Floot von Email-Fehlern ->Hacker?

[prophil]

Hi zusammen,
ich hab da son Server mit dem ich n bissle am rumprobieren bin und mich sozusagen aus dem Labor ins böse Internet wage
Hat auch schon funktioniert.. Der erste Verdacht auf einen missbrauch kam heute auf, als ich meine Emails checkte. zwischen 11:50 und 11:55 kamen 200 Email Fehlmeldungen zurück, von wegen Email-Adresse nicht verfügbar, geblockt etc.. also hat jemand von meinem Rechner aus Emails verschickt. Ich habe lokal auch einen Traffic-Messer (Netmeter), der zeigt mir etwa 1 Gig an seit gestern. Über das Webinterface vom Serveranbieter hab ich aber schon 133GIG verbaucht seit gestern. Find ich jetzt voll doof!
Ich hab dem SMTP Deaktiviert, da der nur testweise benötigt wurde. Das kann doch nicht sein das man den einfach aktiviert und schon kommen hier so sachen. Sonst hab ich nicht viel eingestellt. Viel Standard plus firewall und Antivir. Was könnt ich denn in zukunft machen?
Werd jetzt wohl erstmal das Betriebssystem neu draufspielen lassen

 

[V40]

Hallo,

welches Betriebssystem verwendest du denn?

Welche Art von Fehlermeldungen kommen zurück?

Kannst du in den Logdateien etwas erkennen das dazu geführt hat?

Hast du ein Open-Relay?

 

[mkr]

Ich schätze mal Du verwendest Windows. Windows ist mittlerweile nicht mehr so unsicher, in der Default-Konfiguration passieren solche Sachen nicht einfach so.

Hast Du evtl. einen Test-User mit einem schwachen Passwort eingerichtet gehabt? Über den hätten die Mails versandt werden können.

Vor der Neuinstallation würde ich die wichtigsten Logfiles (bzw. Ereignisprotokoll) sichern und analysieren, vielleicht findest Du so den Fehler.

 

[prophil]

Man seit ihr schnell.. War grad noch am Fakten sammeln und hatte schon mal abgeschickt..
also zu den Fakten:
Win2003 WebEdition Server mit neuesten Updates,
Serv-U für den FTP-Server.. Logs sind sauber,
Dazu hatte ich den SecurityConfigurationWizard durchlaufen lassen..
der hat mir folgende Dienste bestätigt:

Applikation-Server (für IIS denk ich mal)
Mittletier-App-Server
Pop3-Server
SMTP,
SNMP,SNMP Trap
Webserver

War ja eigentlich gut so. Der rest wurde geblockt, bzw. davon geh ich aus, wofür is sonst der WIzard da?

Hab mir jetzt mal den SMTP Server angeschaut: Standardmäßig ist keine Protokollierung (blöd!) und die Authentifizierung steht auf anonym..
Reicht das jetzt damit jeder hier mit meinem Ding Email schicken kann? so war das nicht gedacht. Hab jetzt mal auf lokale IP beschränkt und wieder aktiviert, mal sehen was jetzt passiert:

Zur Fehlermeldung: ich habe in meinem EmailFach Emails von
Postmaster@meinRechnername bekommen. Z.B. solche:

Dies ist eine automatisch erstellte Benachrichtigung +APw-ber den Zustellstatus.

+ANw-bermittlung zu folgenden Empf+AOQ-ngern fehlgeschlagen.

       [email]amber@new-health.com.tw[/email]
und im ANhang die eigentliche Mail:
Von:	"³f«~°e¹F«e¬Ò¦³±M¤H·|¥Î¹q¸Ü³qª¾±z¡A³f«~°e¹Fªº®É¶¡" <kh.chi@msa.hinet.net>
An:	[email]ambrose@ms8.hinet.net[/email]
Betreff:	§Ú§â«e¨Ó±¸Õªº¤k¤l°g«Á¤F,§â¦o¤ªá¤j¸j,¤@ª½¥Î«ö¼¯´Î´¡¦o¨â¥ÞÁ٥θõ³J¨ë¿E³±®Ö,§Ëªº²]¤ô¨g¼QµjÅˤ£°±,³o®É¦A´¡¤J§Ý*Ó¤£°±ªº¤p¥Þ,Åý¦o²n¨ì¦º.
Datum:	Thu, 01. Jan 1970 00:00:02 +0800

In welchen Logdateien muss ich jetzt schauen?
unter Verwaltung- Ereignisanzeige habe ich für jede EMail auch eine entsprechende Warnung aufgelistet:

 Fehler bei der Nachrichtenübermittlung an Remotedomäne 'impac.com.tw'; Ursache: SMTP konnte keine Verbindung zu einem DNS-Server herstellen.

Was ja ok is so..

Was mich halt jetzt stört is das ich immernoch traffic hab.. 4-5kb/sec.. aber up & down.. und zwar unentwegt..

das hab ich in den Logs gefunden:

11:59:57 60.248.233.167 - - 0
11:59:57 59.124.179.68 - - 0
11:59:57 59.124.179.68 QUIT - 0
11:59:57 202.165.108.248 - - 0
11:59:57 220.132.164.42 - - 0
11:59:57 220.132.164.42 MAIL - 0
11:59:57 61.222.9.188 - - 0
11:59:57 60.248.233.167 - - 0
11:59:57 60.248.233.167 MAIL - 0
11:59:57 59.124.179.68 - - 0
11:59:57 202.165.108.248 - - 0
11:59:57 203.133.1.211 - - 0
11:59:57 203.133.1.211 EHLO - 0
11:59:57 220.132.164.42 - - 0
11:59:57 220.132.164.42 RCPT - 0
11:59:57 60.248.233.167 - - 0
11:59:57 60.248.233.167 RCPT - 0
11:59:58 203.133.1.211 - - 0
11:59:58 203.133.1.211 MAIL - 0
11:59:58 60.248.233.167 - - 0
11:59:58 60.248.233.167 RSET - 0
11:59:58 202.165.108.248 - - 0
11:59:58 202.165.108.248 EHLO - 0
11:59:58 220.132.164.42 - - 0
11:59:58 220.132.164.42 RSET - 0
11:59:58 202.165.108.248 - - 0
11:59:58 202.165.108.248 MAIL - 0
11:59:58 203.133.1.211 - - 0
11:59:58 203.133.1.211 RCPT - 0
11:59:58 220.132.164.42 - - 0
11:59:58 220.132.164.42 QUIT - 0
11:59:58 202.165.108.248 - - 0
11:59:58 202.165.108.248 RCPT - 0
11:59:58 203.133.1.211 - - 0
11:59:58 203.133.1.211 RSET - 0

 

[Thorsten]

Hallo!
Ich bin nicht der Windows Spezialist aber Grundsätzlich sträuben sich bei SMTP und annoynm bei mir die Haare. Welcher MTA wird denn bei dir verwendet? Sieht für mich so aus, als würde dein Server als Open Relay mißbraucht.

mfG
Thorsten

 

[prophil]

So, hab windows neu installiert. Habs aber nochmal geprüft. Standardeinstellung von ISS6 SMTP-Server ist anonyme Mails erlauben..
Das hat mich jetzt 130GB Mailtraffic gekostet.. zz..
hab jetzt mercury draufgespielt.
Einerseits find ichs jetzt lustig, denn gleich nach der installation seh ich etwa 20 IPs die versuchen emails zu versenden, und sie alle bekommen eine Fehermeldung.
Andererseits machts mich traurig.. hört das irgendwann auch wieder auf?
Kann man globale IP-Sperren in der Windows-Firewall ändern? bzw welche soll ich jetzt installieren?

MTAs? du meinst die sendenden Clienten? Das wird nicht mitgeschickt... oder ich sehs nicht.. seh nur viel Mail und Reset und Recv oder so

 

[charli]

Hallo,

hört das irgendwann auch wieder auf?

nein, das hat jeder jeden Tag, wenn auch meist nicht so intensiv.

Bei Dir wird es wieder nachlassen, wenn die Spammer merken, daß nix mehr geht.