo »

habe aber die nötigen infos dort nicht finden können...
Sprich von wo die Mails kommen.
Um dein Beispiel vom Anfang mal zu nehmen:

Code: Select all

grep 8509560 /pfad/zu/logs/current | grep uid
zeigt dir die UID des Users, der für die Einlieferung der besagten Mail verantwortlich ist (z.B. apache).
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Woher kommen die Spammails auf meinem Server

Post by Roger Wilco »

kenzo wrote:Um dein Beispiel vom Anfang mal zu nehmen:

Code: Select all

grep 8509560 /pfad/zu/logs/current | grep uid
zeigt dir die UID des Users, der für die Einlieferung der besagten Mail verantwortlich ist (z.B. apache).
Aber nur wenn metalog läuft. ;)
Top

frank1973
Posts: 47
Joined: 2004-12-23 14:36

Re: Woher kommen die Spammails auf meinem Server

Post by frank1973 »

Was ist wenn als uid 110 angegeben wird?
Top

aquajo
RSAC
Posts: 167
Joined: 2003-02-25 21:07

Re: Woher kommen die Spammails auf meinem Server

Post by aquajo »

frank1973 wrote:Was ist wenn als uid 110 angegeben wird?
Dann schaust du in der /etc/passwd nach welcher Benutzer das ist:

grep 110 /etc/passwd
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Woher kommen die Spammails auf meinem Server

Post by Roger Wilco »

frank1973 wrote:Was ist wenn als uid 110 angegeben wird?
Dann schaust du in deiner /etc/passwd nach, welcher Benutzer die UID 110 hat.
Top

frank1973
Posts: 47
Joined: 2004-12-23 14:36

Re: Woher kommen die Spammails auf meinem Server

Post by frank1973 »

Roger Wilco wrote: Dann schaust du in deiner /etc/passwd nach, welcher Benutzer die UID 110 hat.
dann erhalte ich die Antwort:

popuser:x:110:110::/var/qmail:/bin/false
Top

uprocka
Posts: 26
Joined: 2003-06-28 17:16

Re: Woher kommen die Spammails auf meinem Server

Post by uprocka »

Ja die Suche nach UID hatte bei mir auch nur unklare Ergebnisse ergeben.

Mal ergab die Suche den User des webservers, mal qmail... obwohl die zugehörige Mail definitiv Spam war...(wie sich später herausstellte war es ein php script)

Evtl. ist es beim 1. Mal der user unter dem der Webserver bzw. php läuft und wenn sie nicht rausgeht und in die Queue kommt, wird beim 2. Versuch Qmail der user.

bin aber da nicht wirklich versiert. Kann ja mal ein Profi was zu sagen.
Top