Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
illecima
Posts: 5
Joined: 2006-07-06 20:23

Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by illecima » 2007-05-31 14:49

Hi Ihr Freaks (natürlich positiv gemeint ^^)

Ich habe seit ca. 2 Wochen ein dickes Problem mit meinem Linux-Root-Server bei Strato.

Kurz zu den allgemeinen Infos:
SUSE Linux 9.3 (i586) - IP 81.169.174.7
Serveradmin 24 Version: 2.4 (0510031)
Qmail als Mailserver

Der Server wird allem anschein nach als Spamschleuder missbraucht. Laut Logfiles greift auch alle 3 Sekunden jemand per SSH auf ihn zu und versucht mit immer neuem Benutzernamen und IP einzuloggen (Bruteforce?).

Die Mailqueue ist/war total voll. Ich hab die Ordner alle per Hand geleert. Aber auch mit leerer Queue und leerem Bounce-Ordner geht keine Mail mehr raus. Die Spammails aber schon, so wie es aussieht. Mit ServerAdmin24 hab ich vorerst mal die Dienste "Postausgang (smtp)" und "Posteingang pop3" gestoppt. Damit wäre die Spamflut vorerst mal gestoppt. Das löst aber nicht das Problem. Ich weiß leider nicht, und da brauche ich Eure Hilfe, wo ich nun ansetzten soll bzw. etwas kontrollieren muss oder kann.

In den Log-Dateien steht, dass die Spammails alle von User-UID 60000, als vpopmail verschickt werden. Ist das nicht eigendlich immer so, auch wenn ich selber regulär Mails verschicke?

Ganze Logfiles kann ich hier leider nicht posten, da sie mehrere Megabyte groß sind :( Wenn ihr weitere Infos braucht und ich denke die werdet ihr brauchen, schreibt mir kurz auf was genau und wo ich die Infos finde.

Danke.

Das Wunschziel: Spammails stoppen (am besten für immer ^^) und den postausgangsserver wieder zu laufen bringen. In den Dateien me, helohost und locals steht übrigens immer h956854.serverkompetenz.net was ich für richtig halte, da es bisher immer gut funktioniert hat.

bfrackie
Posts: 63
Joined: 2003-08-26 12:00

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by bfrackie » 2007-05-31 16:23

zumeist sind das PHP-Kontaktformulare, die missbraucht werden. Wenn du nicht zufällig PHP als fastCGI/suexec laufen hast (oder nur eine Webseite), dann musst du die Logs mit den Webserver Logs vergleichen. Den Job nimmt dir keiner ab.

Übrigens ist der Support für Suse 9.3 ausgelaufen. Du möchtest unbedingt mal ein Update deines Servers machen.

Bart

illecima
Posts: 5
Joined: 2006-07-06 20:23

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by illecima » 2007-05-31 17:25

Laut http://room-server.de/phpinfo.php ist FastCGI eingeschalten.

Ich hab mir die suphp_log mal angesehen und darin finde ich tausende Einträge wie:

[Tue Sep 19 07:01:02 2006] [info] Executing /home/o/orden-des-nordsterns.de/public_html/index.php as user ordendesnordsternsde (1015), group www (60006)

Steckt da vielleicht der Teufel im Detail?

Übrigens die SUPHP_LOG ist bereits 127 MegaByte groß... !?

Tjo ein Update eines Linuxsystems habe ich noch nie gemacht. Wie geht das und zerstört das nicht die Konfiguration des Servers bzw. von ServerAdmin24?

illecima
Posts: 5
Joined: 2006-07-06 20:23

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by illecima » 2007-06-01 13:32

So neuer Stand: Ich habe die gesamte Queue gelöscht und nun funktioniert auf das Versenden und Empfangen von Mails wieder einwandfrei. Dennoch zeigt mir relay-test.mail-abuse.org ein offenes Relay an.

Wie ich das schließen soll, weiß ich leider nicht. Hat da jemand einen Tipp?
:Relay test: #Test 8
>>> mail from: <spamtest@room-server.de>
<<< 250 ok
>>> rcpt to: <nobody%mail-abuse.org@room-server.de>
<<< 250 ok
>>> QUIT
<<< 221 h956854.serverkompetenz.net
Tested host banner: 220 h956854.serverkompetenz.net ESMTP
System appeared to accept 1 relay attempts
Connection closed by foreign host.
Außerdem habe ich der Spamflut entgegen gewirkt, indem das PHP-Skript von orden-des-nordsterns.de-Homepage entfernt wurde (auch wenn der Domaininhaber etwas überreagiert hat und gleich die gesamte Homepage gelöscht hat)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by Joe User » 2007-06-01 14:39

Illecima wrote:Hat da jemand einen Tipp?
Für Postfix ja, für QMüll nicht...
BTW: Welche QMüll-Version/Patches setzt Du ein?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by Roger Wilco » 2007-06-01 15:31

Illecima wrote:Wie ich das schließen soll, weiß ich leider nicht. Hat da jemand einen Tipp?
Schau in deine Mail Logs, ob die Mail anschließend wirklich verschickt wurde. Nur weil qmail die Mail annimmt, heißt das nicht, dass sie auch tatsächlich nach extern verschickt wird...

illecima
Posts: 5
Joined: 2006-07-06 20:23

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by illecima » 2007-06-01 17:17

Joe User wrote:
Illecima wrote:Hat da jemand einen Tipp?
Für Postfix ja, für QMüll nicht...
BTW: Welche QMüll-Version/Patches setzt Du ein?
Das kann ich leider nicht beantworten, da ich nicht weiß wo das steht. Ich persönlich hab qmail ja auch nicht installiert, denn das ist automatisch nach einer Strato-Neuinstallation mit ServerAdmin24 mit drauf. Installiert habe ich bis auf Teamspeak2 und Reoback rein garnichts bisher.

illecima
Posts: 5
Joined: 2006-07-06 20:23

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by illecima » 2007-06-01 17:18

Roger Wilco wrote:
Illecima wrote:Wie ich das schließen soll, weiß ich leider nicht. Hat da jemand einen Tipp?
Schau in deine Mail Logs, ob die Mail anschließend wirklich verschickt wurde. Nur weil qmail die Mail annimmt, heißt das nicht, dass sie auch tatsächlich nach extern verschickt wird...
Nö verschickt wird sie scheibar nicht, aber meine Logdateien werden derbe vollgemüllt und außerdem macht mich die alleinige Tatsache, dass da ein Relay offen ist sehr nervös. Bin kurz davor den Mailserver wieder abzuschalten, obwohl jetzt gerade alles recht gut funktioniert.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by Joe User » 2007-06-01 17:33

Illecima wrote:
Joe User wrote:BTW: Welche QMüll-Version/Patches setzt Du ein?
Das kann ich leider nicht beantworten, da ich nicht weiß wo das steht.
Dann solltest Du den Strato-Support bemühen und Dich schleunigst mit Deinem System beschäftigen. QMüll benötigt in älteren Versionen etliche Patche um halbwegs RFC/Common-Use konform zu arbeiten. Dein Problem ist übrigens seit Jahren als "percent hack" bekannt und bei guten MTAs OOTB deaktiviert...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Mein Server spammt scheinbar ohne Ende und es gehen keine Mails mehr raus. Hilfe!

Post by lord_pinhead » 2007-06-05 00:20

Sag mal, bietest du etwa Webhosting an ohne dich mit dem Thema richtig beschäftigt zu haben oder ist die Seite wo du gelinkt hast nicht deine? Also diese room-server.de. Da fehlt mir auch ehrlichgesagt ein Impressum :roll: Egal ob Gewerblich oder nicht, Impressum ist Pflicht.´

Mich wundert es ehrlichgesagt das die IP in keiner Blockliste gelandet ist.