spam attacke

[fulltilt]

habe seit heute hier ein seltsames spamproblem (alles überr cn IPs)
habe den emailuser gelöscht, das web gesperrt und es geht trotzdem weiter, hier einige infos aus den logs:
noname.tld steht hier für die echte domain

Code: Select all

Von     =?pH62?B?ztLDx7a81NrV4rXIxOO1xLzTyOsxNzo1MDoxMQ==?= <info@noname.tld>
Zu
Datum     Sun, 22 Jul 2012 17:50:15 +0800
Betreff     =?pH62?B?ztLDx7a81NrV4rXIxOO1xLzTyOsxNzo1MDoxMQ==?=

Jul 22 11:59:48 sr01 postfix/virtual[14743]: BC66B314A087: to=<info@noname.tld>, relay=virtual, delay=0.01, delays=0.01/0/0/0, dsn=5.1.1, status=bounced (unknown user: "info@noname.tld")

Code:
Received     from bds (unknown [58.221.55.152]) by w01.my
servername.com (Postfix) with ESMTPA id D11E2314A06B; Sun, 22 Jul 2012 11:36:45 +0200 (CEST)
Message-ID <AB43669E5341D7E477573D1D5D2ECA21@bds>
From ¿´¿´ÎÒµÄÇ°Å®ÓÑ-- <info@noname.tld>
To
Subject ¿´¿´ÎÒµÄÇ°Å®ÓÑ--17:36:42
Date Sun, 22 Jul 2012 17:36:44 +0800
MIME-Version 1.0
Content-Type text/html; charset="gb2312"
Content-Transfer-Encoding base64
X-Priority 3
X-MSMail-Priority Normal
X-Mailer Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE Produced By Microsoft MimeOLE V6.00.2900.5512[code]

dieser account ist jetzt gelöscht, trotzdem loggt sich jemand ein:
4B421314A082: client=unknown[112.67.124.73], sasl_method=LOGIN, sasl_username=info@noname.tld

[Joe User]

status=bounced ist doch das, was Du wolltest?

Poste bitte mal ein vollständiges Log eines dieser "seltsamen" Spams und zusätzlich auch noch ein "postconf -n", danke.

[fulltilt]

Hi Joe, hier erstmal die conf ...
was ist mit broken_sasl_auth_clients = yes
sollte der nicht auch auf NO?

Code: Select all

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_at_myorigin = yes
append_dot_mydomain = no
biff = no
bounce_size_limit = 5000
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
default_destination_recipient_limit = 20
delay_warning_time = 0h
disable_vrfy_command = yes
inet_interfaces = all
local_destination_recipient_limit = 1
local_recipient_maps = unix:passwd.byname $alias_database
local_transport = local
mail_spool_directory = /var/mail
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
maximal_queue_lifetime = 30m
message_size_limit = 25240000
mydestination = $myhostname, $mydomain
mydomain = n01.myserver.local
myhostname = n01.myserver.com
mynetworks_style = host
myorigin = $myhostname
recipient_delimiter = +
setgid_group = postdrop
smtp_tls_note_starttls_offer = yes
smtpd_banner = $myhostname ESMTP ispCP 1.0.3 OMEGA Managed
smtpd_data_restrictions = reject_multi_recipient_bounce,                               reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_error_sleep_time = 1s
smtpd_hard_error_limit = 20
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks,                               permit_sasl_authenticated,                               reject_invalid_helo_hostname,                               reject_non_fqdn_helo_hostname
smtpd_recipient_restrictions = reject_non_fqdn_recipient,                               reject_unknown_recipient_domain,                               reject_invalid_hostname,                               reject_non_fqdn_hostname,                               reject_non_fqdn_sender,                               reject_unknown_sender_domain,                               permit_mynetworks,                               permit_sasl_authenticated,                               reject_unauth_destination,                               reject_unlisted_recipient,                               reject_rbl_client mail.bl.blocklist.de,                               reject_rbl_client imap.bl.blocklist.de,                               reject_rbl_client sbl.spamhaus.org,                               reject_rbl_client cbl.abuseat.org,                               reject_rbl_client dul.dnsbl.sorbs.net,                               reject_rbl_client bl.spamcop.net,                               permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = reject_non_fqdn_sender,                               reject_unknown_sender_domain,                               permit_mynetworks,                               permit_sasl_authenticated
smtpd_soft_error_limit = 10
smtpd_tls_CAfile = /etc/postfix/ssl/ca-bundle.crt
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem
smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_prng_update_period = 3600s
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/ispcp/transport
virtual_alias_maps = hash:/etc/postfix/ispcp/aliases
virtual_gid_maps = static:8
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_domains = hash:/etc/postfix/ispcp/domains
virtual_mailbox_limit = 0
virtual_mailbox_maps = hash:/etc/postfix/ispcp/mailboxes
virtual_minimum_uid = 1001
virtual_transport = virtual
virtual_uid_maps = static:1001

[fulltilt]

Code: Select all

Jul 22 13:20:53 n01 postfix/qmgr[27058]: 22599314A06B: from=<info@noname.tld>, size=2440, nrcpt=11 (queue active)
Jul 22 13:21:00 n01 postfix/qmgr[27058]: 1D408314A06D: from=<>, size=9501, nrcpt=1 (queue active)
Jul 22 13:21:00 n01 postfix/qmgr[27058]: 22599314A06B: removed

ich hatte reject_non_fqdn_helo_hostname wegen client probleme nicht aktiv, habe es vorhin aktiviert und momentan ist ruhe ...

[fulltilt]

geht immer noch weiter ... im miuntentakt mit ständig wechselden china IPs
oder eine attacke mit mehreren rechnern

[Joe User]

Das ist aber nicht das vollständige Log der Mail, da fehlt die Einlieferung und die Zwischenschritte der Verarbeitung.

Die main.cf ist nicht der Hit, da möchte ich aber dem Adminpanel nicht reinreden. Ich würde sie aber so nicht auf einem meiner Mailserver einsetzen.

BTW: Das vollständige Log ist wichtig, um festzustellen, ob die Spams local oder remote eingeliefert werden und wo das genau Problem steckt. Im Zweifel musst Du das Logging von Postfix hochdrehen und je nach Distri mehrere Logfiles zusammenführen. Selten ist auch die Syslog-Config verhunzt, lässt sich aber ohne dessen Config zu kennen nicht beurteilen.

[fulltilt]

hier noch weitere logs, sieht irgendwie nach einem löschrigen formular aus ... was kann ich noch tun?

[fulltilt]

hier ist noch etwas:
NOQUEUE: reject: RCPT from SMTPBG257.QQ.COM[183.62.104.157]: 550 5.1.1 <info@privat.tld>: Recipient address rejected: User unknown in virtual mailbox table; from=<PostMaster@qq.com> to=<info@privat.tld> proto=SMTP helo=<smtpbg257.qq.com>

[Joe User]

"NOQUEUE: reject" heisst, dass die Mail von Deinem Mailserver nicht angenommen wurde, also Alles so, wie Du es willst.

[Joe User]

Zur Sicherheit nochmal:

Code: Select all

grep 'Jul 22 18:3' /var/log/mail* | sort -u

postconf -n

[fulltilt]

was könnte / sollte ich noch ändern in der config?

Code: Select all

postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_at_myorigin = yes
append_dot_mydomain = no
biff = no
bounce_size_limit = 5000
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
default_destination_recipient_limit = 20
delay_warning_time = 0h
disable_vrfy_command = yes
inet_interfaces = all
local_destination_recipient_limit = 1
local_recipient_maps = unix:passwd.byname $alias_database
local_transport = local
mail_spool_directory = /var/mail
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
maximal_queue_lifetime = 30m
message_size_limit = 25240000
mydestination = $myhostname, $mydomain
mydomain = sr01.myserver.com.local
myhostname = sr01.myserver.com
mynetworks_style = host
myorigin = $myhostname
recipient_delimiter = +
setgid_group = postdrop
smtp_tls_note_starttls_offer = yes
smtpd_banner = $myhostname ESMTP ispCP 1.0.3 OMEGA Managed
smtpd_data_restrictions = reject_multi_recipient_bounce,                               reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_error_sleep_time = 1s
smtpd_hard_error_limit = 20
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks,                               permit_sasl_authenticated,                               reject_invalid_helo_hostname,                               reject_non_fqdn_helo_hostname
smtpd_recipient_restrictions = reject_non_fqdn_recipient,                               reject_unknown_recipient_domain,                               reject_invalid_hostname,                               reject_non_fqdn_hostname,                               reject_non_fqdn_sender,                               reject_unknown_sender_domain,                               permit_mynetworks,                               permit_sasl_authenticated,                               reject_unauth_destination,                               reject_unlisted_recipient,                               reject_rbl_client mail.bl.blocklist.de,                               reject_rbl_client imap.bl.blocklist.de,                               reject_rbl_client sbl.spamhaus.org,                               reject_rbl_client cbl.abuseat.org,                               reject_rbl_client dul.dnsbl.sorbs.net,                               reject_rbl_client bl.spamcop.net,                               permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = 
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = reject_non_fqdn_sender,                               reject_unknown_sender_domain,                               permit_mynetworks,                               permit_sasl_authenticated
smtpd_soft_error_limit = 10
smtpd_tls_CAfile = /etc/postfix/ssl/ca-bundle.crt
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem
smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_prng_update_period = 3600s
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/ispcp/transport
virtual_alias_maps = hash:/etc/postfix/ispcp/aliases
virtual_gid_maps = static:8
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_domains = hash:/etc/postfix/ispcp/domains
virtual_mailbox_limit = 0
virtual_mailbox_maps = hash:/etc/postfix/ispcp/mailboxes
virtual_minimum_uid = 1001
virtual_transport = virtual
virtual_uid_maps = static:1001

[fulltilt]

Code: Select all

von: info@rscl.lu (dieses konto habe ich vor stunden gelöscht)

an: (immer wieder @qq.com mit mehreren cc bcc)
302585985@qq.com 837707283@qq.com 1093571070@qq.com 821520803@qq.com 2465743964@qq.com 598607800@qq.com 1070543707@qq.com 1959594000@qq.com 604525812@qq.com 2860541738@qq.com

[Joe User]

Zunächst fällt auf, dass Du IPv6 nicht konfiguriert aber aktiviert hast.
* Du solltest IPv6 komplett deaktivieren, wenn Du es ohnehin nicht nutzt.

Dann ist das *.local suboptimal bis kontraproduktiv.
* Bitte auf *.local komplett verzichten.

Dein Webmail wird stark frequentiert.
* Bitte Konfiguration, Absicherung und Aktualität prüfen

Insbesondere Deine luxemburgischen Kunden scheinen mit dem gleichen Client parallel mehrere Mailboxen unterschiedlicher Personen abzufragen.
* Ist das gewollt, oder wurden Kundenaccounts/Kundenrechner gehackt/infiziert?

Ist POP3 heutzutage wirklich noch notwendig?
* Kunden zur IMAP-Nutzung überreden/zwingen.

Sind die Webapps alle uptodate und vernünftig konfiguriert?
* Prüfen und für den Mailversand SMTP-AUTH erzwingen, sendmail verbieten.
* Alternativ einen sendmail-Wrapper mit Loggingfunktionen einrichten

Für SMTP und IMAP/POP3 jeweils TLS und AUTH erzwingen, auch für lokale Verbindungen.



Du musst quasi Dein gesamtes Mailsystem von Grund auf neu aufbauen und Dich intensiv mit den jeweiigen Konfigurationen und Dokumentationen auseinandersetzen. Zudem ist zu prüfen, inwieweit das Adminpanel dieses zulässt.

BTW Adminpanel: Ist das Ding uptodate und abgesichert?

[fulltilt]

danke für deine hilfe und dass du dir die zeit genommen hast!
beim panel bzw. ispcp ist alles aktuell bis auf pma, auch php ist soweit gut abgesichert ...
ich werde alles was postfix betrifft neu aufsetzen und auch die zertifikate neu erstellen
hatte auch bereits daran gedacht das es von einem infizierten kundenrechner oder einem formular kommt ... habe 2 webs testweise gesperrt und beobachte die apache logs weiter ...
die letzten 90min ist die mail queue OK, in den maillogs sehe ich zwar noch einige rejects aber sieht wieder gut aus nachdem die beiden kundenwebs gesperrt sind (2x joomla) muss ich mir noch genauer anschauen ...

[ddm3ve]

Ohoh, Joomla.
Ich hab nen Joomla Honeypot immer wenn Lücken bekannt werden tummeln sich relativ schnelle neue User auf dem System.

Ich würde mich davon verabschieden, die Angreifer sind wie schon gesagt extrem fix unterwegs.