Server Support Forum
Anzeige:


Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 28.11.2006, 12:45
bigM bigM ist offline
Registered User
 
Registriert seit: 11.2006
Beiträge: 25
Ausrufezeichen Serversperre wegen Spammails! (Server4You)

Hallo,

mir wurde heute eine kostenpflichtige Sperrung meines Servers bei Server4You angedroht, da über meinen Server angeblich eine Menge Spam-Mails verschickt wurden.

Die Original Mail von Server4You ist wie folgt:
Zitat:
Sehr geehrter Kunde,

uns wurde soeben mitgeteilt, dass von Ihrem System unzählige Spammails in unser eigenes Netz versendet werden. Um Ihnen eine kostenpflichtige Sperrung zu ersparen, warnen wir Sie hiermit, den Dienst sofort einzustellen.
Bitte betrachten Sie diese Ticket als ernsthaften Hinweis darauf, dass Ihr System derzeit anscheinend nichtmehr ihrer alleinigen Administration obligt.

Mit freundlichen Grüßen
*********
Da ich Free-Webhosting anbiete und über 330 Accounts derzeit in Benutzung sind, kann ich nicht genau herausfinden, wer den Spam verschickt.

Ich bin total verzweifelt und weiß mir nicht zu helfen...

Folgendes steht in meinen Logs (und noch mehr):

/var/log/mail
Code:
Nov 28 11:02:44 golf4xx postfix/qmgr[25381]: D431D526A6: from=<wwwrun@golf4xx.server4you.de>, size=330, nrcpt=1 (queue active)
Nov 28 11:02:44 golf4xx postfix/qmgr[25381]: D6C06525AA: from=<wwwrun@golf4xx.server4you.de>, size=330, nrcpt=1 (queue active)
Diese Zeilen sind hundertfach oder tausendfach vorhanden!

Code:
Nov 28 11:03:27 golf4xx postfix/qmgr[25381]: 49A5D530C5: to=<info@*****.de>, relay=none, delay=127945, status=deferred (delivery temporarily suspended: connect to mail.*****.de[85.13.xxx.xxx]: Connection timed out)
Nov 28 11:03:27 golf4xx postfix/qmgr[25381]: 4F977530C6: to=<info@*****.de>, relay=none, delay=127945, status=deferred (delivery temporarily suspended: connect to mail.rapcommunity.de[85.13.xxx.xxx]: Connection timed out)
Diese Zeilen sind ebenfalls hundertfach oder tausendfach vorhanden!

Ich habe den Servernamen, IP und die Domain zensiert, hoffe das ist ok.


/var/log/mail.err
Code:
Nov 17 22:35:32 golf4xx postfix/sendmail[27657]: fatal: No recipient addresses found in message header
Nov 19 17:04:38 golf4xx pop3d: DISCONNECTED, user=web1p1, ip=[::ffff:88.64.xxx.xx], top=0, retr=0, time=0
Nov 20 05:52:44 golf4xx postfix/sendmail[7386]: fatal: No recipient addresses found in message header
Nov 21 18:48:56 golf4xx imapd: DISCONNECTED, ip=[::ffff:64.107.xxx.xx], time=0
Nov 25 07:53:43 golf4xx pop3d: DISCONNECTED, user=web2p1, ip=[::ffff:84.132.xxx.xxx], top=0, retr=0, time=9
Nov 26 10:27:52 golf4xx pop3d: DISCONNECTED, user=web1p1, ip=[::ffff:84.56.xxx.xxx], top=0, retr=0, time=0
Nov 27 15:06:41 golf4xx pop3d: DISCONNECTED, user=web2p1, ip=[::ffff:84.132.xxx.xxx], top=0, retr=0, time=4
Nov 27 17:19:13 golf4xx imapd: DISCONNECTED, ip=[::ffff:80.237.xxx.xx], time=0
Nov 27 19:31:58 golf4xx imapd: DISCONNECTED, ip=[::ffff:87.106.xx.xx], time=0
Nov 27 19:46:58 golf4xx imapd: DISCONNECTED, ip=[::ffff:67.15.xx.xx], time=0
Nov 27 21:16:28 golf4xx pop3d: DISCONNECTED, user=web2p1, ip=[::ffff:84.132.xxx.xx], top=0, retr=0, time=6
/var/log/mail.warn
Code:
Nov 28 09:47:40 golf4xx postfix/smtpd[30036]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 09:50:25 golf4xx postfix/smtpd[30154]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: mail for *******.de is using up 4001 of 4001 active queue entries
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: you may need to reduce smtp connect and helo timeouts
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: so that Postfix quickly skips unavailable hosts
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: you may need to increase the main.cf minimal_backoff_time and maximal_backoff_time
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: so that Postfix wastes less time on undeliverable mail
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: you may need to increase the master.cf smtp process limit
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: please avoid flushing the whole queue when you have
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: lots of deferred mail, that is bad for performance
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 28 10:05:24 golf4xx postfix/smtpd[30737]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 10:09:27 golf4xx postfix/smtpd[30830]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 10:12:46 golf4xx postfix/smtpd[30830]: warning: 210.1.96.44: hostname ppp44.dyn1.96.pacific.net.ph verification failed: Name or service not known
Nov 28 10:27:20 golf4xx postfix/smtpd[31560]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 10:37:15 golf4xx postfix/smtpd[31836]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 10:41:15 golf4xx postfix/smtpd[31958]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:01:28 golf4xx postfix/smtpd[32471]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: mail for *******.de is using up 4001 of 4001 active queue entries
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: you may need to reduce smtp connect and helo timeouts
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: so that Postfix quickly skips unavailable hosts
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: you may need to increase the main.cf minimal_backoff_time and maximal_backoff_time
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: so that Postfix wastes less time on undeliverable mail
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: you may need to increase the master.cf smtp process limit
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: please avoid flushing the whole queue when you have
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: lots of deferred mail, that is bad for performance
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 28 11:30:29 golf4xx postfix/smtpd[1161]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:42:05 golf4xx postfix/smtpd[1577]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:44:02 golf4xx postfix/smtpd[1636]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:57:21 golf4xx postfix/smtpd[2260]: warning: 59.183.136.40: hostname triband-mum-59.183.136.40.mtnl.net.in verification failed: Name or service not known
Nov 28 11:57:50 golf4xx postfix/smtpd[2270]: warning: 59.183.136.40: hostname triband-mum-59.183.136.40.mtnl.net.in verification failed: Name or service not known
Nov 28 11:57:51 golf4xx postfix/smtpd[2270]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 12:06:48 golf4xx postfix/smtpd[2598]: warning: 59.183.136.40: hostname triband-mum-59.183.136.40.mtnl.net.in verification failed: Name or service not known
Nov 28 12:06:49 golf4xx postfix/smtpd[2598]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 12:23:07 golf4xx postfix/smtpd[3441]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 12:23:16 golf4xx postfix/smtpd[3360]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Die mail.warn sieht mir sehr verdächtig aus, allerdings weiß ich nicht was zu tun ist.

Wie kann ich ein Script aufspüren, dass diese Mails verschickt hat? Oder kann ich irgendwie die IP herausfinden und / oder bestimmte Empfänger auf eine blacklist setzen?

Es werden anscheinend hunderte von mails an den selben empfänger geschickt....

Bitte um Ratschläge und Hilfe.

MfG
bigM
Mit Zitat antworten

  #2  
Alt 28.11.2006, 12:56
Da:Sourcerer Da:Sourcerer ist offline
Registered User
 
Registriert seit: 11.2006
Beiträge: 13
Hallo,

erste Sofortmaßnahme: Postfix abschalten. Des weiteren weißt
Zitat:
Zitat von bigM Beitrag anzeigen
Code:
Nov 28 11:02:44 golf4xx postfix/qmgr[25381]: D431D526A6: from=<wwwrun@golf4xx.server4you.de>, size=330, nrcpt=1 (queue active)
Nov 28 11:02:44 golf4xx postfix/qmgr[25381]: D6C06525AA: from=<wwwrun@golf4xx.server4you.de>, size=330, nrcpt=1 (queue active)
darauf hin, dass du wohl ein unsicheres Script auf deinem Webserver liegen hast. Guck mal in /tmp nach, ob sich da etwas ausführbares befindet.
Mit Zitat antworten
  #3  
Alt 28.11.2006, 13:06
bigM bigM ist offline
Registered User
 
Registriert seit: 11.2006
Beiträge: 25
Hallo,

es ist mir peinlich das zu sagen, aber ich weiß nicht wie ich postfix abschalten kann... ein Link wäre hilfreich oder ein Hinweis... sry

In dem Ordner tmp befinden sich eigentlich keine ausführbare Dateien, jedoch liegen dort so eine Art sessions herum:


Danke!

MfG
bigM

EDIT: Muss ich was bestimmtes in der /etc/postfix/main.cf ändern?
Miniaturansicht angehängter Grafiken
-screenshotty1.jpg  

Geändert von Thorsten (04.09.2012 um 16:34 Uhr)
Mit Zitat antworten
  #4  
Alt 28.11.2006, 13:12
Da:Sourcerer Da:Sourcerer ist offline
Registered User
 
Registriert seit: 11.2006
Beiträge: 13
Sessions sind in /tmp nichts ungewöhnliches. Mach erstmal /etc/init.d/postfix stop, damit sollte sich postifx herunterfahren.
Mit Zitat antworten
  #5  
Alt 28.11.2006, 13:14
bigM bigM ist offline
Registered User
 
Registriert seit: 11.2006
Beiträge: 25
Okay, erledigt.

golf4xx:/etc/init.d # postfix stop
postfix/postfix-script: stopping the Postfix mail system
golf4xx:/etc/init.d #

Wie sollte ich nun weiter verfahren?
Mit Zitat antworten
  #6  
Alt 28.11.2006, 13:38
Da:Sourcerer Da:Sourcerer ist offline
Registered User
 
Registriert seit: 11.2006
Beiträge: 13
1.) Herausfinden, wo Postfix seine Queue ablegt und diese leeren (möglichst nur die "bösen" mails)
2.) Mal ein wenig in den Apache-Logs herumgucken, ob sich da was interessantes findet (insbesondere um den Sonntag herum, wo das ganze bei dir ja anscheinend angefangen hat)
3.) Mal den Rootkit Hunter über deine Maschine laufen lassen.

Geändert von Da:Sourcerer (28.11.2006 um 13:40 Uhr)
Mit Zitat antworten
  #7  
Alt 28.11.2006, 14:37
bigM bigM ist offline
Registered User
 
Registriert seit: 11.2006
Beiträge: 25
Danke für die Antwort.

Ich bin gerade dabei zu suchen, wo sich die Mail Queue befindet.

Im Verzeichnis /var/spool/postfix/ befinden sich verschiedene Ordner unter anderem auch "defer und deferred".

In den Ordnern befinden sich jeweils 15.975 in jeweils 16 Ordner.

Die Dateien nennen sich:

0A0B452040
0A1B552093

usw.

Ist das meine Queue? Wenn ja, kann ich das einfach so löschen? Der Inhalt so relativ der gleiche wie in meiner "mail log".

Der Ordner maildrop scheint postfix die Mails zu speichern, die jetzt ohne postfix nicht gesendet werden können, kann das sein?

Danke für deine Hilfe!

MfG
bigM

PS: Den RootKit Finder lass ich heute auch mal drüber laufen
Mit Zitat antworten
  #8  
Alt 28.11.2006, 14:51
Sinepp Sinepp ist offline
Registered User
 
Registriert seit: 02.2006
Alter: 33
Beiträge: 535
Wenn sich herausstellt, dass Du kein rootkit (laut dem Programm) drauf hast, würde ich darauf nicht vertrauen und sehr genau den Apache log durchgehen, die Verzeichnisgrößen checken, ob irgendwo vielleicht ein wenig Zeug liegt.

Ist ein SMTP Account gehackt worden, dann würde es normalerweise reichen diesem ein neues Passwort zu geben. Die Erfahrung lehrt, dass wenn der Rechner wirklich geknackt wurde nur ein vollständiges Neuaufsetzen hilft...
Mit Zitat antworten
  #9  
Alt 28.11.2006, 15:06
Benutzerbild von Firewire2002
Firewire2002 Firewire2002 ist offline
Registered User
 
Registriert seit: 02.2006
Ort: Hürth
Beiträge: 4.389
An die Mail Queue kommst du mit dem Befehl
Code:
mailq
Mit Zitat antworten
  #10  
Alt 28.11.2006, 15:16
bigM bigM ist offline
Registered User
 
Registriert seit: 11.2006
Beiträge: 25
Ja, nun rattern da alle 15.975 Mails durch... lol ^^

Ich habs abgebrochen, also das was ich da nun gesehen habe, scheint der selbe Inhalt zu sein wie in den ganzen Dateien unter defer und deferred.

Kann ich die nun löschen oder wie ist normalerweise die vorgehensweise?
Mit Zitat antworten
  #11  
Alt 04.12.2006, 11:38
schlusenbach schlusenbach ist offline
Registered User
 
Registriert seit: 01.2006
Beiträge: 23
Zitat:
Zitat von bigM Beitrag anzeigen
Kann ich die nun löschen oder wie ist normalerweise die vorgehensweise?
postsuper -d ALL (und nicht anders)
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Probleme Server4You Schaffy Vertragsfragen 13 12.10.2010 10:33
Meine Erfahrungen mit Server4you - Vorsicht, langer Bericht Notebooktasche Vertragsfragen 10 28.10.2006 01:50
Server4You Rechnung, Kündigung, ... LordTux Vertragsfragen 24 12.09.2006 11:05
Server4you Erfahrungsbericht DerFalk Smalltalk 74 04.09.2006 10:36
vserver Server4You Standartdomainänderung - SSL Certifikate OJAY Virtuelle Server 2 17.11.2004 20:39





Powered by vBulletin® Version 3.8.8 (Deutsch)
Copyright ©2000 - 2014, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2014 DragonByte Technologies Ltd.
System Monitoring by Bloonix