iptables: Block port 25, src=my_vserver.stratoserver.net
- Thread starter reinerotto
- Start date
Bitte? Also Strato hostet nicht erst seit gestern Vserver. Eine solche Sicherheitslücke darf überhaupt nicht existieren. Und ich zweifle daran das die von dir beschriebene Lücke wirklich existiert. Du hast ein Problem auf deinem System und da hilft es nichts die Schuld auf Strato zu schieben.
reinerotto
New Member
DEFINITIV weiss ich nicht, dass die connects NICHT von localhost kommen.
Aber Du nimmst das auch nur an.
Also, Preisfrage: Wie kann ich das definitiv abklären ?
Die JAVA-Anwendung ist übrigens "custom made", läuft schon seit Monaten unverändert. Die SPAMS kommen erst seit ca 14 Tagen so rein.
reinerotto
New Member
Welcher Prozess der Liste ?
reinerotto
New Member
Mit meiner Open Proxy Idee lag ich da aber wohl auch nicht so weit weg.
Code:tcp 0 0 127.0.0.1:8083 0.0.0.0:* LISTEN 31931/(squid)
Sorry, wo ist da das Problem ?
wstuermer
Active Member
Hi,
bist Du lernwillig? Wenn ja, nimm unsere Hinweise auch mal an, anstatt permanent die Schuld auf wen anders zu schieben.
Dein Logfile-Auszug sagt mehr als deutlich, dass die Mails von 127.0.0.1 kommen. Diese IP ist in 99,99999999% der Fälle nicht geroutet, ergo kann die auch keiner spoofen.
Wenn Du denn mal so freundlich wärst, die IP deines Servers zu offenbaren, werde ich nach bisherigem Informationsstand innerhalb von 2 Minuten in der Lage sein, dir zu sagen, ob Du (unfreiwillig) einen OpenProxy betreibst, oder nicht.
Also poste bitte mal deine IP oder kümmer dich bitte ASAP um die Sicherheit deines Servers. Die allgemeine Sicherheit scheint momentan nicht gegeben zu sein.
-W
bist Du lernwillig? Wenn ja, nimm unsere Hinweise auch mal an, anstatt permanent die Schuld auf wen anders zu schieben.
Dein Logfile-Auszug sagt mehr als deutlich, dass die Mails von 127.0.0.1 kommen. Diese IP ist in 99,99999999% der Fälle nicht geroutet, ergo kann die auch keiner spoofen.
Wenn Du denn mal so freundlich wärst, die IP deines Servers zu offenbaren, werde ich nach bisherigem Informationsstand innerhalb von 2 Minuten in der Lage sein, dir zu sagen, ob Du (unfreiwillig) einen OpenProxy betreibst, oder nicht.
Also poste bitte mal deine IP oder kümmer dich bitte ASAP um die Sicherheit deines Servers. Die allgemeine Sicherheit scheint momentan nicht gegeben zu sein.
-W
reinerotto
New Member
Aber ja doch. Schau mal in PM. Möchte IP nicht so publizieren.
wstuermer
Active Member
Hi,
Du has KEINEN OpenProxy.
Was nun noch im Raum steht ist die Vermutung von Firewire2002, dass Deine Java-Application auf Port 7999 für das Fehlverhalten verantwortlich ist.
Wie gesagt, stoppe bitte die dahinter laufende Applikation und prüfe, ob das Problem weiterhin auftritt.
-W
Du has KEINEN OpenProxy.
Was nun noch im Raum steht ist die Vermutung von Firewire2002, dass Deine Java-Application auf Port 7999 für das Fehlverhalten verantwortlich ist.
Wie gesagt, stoppe bitte die dahinter laufende Applikation und prüfe, ob das Problem weiterhin auftritt.
-W
reinerotto
New Member
Quod erat demonstrandum.
Danke für die Bestätigung
Werde auch die JAVA-App stoppen. Dann wird es allerdings etwas dauern, denn die "Bad Guys" warteten bisher immer ab, bis meine IP wieder aus den Blacklists verschwindet.
Hab aber nicht viel Hoffnung, dass es daran liegt.
Selbige JAVA-App läuft auch auf einem root-server, ebenfalls mit fast identischem email-server zusammen. Läuft schon seit Jahren dort. Und ich hatte nie diese Probleme.
Um es noch einmal zu wiederholen: Es kann auch duchaus sein, dass 127.0.0.1 nicht gespooft ist, sondern durch irgendeine "Fehlkonfiguration" auf Seiten des VM-Hosts entsteht.
Das Lustige ist übrigens, dass einer der angeblichen Absender der SPAMS (mit destination 0.0.0.0 für die mail) die selbe IP hat wie ein anderer meiner server.
Der steht allerdings nicht bei STRATO, sondern in einem Ort in Osteuropa.
Und dieser server wird ebenfalls seit 14 Tagen mit SYN-flood attackiert. Hält das natürlich aus. Ist zwar wohl nur ein merkwürdiger Zufall, aber ein Indiz für mich, dass da clevere "Bad Guys" am Werk sind.