CBL Blacklist Probleme

B

Bodychoice

New Member
Hallo,

wir brauchen etwas externe Hilfe... Wir betreiben seit 2008 einen Email Service.

Mitlerweile werden 2500 Mails am Tag über den Dienst versendet davon 1000 über Clients wie IPhone oder PC. Wir verwenden natürlich einen seperaten Mailserver auf dem Apache und MYSQL ausgeschalten sind, weiterhin gibt es dort auch nur unseren eigenen Mailserver und kein Postfix mehr.

Wir hatten vor 2 Monaten schonmal ein Problem mit einem nicht zu indentifizierbaren Spammer, damals standen wir auch regelmäßig auf der Blocklist bis gar nichts mehr ging. Haben dann den Server neu aufgesetzt die IP geändert und dann war wieder 2 Monate ruhe bis vor 2 Tagen der Server wieder das erste mal auf der CBL stand. Seitdem wird er alle 3-6 Stunden erneut gelistet, es ist also ein Problem welches Akut und gegenwätig ist.

In den Logfiles ist nichts zu finden, der einzige Anhaltspunkt das da was nicht i.o sein könnte mit dem Server ist folgende lsof Port 25 Ausgabe, hier ist zu bemerken das unser Mailserver auf einem User webX läuft und nicht über root außerdem war dieser abgeschaltet beim Prüfen des Port 25:

sshd 30043 root 13u IPv4 6253159 0t0 TCP mail.meinserver.de:52758->mx0.gmx.com:smtp (FIN_WAIT2)
sshd 32231 root 6u IPv4 6255468 0t0 TCP mail.meinserver.de:41890->mail81.messagelabs.com:smtp (ESTABLISHED)
sshd 32231 root 7u IPv4 6255973 0t0 TCP mail.meinserver.de:51594->mail.pmasolutions.com.au:smtp (ESTABLISHED)

so sieht der aus wenn der über den Mailserver läuft:

b1gmailse 4829 web2 0u IPv4 6256344 0t0 TCP mail.meinserver.de:smtp->mx05.my-hammer.de:54934 (ESTABLISHED)

Wäre schön wenn mir jemand ein paar Gedankenanstöße gäbe
 
weiterhin gibt es dort auch nur unseren eigenen Mailserver und kein Postfix mehr.
Click to expand...
Definier "eigenen Mailserver". Ich nehme mal nicht an dass ihr das komplette SMTP-Protokoll inklusive lokaler Verwaltung und Schnittstellen selbstgebaut habt.

Haben dann den Server neu aufgesetzt die IP geändert und dann war wieder 2 Monate ruhe bis vor 2 Tagen der Server wieder das erste mal auf der CBL stand.
Click to expand...
Fast alle Blocklists geben detaillierte Auskunft weshalb gelistet wurde.
Weder Neuinstallation noch IP-Änderung (WTF!) haben in der Regel irgendwelche Auswirkung auf Spamversand - oder wurde die ganze Machine gekapert?

In den Logfiles ist nichts zu finden, der einzige Anhaltspunkt das da was nicht i.o sein könnte
Click to expand...
Das und anderes deutet darauf hin dass ein anderes Programm die Mails verschickt. Jedes Programm hat standardmässig die Erlaubnis PORT-25 ausgehend zu öffnen.
Eine erste Möglichkeit zum Stop wäre 25 ausgehend nur für den Besitzer des Mailservers zu erlauben.

und nicht über root
Click to expand...
Willst du damit sagen dass euer Mailserver als root(!!) läuft :eek:


Alles in allem klingt es als ob hier definitiv Wissen bezgl. Mailserver fehlt und dringend entweder nachgeholt, in Form eines Sysadmin eingekauft oder an Managed-Anbieter ausgelagert werden sollte.
Ich hoffe mal der Mailserver ist solange das Problem nicht behoben wird komplett vom Netz?
 
Nein der "eigene Mailserver" ist B1gmailserver also von b1g passend zu Software.

Nein user ist "web2" aber wie in den logs ersichtlich wird trotzdessen das der Mailserver ausgeschaltet ist Mails versendet siehe oben.

Nein es handelt sich dabei nicht um eine SPAMBlockliste im eigentlichen Sinne sondern irgendwo in unserem Netzwerk ist ein BOT/Wurm oder Virus der Mails versendet...es gibt keinerlei Header oder Anhaltspunkte und auch keine Spammails.

Die CBL ist was spezielles, wo anders gibt es keinen Block und auch keine Abuse kommt rein...

Wenn es so einfach wäre aber hier geht es nicht wirklich um einen Spammer sondern vielmehr um einen User dessen Rechner vermutlich mit einer Maleware oder was auch immer infiziert ist und das raubt mir gerade meinen letzten Nerv, mein provider kann nicht helfen, der Mailserveranbieter meint ich soll ich logs schauen (wo ja nix ist) und die CBL sagt, verschwende nicht die Zeit in den logs zu suchen den der Bot nutzt nicht deinen Mailserver...

Ich blick das nicht, ich würde ja gern mal jemaden beauftragen der mir die Kiste absichert aber so wie ich weiß stand gmx und t-online auch immermal wieder auf der CBL

http://cbl.abuseat.org/advanced.html
 
Bodychoice said:
sshd 30043 root 13u IPv4 6253159 0t0 TCP mail.meinserver.de:52758->mx0.gmx.com:smtp (FIN_WAIT2)
sshd 32231 root 6u IPv4 6255468 0t0 TCP mail.meinserver.de:41890->mail81.messagelabs.com:smtp (ESTABLISHED)
sshd 32231 root 7u IPv4 6255973 0t0 TCP mail.meinserver.de:51594->mail.pmasolutions.com.au:smtp (ESTABLISHED)
Click to expand...

Wenn solche Einträge erneut in der Ausgabe von lsof zu finden sind, prüfe um welches Programm es sich handelt, von wem es aufgerufen wurde und, wenn es aus einem Softwarepaket stammt, ob es modifiziert worden ist.

Der vermeintliche Programmname ist "sshd" aber welches Programm es wirklich ist kannst Du über den Eintrag /proc/<PID>/exe prüfen. Die Prozess-ID PID ist der Eintrag in der zweiten Spalte.
 
mmmh danke, wie muss ich die Ausgabe nutzen...

Hab hier mal sshd grep gemacht, das sind ziemlich viele :eek:

root@mail:~# ps aux | grep sshd
root 1918 0.0 0.0 49208 1164 ? Ss Dec12 0:00 /usr/sbin/sshd
root 5253 0.0 0.0 52212 3408 ? Ss 10:45 0:00 sshd: root
root 7798 0.0 0.0 51912 3068 ? Ss 10:57 0:00 sshd: root@notty
root 9083 0.0 0.0 52296 3520 ? Ss 11:03 0:00 sshd: root
root 9763 0.0 0.0 53324 4380 ? Ss 11:06 0:00 sshd: root
root 10948 0.0 0.0 70528 3396 ? Ss 11:10 0:00 sshd: root@pts/2
root 12334 0.0 0.0 52028 3240 ? Ss 11:15 0:00 sshd: root
root 13303 0.0 0.0 9616 924 pts/2 S+ 11:18 0:00 grep sshd
root 20028 0.0 0.0 52236 3496 ? Ss 09:29 0:01 sshd: root@notty
root 25623 0.0 0.0 51900 3064 ? Ss 09:53 0:00 sshd: root@notty <--- PID von der lsof :25 Ausgabe


gestern hat bei HOTMAIL nun auch eingeschlagen HELO: mailserver.localhost.com:

46.182.21.37 12/11/2012 8:00 AM -
12/12/2012 8:00 AM 84480 75194 75194 RED < 0.1% 12/11/2012 8:15 AM -
12/12/2012 7:35 AM 45 mailserver.localhost.com merry_poker@merry-poker.org BODY=8BITMIME
 
Last edited by a moderator:
Bodychoice said:
mmmh danke, wie muss ich die Ausgabe nutzen...
Click to expand...
Meintest Du mich?

Die Ausgabe von ps hatte mich nicht interessiert. Ich würde als erstes über den Eintrag im proc-Filesystem prüfen, ob das ausgeführte Programm wirklich der SSH-Daemon ist. Wenn ja, dann wäre es möglich das ssh als Portforwarder missbraucht wird und dann sollte es in der Ausgabe von lsof eine zweite TCP-Verbindung zu dem sshd Prozess zu finden sein.
 
Hallo, mmmh also ich weiß nicht wie ich diese zeile benutzen muss

/proc/<PID>/exe wenn ich anstatt PID die Nummer eingebe oder ganz die Nummer ohne die Klammern kommt immer das PID oder 26132 nicht gefunden werden kann, das wird ja nicht die richtige ausgabe sein...

Wenn ich nur /proc/<PID>/exe eingebe kommt gar nix, hab Debian drauf
 
mein provider kann nicht helfen
Click to expand...
Ich bin mir ziemlich sicher dass er könnte =) Er will nur nicht, es ist ja deine Aufgabe und nicht seine.
verschwende nicht die Zeit in den logs zu suchen den der Bot nutzt nicht deinen Mailserver...
Click to expand...
Da hat er recht.

Die CBL ist was spezielles, wo anders gibt es keinen Block und auch keine Abuse kommt rein...
Click to expand...
Das kann alles noch kommen. Die meisten Mailserver sollten deine Emails aber noch annehmen wenn du nur auf einer einzigen DNSBL stehst, fast alle nehmen sich nämlich die Warnung der Anbieter zu Herzen nicht sich auf eine Liste zu beschränken.

PID oder 26132 nicht gefunden werden kann, das wird ja nicht die richtige ausgabe sein...
Click to expand...
Dann ist der Prozess schon gestorben bevor du es eingetippt hast.

Falls wirklich ein _root_-Prozess die Emails versendet hast du ein Problem; höchstwahrscheinlich ist die Machine infiziert. Dann stellt sich aber die Frage wie es kommen kann dass deine Machine 2x hintereinander infiziert wird. Wenn man davon ausgeht dass du kein grösseres Sicherheitsloch hast wäre dein eigener Rechner mit einem Virus verseucht der das Passwort oder das Keyfile an seinen Herrn und Meister übermittelt.
Versuch mal eine Bitdefender Rescue CD auf deinem Rechner zu booten.

Falls es kein Root-Prozess ist, so solltest du wie gesagt ausgehend Port25 für alle ausser den Mailserver und root blockieren sowie loggen. Damit findest du schnell den Schuldigen.
 
Erstmal vielen Dank für die Hilfe... die Ausgabe der /proc/25208/exe
z.B. bringt nix da kommt nicht nur wieder neue eingabe, ich habe auch geprüft ob die PID immernoch auftaucht und in der tat ist sie in lsof noch da

sshd 25208 root 7u IPv4 1599160 0t0 TCP mail.emailn.de:42172->fa-in-f26.1e100.net:smtp (ESTABLISHED)
sshd 25208 root 8u IPv4 1599174 0t0 TCP mail.emailn.de:42174->fa-in-f26.1e100.net:smtp (ESTABLISHED)
sshd 25208 root 9u IPv4 1536240 0t0 TCP mail.emailn.de:41644->mx0.gmx.com:smtp (FIN_WAIT2)

SSH habe ich für root ausgeschaltet... Ich hatte immer das Gefühl das die SSH Keys liegt, mein provider geht da immer einfach so drauf
 
Last edited by a moderator:
Bodychoice said:
mein provider geht da immer einfach so drauf
Click to expand...

Bitte? Sofort den Anbieter wechseln!



Zum Problem: Da die Prozesse als root ausgeführt werden (UID 0 lässt sich nicht faken), ist das System definitiv offen. Somit ist es auch vollkommen egal in welchem Script die Prozesse ihren Ursprung haben, denn dem System als Solchem ist ohnehin nicht mehr zu vertrauen.
Also das Einfallstor aufspüren, dokumentieren, System ohne Einfallstor neu aufsetzen und sich künftig besser ums System kümmern.

BTW: Unbenötigte Dienste, Apps und Libs deaktiviert man nicht einfach, sondern man installiert sie gar nicht erst.
 
Am liebsten würde ich da jemanden beauftragen der mir bei der Identifizierung hilft, denn ich weiß echt nicht mehr weiter. Nun ich hab 3 andere Rechner im Netzwerk 2 interne Server für MYSQL und den Storage sowie den seperaten Webserver der aber auch über den Mailserver sendet. Den Webserver hab ich auch schon geprüft da lauscht auch nix auf 25 und auch der rkhunter etc war negativ. Ich such noch eine Möglichkeit den Port 25 nur auf den Mailserver zu binden und alle anderen Verbindungen von Port 25 über die Firewall auszusperren so das nur noch b1gmailserver den 25er nutzen kann, bislang ohne Erfolg, IP tables geht ja nur für seperate IP den Port 25 an einen speziellen und nur diesen Dienst zu binden gibt mir Rätsel auf ggrrrrr ich hasse das
 
Last edited by a moderator:
rkhunter etc war negativ
Click to expand...
Einem rkhunter im laufenden Betrieb zu vertrauen ist wie den Produktvergleichen zur Konkurrenz eines Herstellers zu vertrauen; es _könnte_ ehrlich sein aber es ist zu einfach es zu fälschen.

IP tables geht ja nur für seperate IP den Port 25 an einen speziellen und nur diesen Diest zu binden
Click to expand...
Natürlich geht es auch ohne separate IP. Man muss nur wissen wie - etwas was dir leider (noch) in einigen Punkten zu fehlen scheint.
Das folgende sollte dir darin helfen: (ungetestet)
Code: 
iptables -I OUTPUT -p tcp --dport 25 -j DROP
iptables -I OUTPUT -p tcp --dport 25 -m owner --uid-owner b1gmailserver -j ACCEPT
iptables -I INPUT -i lo -p tcp --dport 25 -j DROP
iptables -I INPUT -i lo -p tcp --dport 25 -m owner --uid-owner root -j ACCEPT
iptables -I INPUT -i lo -p tcp --dport 25 -m owner --uid-owner b1gmailserver -j ACCEPT

Beachte aber dass iptables nicht oder nur höchstens sehr temporär gegen einen infizierten Server wirkt.
Lass folgenden Bash-Einzeiler mal für paar Minuten laufen (Achtung; hoher Ressourcenverbrauch ist normal)
Sicherstellen dass das Programm "lsof" auf dem System vorhanden ist!
Code: 
while [ true ]; do lsof -nP -i :25 >> maillog.txt ; date >>  maillog.txt ;echo -n "."; done
Dann bitte die resultierende maillog.txt anhängen oder per PN einen Link dazu schicken.
 
Last edited by a moderator:
exim4 2203 Debian-exim 3u IPv4 6274 0t0 TCP localhost:smtp (LISTEN)
exim4 2203 Debian-exim 5u IPv6 22372 0t0 TCP ip6-localhost:smtp (LISTEN)


ist jetzt noch alles, exim hab ich runtergeschmissen, die maillog erstelle ich jetzt
 
You must log in or register to reply here.
Back
Top