Page 1 of 1
Server gehakt????
Posted: 2007-10-18 23:02
by test022
Hallo Forum,
bitte um eure Hilfe!
Server:
Suse 10, Plesk 8.0, Qmail
Bekomme jede Minute 2-3 Mails
Mail Delivery Subsystem
The original message was received at….
Meine Vermutung ist das jemand mein Mailserver ausnutzt und versendet Spam mit folgendem Inhalt:
hello hello info
blow her out of the room with huge amounts of cum!
http://imimin.com/
Octavio pliskevicius
Und was komisch ist, jedesmal ist ein anderer Alias als Absender eingetragen.
z.b:
maria16@meine-domain.tld,
Stefan@meine-domain.tld.. usw.
habe schon alle SMTP Passwörter geändert, die Emails kommen immer noch bei mir an, wenn der Empfänger nicht existiert. Soll ich Catch-All abschalten?
Wie kann ich verhindern dass mein Mailserver nicht ausgenutzt wird?
Was kann ich dagegen machen außer meinen Qmail still legen?
Re: Server gehakt????
Posted: 2007-10-18 23:06
by flo
Du möchtest erst einmal den catch-all abschalten, tief durchatmen und schauen, ob eine dieser Mails Deinen Server jemals verlassen hat - ein gefaketer Absender ist schnell passiert, Du kannst das nicht beeinflussen.
Dann noch das "übliche" - suche nach offenen Scripten, prüfe, ob man Deinen Apachen als Proxy benutzen kann und ob Dein Server als Relay noch dicht ist.
flo.
Re: Server gehakt????
Posted: 2007-10-19 00:07
by test022
2 Fragen:
1. wie prüfe ich ob mein Server nicht als Relay genutzt werden kann?
2. wie kann ich feststellen, ob eine dieser Mails meinen Server jemals verlassen hat?
Re: Server gehakt????
Posted: 2007-10-19 00:35
by flo
Wenn diese Mails über den meist offenen localhost per Script eingeliefert wurden, müsstest Du die Mails im mail.log finden.
Früher gabs mal "telnet relaytest.mail-abuse.org" als einfachen relaytest - das scheint aber abgeschalten zu sein!? Als test telnette von zuhause auf Port 25 Deines Servers und spiele eine SMTP-Sitzung durch. Natürlich an eine externe Adresse - z.B. bei GMX.
Re: Server gehakt????
Posted: 2007-10-19 01:07
by test022
Vielen Dank erstmal...
Habe nicht ganz verstanden was du damit meinst... :-(
flo wrote:Als test telnette von zuhause auf Port 25 Deines Servers und spiele eine SMTP-Sitzung durch. Natürlich an eine externe Adresse - z.B. bei GMX.
Re: Server gehakt????
Posted: 2007-10-19 01:34
by flo
Re: Server gehakt????
Posted: 2007-10-19 10:29
by test022
beim Versuch auf eine externe e-mail Adresse meldet folgendes:
RCPT To:<
externmail@gmx.de>
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Re: Server gehakt????
Posted: 2007-10-19 11:40
by flo
Wenn jetzt noch jemand der qmail einsetzt, sich dazu melden würde ...
Aber ein permanenter Fehler ist gut, das sieht schon mal nicht nach einem Relay aus.
Bist Du von selber auch schon auf die Idee gekommen, die Mailheader (wenn zurückgeschickt) anzusehen?
Re: Server gehakt????
Posted: 2007-10-19 13:11
by bernsteinkater
Pruef mal ueber welche UID die Mails verschickt werden. Wenn die Mails noch in der Queue sind:
find /var/qmail/queue -type f -exec grep "invoked" {} ;
Wenn die Mails nicht mehr in der Queue sind /usr/local/psa/var/log/maillog durchsuchen.
Falls die Mails nur Bounces sind:
http://www.rootforum.org/forum/viewtopi ... 826#294826
Wenn die Mails ueber den Webserver verschickt werden:
Rausfinden ueber welches Skript.