Blacklisted bei SORBS, was lief falsch?

x11

Blacklisted bei SORBS, was lief falsch?

Post by x11 »

Hellas,
ich betreibe seit gut einem Jahr einen kleinen vServer mit Postfix als MTA, konfiguriert nach dem "Postfix richtig Konfigurieren"-HowTo aus diesem Forum. Damit bin ich auch nun rund ein Jahr lang recht gut gefahren, bis auf letzten Monat, seit dem bekomme ich an den Postmaster Mails, das meine Mails nicht akzeptiert werden da mein Host bei SORBS gelistet ist.

Das sagt mir SORBS:

Code: Select all

Database of vulnerable/hacked servers
Address and Port:   <server ip>
Record Created:   Sat Feb 14 16:47:08 2009 GMT
Record Updated:   Sat Feb 14 16:47:08 2009 GMT
Additional Information:   Spam Sending Trojan or Proxy attempted to send mail from/to from=<<benutzer>@<mein-reverse-dns>> to=<loaddcheapp@paticipating.domain> helo=<<mein-reverse-dns>>
Currently active and flagged to be published in DNS
If you wish to request a delisting please do so through the Support System.


Ich hatte seitdem nichts an dem MTA geändert und Postfix war auch immer up2date. Das kam nun -wie gesagt- nach knapp einem Jahr aus heiterem Himmel. Und ich bin mir auch relativ sicher da da nichts auf meinem Server Rumgurkt was da nichts zu suchen hat.

Hier meine /etc/postfix/main.cf

Code: Select all

# The Mailserver will announce itself with this string .
smtpd_banner = $myhostname ESMTP $mail_name

# Deactivates user%domain -> user@domain rewriting.
allow_percent_hack = no

# Deactivates the notice for local users.
biff = no

# Needs to be yes, if outlook needs to connect.
broken_sasl_auth_clients = no

# Prevents some harvest attacks.
disable_vrfy_command = yes

# Use maildir instead of mbox, in the users dir.
home_mailbox = mail/

# 100 MB Quota for each mailbox.
mailbox_size_limit = 102400000

# 20 MB Quota for each message.
message_size_limit = 20480000

# Prevent root to be a victim of address masquerading.
masquerade_exceptions = root

# Domains of this machine. (We use virtual domains for mail I/O,
# so we only list the localhost and reverse dns entry here)
mydestination = localhost, <mein-reverse-dns>

# Same as the reverse-dns domain. Otherwise it's common that
# outgoing mails will be tagged as spam or rejected.
mydomain = <mein-reverse-dns>

# Additional domains for this machine.
virtual_alias_domains = <ein paar andere domains>

# Source of the address/user map for the virtual domains.
virtual_alias_maps = hash:/etc/postfix/virtual

# See $mydomain
myhostname = <mein-reverse-dns>

# We only trust this machine by default.
mynetworks_style = host

# The domain name that locally-posted mail appears to come from,
# and that locally posted mail is delivered to. (don't add the
# virtual domains here!)
myorigin = $mydomain

# Enable or disable recipient validation, built-in content filtering, or
# address mapping.
#receive_override_options = no_address_mappings

# Optional SMTP server access restrictions in the context of a client
# SMTP connection requests. Filters from first to last.
smtpd_client_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
#  reject_unknown_client_hostname,
  reject_unknown_reverse_client_hostname

# Optional access restrictions that the Postfix SMTP server applies in
# the context of the SMTP DATA command. Filters from first to last.
smtpd_data_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_pipelining

# Wait until the RCPT TO command before evaluating...
smtpd_delay_reject = yes

# HELO is required!
smtpd_helo_required = yes

# Optional restrictions that the Postfix SMTP server applies in the
# context of the SMTP HELO command. Filters from first to last.
smtpd_helo_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname
#  reject_unknown_helo_hostname

# The access restrictions that the Postfix SMTP server applies in the
# context of the RCPT TO command. Filters from first to last.
smtpd_recipient_restrictions =
  permit_sasl_authenticated,
  permit_mynetworks,
#  permit_sasl_authenticated,
  reject_invalid_hostname,
  reject_non_fqdn_hostname,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  check_recipient_mx_access cidr:/etc/postfix/mx_access,
  reject_unauth_destination,
  check_recipient_access pcre:/etc/postfix/recipient_checks.pcre
###  check_policy_service inet:127.0.0.1:12525

# Enable SASL authentication in the Postfix SMTP server.
smtpd_sasl_auth_enable = yes

# Use Dovecot's SASL interface.
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# SASL Path
#smtpd_sasl_path = private/auth-client
# The name of the Postfix SMTP server's local SASL authentication realm.
#smtpd_sasl_local_domain =
#smtpd_sasl_type = dovecot

# SASL Auth settings
smtpd_sasl_security_options = noanonymous

# Optional restrictions that the Postfix SMTP server applies in the
# context of the MAIL FROM command. Filters from first to last.
smtpd_sender_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_non_fqdn_sender,
  reject_unknown_sender_domain

# When TLS encryption is optional in the Postfix SMTP server, do not
# announce or accept SASL authentication over unencrypted connections.
smtpd_tls_auth_only = yes

# Do we use TLS?
#smtp_use_tls = yes
smtpd_use_tls = yes

# Announce that we use TLS on a connect?
smtp_tls_note_starttls_offer = yes

# Cert files.
#smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_cert_file = /etc/ssl/certs/mail.crt
smtpd_tls_key_file = /etc/ssl/private/mail.key

# Further TLS setup.
#smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# Disable brocken SSLv2
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_mandatory_ciphers = medium, high

# Alias entrys
alias_maps = hash:/etc/aliases


Ich habe mich schon auf der SORBS Seite umgesehen, finde jedoch nicht wirklich heraus was bei mir falsch konfiguriert sein soll.. :?

Es wäre prima wenn mir da jemand auf die Sprünge helfen könnte :)
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Blacklisted bei SORBS, was lief falsch?

Post by Joe User »

Es ist nicht Postfix das Problem, sondern eine "gehackte" (Web)Applikation auf Deinem Server...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

x11

Re: Blacklisted bei SORBS, was lief falsch?

Post by x11 »

Schonmal danke für die Antwort, aber das kann bzw will ich gar nicht glauben. Auf dem Server laufen nur ein phpBB3 und ein Trac. In dem phpBB3 gibt es ein Forum in dem Gäste was schreiben können und wo trotz Captcha auch mal etwas Spam auftaucht, aber dort ist nirgendwo die Möglichkeit zur Eingabe einer E-Mailadresse. Unser Trac erlaubt auch anonyme Tickets, aber die Mails die von Trac verschickt werden enthalten höchstens neue Benutzer-Kommentare, bei Trac setzen wir aber seit Monaten schon auf das SpamBayes plugin und seit dem ist auch dort ruhe.

Das ist auch schon alles was da Rennt, alles jeweils auf dem aktuellsten Stand und das phpBB3 rennt mittels Fast-CGI mit suEXEC und es kommt suPHP zum Einsatz. Daher zweifel ich auch hier das sich da u.U. was eingeschlichen haben könnte!? Unmöglich ist natürlich nichts, ich weiß...

Ich weiß auch nicht genau wie ich...
Additional Information: Spam Sending Trojan or Proxy attempted to send mail from/to from=<<benutzer>@<mein-reverse-dns>> to=<loaddcheapp@paticipating.domain> helo=<<mein-reverse-dns>>

...deuten soll, das ließt sich für mich so als habe SORBS nen scan durchgeführt und der Server hat auf etwas geantwortet auf das er nicht hätte antworten sollen?
Top

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Blacklisted bei SORBS, was lief falsch?

Post by oxygen »

Für mich liest sich das eher so, als hättest du eine eMail an ein Honypot geschickt. Von einem Scan ist dort nichts zu sehen. Handelt es sich bei "benutzer" um einen Systemuser wie www-run/apache/oÄ? Dann hat Joe auf jeden Fall recht. Ansonsten müsstest du mal die Logs durchforsten wie die entsprechende eMail eingeliefert wurde.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Blacklisted bei SORBS, was lief falsch?

Post by Joe User »

mod_proxy im HTTPd aktiviert aber nicht abgesichert?
mod_php oder PHP-FCGI oder suPHP oder suexec?
phpBB3 abgesichert? Welche phpBB3-Mods?
Trac abgesichert? Welche Trac-Mods?
Was spricht das mail.log?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

x11

Re: Blacklisted bei SORBS, was lief falsch?

Post by x11 »

@oxygen
Es ist der System-Benutzer unter dem das phpBB3 sowie Trac läuft.

@Joe User
Das Modul mod_proxy wird nicht genutzt und ist auch nicht geladen, PHP ist PHP-CGI inklusive suPHP. Apache 2.2 MPM-Worker mit mod_fcgid und mod_suexec. Die PHP-Skripte werden über einen eigenen Wrapper für jeden Benutzer mittels fcgid und suEXEC ausgeführt. Das phpBB3 ist quasi "Stock" und aktuell, es ist lediglich eine kleine Mod drin die das letzte Thema mit in der Forenübersicht anzeigt.

Das Trac läuft mittels mod_wsgi ebenfalls unter Benutzerrechte des Systembenutzers, Trac Plugins benutzen wir ein paar, die stellen aber im wesentlichen nur ein paar weitere Sichten zur Verfügung, wie z.B. Code-Tags und generierte Doxygen-Docs.

Das mit dem mail.log aus dem Zeitraum ist leider nicht mehr drin, da wir vor 2 Tagen den Host auf Lenny mit KVM umgestellt haben und meine VM damit auch nagel-neu ist. Da hatte ich ehrlich gesagt ein paar andere Dinge im Kopf als die mail.log's mit zu sichern... 8-[

Das mit dem Honeypot kann doch nicht nur von 'irgendeiner' E-Mail abhängen, oder? Ich meine, dann könnte doch jeder der so eine Honeypot-Adresse kennt mutwillig jede Seite die eine E-Mail-Validierung benötigt auf die Liste von SORB o.ä. treiben, indem man bei der Registrierung einfach die Adresse angibt. Da muss doch mehr hinter stecken...

Hat hier schon jemand Erfahrung mit den SORBS support gehabt? http://en.wikipedia.org/wiki/Spam_and_O ... #Criticism liest sich ja nicht sonderlich toll.
Top

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Blacklisted bei SORBS, was lief falsch?

Post by oxygen »

x11 wrote:@oxygen
Das mit dem Honeypot kann doch nicht nur von 'irgendeiner' E-Mail abhängen, oder? Ich meine, dann könnte doch jeder der so eine Honeypot-Adresse kennt mutwillig jede Seite die eine E-Mail-Validierung benötigt auf die Liste von SORB o.ä. treiben, indem man bei der Registrierung einfach die Adresse angibt. Da muss doch mehr hinter stecken...

Ich kenne SORBS nicht genau, aber der Inhalt der eMail wird geprüft. Eine phpBB Anmeldungsemail wird wohl kaumzu einem Eintrag führen. Mehr dazu steht auch in dem von dir gennanten Wikipedia Artikel.
Top

x11

Re: Blacklisted bei SORBS, was lief falsch?

Post by x11 »

Man oh man, ich hab auf sorbs.net nen support ticket erstellt, wo ich nett nach genaueren gründen gefragt hatte, zwecks prävention fürs nächste mal und was gibt es als antwort?

You need to follow the instructions at: http://www.sorbs.net/faq/vulnerabilities.shtml

However, as I am a robot, and my master has told me to delist any host that has not been retested more than once, and where an entry is more than 24 hours old:

Delisting <meine ip>


Jetzt ist mein server zwar delisted aber ich bin noch immer kein stückchen schlauer... :|
Top

User avatar
mattis
Posts: 41
Joined: 2008-12-30 17:44
Location: Bayern

Re: Blacklisted bei SORBS, was lief falsch?

Post by mattis »

Auch wenn es abgedroschen ist: SORBS sucks :roll:
Top