• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Hilfe - Spamversand über meinen vServer

Klaus

Registered User
Hallo,

ich habe seit einiger Zeit einen vServer bei server4you und habe kürzlich festgestellt, dass in der Installation eine Lücke war - da ging einiges an Spam über den Rechner. Also habe ich alle Daten gesichert und am Wochenende eine Neuinstallation gemacht und alles neu eingerichtet. Sämtliche Passworte neu, alte Webseiten zurückgespielt. Und trotzdem wird mein Server weiter als Spamschleuder missbraucht, gestern waren über 30.000 Einträge in der Mailqueue.

Ich habe jetzt openSuse 10.3 und Plesk, Qmail für die Mails. Sowohl qmail als auch Plesk sind neu für mich, da muss ich mich in die Bedienung erst einarbeiten.

Firewall ist aktiviert auf 'webserver only'. Und ich habe qmail erstmal gestoppt, um das ganze zu analysieren.

Der OpenRelay Test sagt: "Error - could not connect to server"

Der letzte Ausschnitt aus der mail.info ist:
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: to=pistolitas99@hotmail.com
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: to=pistolpete33us@yahoo.com
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: hook_dir = '/var/qmail//handlers/before-queue'
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: recipient[3] = 'pistolgambling@hotmail.com'
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: handlers dir = '/var/qmail//handlers/before-queue/recipient/pistolgambling@hotmail.com'
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: recipient[4] = 'pistolitas99@hotmail.com'
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: handlers dir = '/var/qmail//handlers/before-queue/recipient/pistolitas99@hotmail.com'
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: recipient[5] = 'pistolpete33us@yahoo.com'
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: handlers dir = '/var/qmail//handlers/before-queue/recipient/pistolpete33us@yahoo.com'
Sep 23 21:37:56 vs148016 qmail-queue-handlers[28128]: starter: submitter[28129] exited normally

Kommt da jetzt noch was von außen rein? Läuft iregndwass auf dem Rechner, das Spam verschickt? Wie finde ich das?

besten Dank für alle Tipps
Klaus
 
Da könnte das Problem liegen (und die Lücke). So ist bspw. phpBB in älteren Versionen unsicher und erlaubt genau diese Art von Mißbrauch.

Das war scheinbar der richtige Ansatz - phpBB oder anderes habe ich nicht drauf, nur eigene Sachen. Aber jemand hat mir da ein paar Dateien untergeschoben mit Namen wie 'logo.php'. Und die haben Mails verschickt - zwei habe ich gefunden und gelöscht, seitdem ist Ruhe in den Logdateien...
 
Dein server wurde gehackt, oder deine clients.
Oder deine clients spammen rum, an anderen kanns ja nicht liegen! Oder deine webseiten, oder webseiten von deinen clients, haben rfi bugs, und die angreifer nutzen bestimmt nen php mailer, und executen den gleichen auf deinen server über deine page usw...
Peace
 
Last edited by a moderator:
Dieser Test macht natürlich nur Sinn, wenn der Mailserver auch überhaupt erreichbar ist ;)

Sollte er im Moment nicht, weil die Firewall ihn ja sperrt. Damit ist die Fehlermeldung ein Zeichen, dass die Firewall aktiv ist und funktioniert.

In der Nacht sind auch keine weiteren Meldungen in der Logdatei dazugekommen. Dafür funktionieren jetzt mein in Plesk eingerichteten Mailweiterleitungen nicht mehr..
 
In der Nacht sind auch keine weiteren Meldungen in der Logdatei dazugekommen. Dafür funktionieren jetzt mein in Plesk eingerichteten Mailweiterleitungen nicht mehr..

Was auch ziemlich logisch ist, denn mein letzter Stand ist dein Zitat: "Firewall ist aktiviert auf 'webserver only'. Und ich habe qmail erstmal gestoppt, um das ganze zu analysieren."

Wie sollen Mailweiterleitungen funktionieren, wenn qmail gestoppt ist?

Nächste Frage: Macht die Firewall bei "webserver only" Port 25 vielleicht komplett dicht?

Gruß
Claus
 
Was auch ziemlich logisch ist, denn mein letzter Stand ist dein Zitat: "Firewall ist aktiviert auf 'webserver only'. Und ich habe qmail erstmal gestoppt, um das ganze zu analysieren."

Wie sollen Mailweiterleitungen funktionieren, wenn qmail gestoppt ist?
QMail läuft schon wieder, daran lag es nicht. Ich hab mal eine Mail-Weiterleitung gelöscht und neu angelegt, seitdem geht es wieder. Ich hab wohl bei meinen Versuchen gestern irgendwas verstellt, was durch das Neuanlegen einer Weiterleitung behoben ist. Denn jetzt gehen wieder alle.
Und damit läuft im Moment auch alles rund, ich schaue aber die nächste Zeit nochmal genau hin, ob sich doch noch irgendwas versteckt.

Besten Dank jedenfalls für alle Tipps und Hilfen.
 
Back
Top