keine E-Mails an T-Online Adressen

K

kantiran

Registered User
Hallo,

ich kann seit eingien Wochen keine E-Mails mehr an ....@t-online Adressen senden.
Die E-Mails werden dort komplett abgelehnt.
Offensichtlich hat T-Online seit Januar 2013 seine Sicherheitsrichtlinien verschärft.

Ich vervende einen strato vServer mit Plesk 10.4.4.

Nun ist die Frage was muss ich einstellen, damit meine E-Mails wieder ankommen.
Ich habe auch schon eine E-Mail an tosa@rx.t-online.de gesandt.
Die Rückmeldung besagt das mein IP angeblich in einer CBL Spamliste eingetragen sei.

Nun habe ich meine Mail-Logs diesbezüglich überprüft und kann nicht feststellen,
das von meiner IP irgendwelche SPAMs ausgehen.
Bei mir gehen bestenfalls 10-50 E-Mails pro Woche raus. Und die sind alle korrekt.

Zudem habe ich auch schon 1-2 anderen e-Mail-Adressen (nicht T-Online) einen
Hinweis bekommen, das ich eine SPAM-IP habe.
Stimmt aber nicht. Bei näherem Nachsehen stelle ich immer fest das meine IP
in irgendeiner CBL steht.
Mit cbl.abuseat.org/lookup.cgi?ip=85.214.xx.xx bekomme ich dann eine lange Beschreibung woran das wohl liegen könnte.
Nur treffen diese Dinge auf meinen Server nicht zu.

Es scheint als würden hier nicht nur einezelne IPs sondern gleich ganze IP-Bereiche
gesperrt werden.

Was kann ich tun um das zu lösen?



Gruß,
kantiran
 
Ohne konkrete Fehlermeldung wird es schwierig, dir zu helfen. Also poste doch mal eine Bounce-Nachricht.
Ansonsten die üblichen Sachen: Sendet dein Server ein korrektes HELO, löst die IP zu einer deiner Domains auf und zeigt diese auch wieder per A-Record auf deinen Server (der generische Eintrag des Providers - bei dir wohl Strato - ist da nicht unbedingt für geeignet).
 
Das gleiche Problem hatte ich auch schonmal. Dazu gab es dann auch einen Thread:

Kein Mailversand mehr an T-Online möglich

Hallo liebes Forum, seit gestern Abend kann ich keine Emails mehr an T-Online versenden. Ich bekomme immer folgende Meldung: The mail system : host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP=MEIN_EMAIL_SERVER - A problem occurred. (Ask your postmaster for...
serversupportforum.de serversupportforum.de
 
Hier die Nachricht:

Code: 
(host mx03.t-online.de[194.25.134.73] refused to talk to me: 554 IP=85.214.87.xxx - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL))
mXXX@t-online.de

Meine DNS-Einstellungen:

Code: 
<domain>.     NS       ns.<domain>.
<domain>.     A         <ip>
<domain>.     AAAA   <ip6>
<domain>.     TXT      v=spf1 +a +mx -all
<ip> / 24       PTR      mailserver.<domain>.
<ipv6> / 64    PTR      mailserver.<domain>.
...
...
mailserver.<domain>.     A         <ip>
mailserver.<domain>.     AAAA   <ipv6>
mailserver.<domain>.     MX(10) mailserver.<domain>.
...
...

Ein "hostname -f" direkt auf meinem Sever bringt folgende Meldung:

h173xxx.stratoserver.net

Also ein generischer Hostname.
Wenn ich nun aber auf einem anderen Server "host 85.xx.xx.xx eingebe erhalte ich:

meine-domain.de

als Hostname. Unter Plesk habe ich in der Einstellung "vollständiger Hostname"
auch ´meine-domain.de´ eingetragen.

Was nun in den DNS-Einstellungen unter .<domain>. steht kann ich so direkt
nicht sehen.
Wo kann ich das überprüfen ob da wirklich meine IP drin steht?


kantiran
 
Das wird das gleiche Problem sein, welches lyn2k9 hatte und die Lösung steht in dem von ihm verlinkten Thread.
Ob im DNS alles korrekt ist, prüfst du per dig oder nslookup. Der PTR-Record muß übrigens bei deinem Provider eingetragen werden. Bei Strato gibt es einen Punkt "Reverse DNS" dafür.
 
Hier legt der Fall leider ein wenig anders. Über Dein System ist scheinbar wirklich Spam versandt worden, die IP steht in in 7 großen Spamlists (wobei ein paar davon wie CBL oder ZEN nur Aggregate anderer Listen sind).

Heise hat sogar ein paar Beispiele für die versandten Nachrichten.

Schau bitte mal in den Logs, ob z.B. diese Nachricht über Dein System gegangen ist:

PHP: 
Return-Path: <corinne_kho@adacen.org>
X-Original-To: svaio@SPAMTRAP.INVALID
Received: from xxxxx-online.de (xxxxx-online.de [85.214.xx.xx])
	by mx.selfip.biz (Spamtrap) with SMTP
	for svaio@SPAMTRAP.INVALID; Wed, 20 Feb 2013 16:54:10 +0100 (CET)
Date: Wed, 20 Feb 2013 16:54:10 +0000 (GMT)
From: Apple <noreply@adacen.org>
To: svaio@SPAMTRAP.INVALID
Message-ID: <766393729.37572684674523598362.JavaMail.roverp@nwk-roverp-lap12.corp.apple.com>
Subject: Your Apple ID was used to sign in to FaceTime, iCloud, and iMessage on an iPhone 5
MIME-Version: 1.0
X-EmailType-Id: 524656
X-Sent-To: svaio@SPAMTRAP.INVALID
X-Business-Group: iCloud
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 7BIT

Ich sehe keine Received-Zeile von qmail, vermutlich hat irgendein Script sie direkt per SMTP abgeworfen.
 
Ich kenne mich mit der Auswertung von Logfiles nicht so gut aus.
Kann mal jemand drüberschauen und sagen ob das hier auf SPAMs hindeutet.
Speziell die rot markierten Stellen.

Heißt postfix/smtpd das da eine Mail versandt wird?


Code: 
Mar  2 09:59:50 h1473000 [COLOR="Red"]postfix/smtpd[30318]: connect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56][/COLOR]
Mar  2 09:59:50 h1473000 postfix/smtpd[30318]: warning: SASL authentication failure: no secret in database
Mar  2 09:59:50 h1473000 postfix/smtpd[30318]: warning: static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 09:59:50 h1473000 postfix/smtpd[30318]: lost connection after AUTH from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 09:59:50 h1473000 [COLOR="Red"]postfix/smtpd[30318]: disconnect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56][/COLOR]Mar  2 10:00:20 h1473000 postfix/smtpd[30318]: connect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:00:21 h1473000 postfix/smtpd[30318]: warning: SASL authentication failure: no secret in database
Mar  2 10:00:21 h1473000 postfix/smtpd[30318]: warning: c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:00:21 h1473000 postfix/smtpd[30318]: lost connection after AUTH from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:00:21 h1473000 postfix/smtpd[30318]: disconnect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:01:58 h1473000 postfix/qmgr[1229]: 66A3F4D313F6: from=<sonstiges_2009@foerg-online.de>, size=663, nrcpt=1 (queue active)
Mar  2 10:01:58 h1473000 postfix/smtp[30369]: 66A3F4D313F6: host mx02.t-online.de[194.25.134.9] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:01:58 h1473000 postfix/smtp[30369]: 66A3F4D313F6: host mx00.t-online.de[194.25.134.8] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:01:58 h1473000 postfix/smtp[30369]: 66A3F4D313F6: host mx03.t-online.de[194.25.134.73] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:01:59 h1473000 postfix/smtp[30369]: 66A3F4D313F6: to=<markus.foerg@t-online.de>, relay=mx01.t-online.de[194.25.134.72]:25, delay=42357, delays=42356/0.06/0.24/0, dsn=4.0.0, status=deferred (host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL))
Mar  2 10:03:41 h1473000 postfix/anvil[30320]: statistics: max connection rate 1/60s for (smtp:68.15.220.64) at Mar  2 09:58:53
Mar  2 10:03:41 h1473000 postfix/anvil[30320]: statistics: max connection count 1 for (smtp:68.15.220.64) at Mar  2 09:58:53
Mar  2 10:03:41 h1473000 postfix/anvil[30320]: statistics: max cache size 2 at Mar  2 09:59:50
Mar  2 10:05:38 h1473000 postfix/smtpd[30403]: connect from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:05:38 h1473000 postfix/smtpd[30403]: warning: SASL authentication failure: nonce changed: authentication aborted
Mar  2 10:05:38 h1473000 postfix/smtpd[30403]: warning: wsip-68-15-220-64.at.at.cox.net[68.15.220.64]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:05:38 h1473000 postfix/smtpd[30403]: lost connection after AUTH from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:05:38 h1473000 postfix/smtpd[30403]: disconnect from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:06:15 h1473000 pop3d: LOGOUT, ip=[::ffff:71.121.15.219]
Mar  2 10:06:37 h1473000 postfix/smtpd[30403]: connect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:06:38 h1473000 postfix/smtpd[30403]: warning: SASL authentication failure: no secret in database
Mar  2 10:06:38 h1473000 postfix/smtpd[30403]: warning: static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:06:38 h1473000 postfix/smtpd[30403]: lost connection after AUTH from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:06:38 h1473000 postfix/smtpd[30403]: disconnect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:06:48 h1473000 imapd-ssl: IMAP connect from @ [::ffff:88.217.69.61]INFO: LOGIN, user=info@foerg-online.de, ip=[::ffff:88.217.69.61], protocol=IMAP
Mar  2 10:06:48 h1473000 imapd-ssl: IMAP connect from @ [::ffff:88.217.69.61]INFO: LOGIN, user=markus@foerg-online.de, ip=[::ffff:88.217.69.61], protocol=IMAP
Mar  2 10:06:48 h1473000 imapd-ssl: IMAP connect from @ [::ffff:88.217.69.61]INFO: LOGIN, user=sonstiges_2009@foerg-online.de, ip=[::ffff:88.217.69.61], protocol=IMAP
Mar  2 10:07:05 h1473000 pop3d: IMAP connect from @ [::ffff:71.121.15.219]checkmailpasswd: FAILED: marketing - short names not allowed from @ [::ffff:71.121.15.219]ERR: LOGIN FAILED, ip=[::ffff:71.121.15.219]
Mar  2 10:07:06 h1473000 pop3d: LOGOUT, ip=[::ffff:71.121.15.219]
Mar  2 10:07:11 h1473000 postfix/smtpd[30403]: connect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:07:11 h1473000 postfix/smtpd[30403]: warning: SASL authentication failure: no secret in database
Mar  2 10:07:11 h1473000 postfix/smtpd[30403]: warning: c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:07:11 h1473000 postfix/smtpd[30403]: lost connection after AUTH from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:07:11 h1473000 postfix/smtpd[30403]: disconnect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:07:20 h1473000 pop3d: IMAP connect from @ [::ffff:71.121.15.219]checkmailpasswd: FAILED: marketing - short names not allowed from @ [::ffff:71.121.15.219]ERR: LOGIN FAILED, ip=[::ffff:71.121.15.219]
Mar  2 10:07:20 h1473000 pop3d: LOGOUT, ip=[::ffff:71.121.15.219]
Mar  2 10:07:27 h1473000 pop3d: IMAP connect from @ [::ffff:71.121.15.219]checkmailpasswd: FAILED: marketing - short names not allowed from @ [::ffff:71.121.15.219]ERR: LOGIN FAILED, ip=[::ffff:71.121.15.219]
Mar  2 10:07:27 h1473000 pop3d: LOGOUT, ip=[::ffff:71.121.15.219]
Mar  2 10:10:31 h1473000 postfix/anvil[30405]: statistics: max connection rate 1/60s for (smtp:68.15.220.64) at Mar  2 10:05:38
Mar  2 10:10:31 h1473000 postfix/anvil[30405]: statistics: max connection count 1 for (smtp:68.15.220.64) at Mar  2 10:05:38
Mar  2 10:10:31 h1473000 postfix/anvil[30405]: statistics: max cache size 2 at Mar  2 10:06:37
Mar  2 10:11:03 h1473000 imapd: IMAP connect from @ [::ffff:79.225.211.154]INFO: LOGIN, user=michaela@foerg-online.de, ip=[::ffff:79.225.211.154], protocol=IMAP
Mar  2 10:11:25 h1473000 imapd-ssl: 1362215485.695418 LOGOUT, user=info@foerg-online.de, ip=[::ffff:88.217.69.61], headers=0, body=0, rcvd=529, sent=5873, maildir=/var/qmail/mailnames/foerg-online.de/info/Maildir
Mar  2 10:11:25 h1473000 imapd-ssl: 1362215485.697610 LOGOUT, user=markus@foerg-online.de, ip=[::ffff:88.217.69.61], headers=0, body=0, rcvd=529, sent=6310, maildir=/var/qmail/mailnames/foerg-online.de/markus/Maildir
Mar  2 10:11:25 h1473000 imapd-ssl: 1362215485.699530 LOGOUT, user=sonstiges_2009@foerg-online.de, ip=[::ffff:88.217.69.61], headers=0, body=0, rcvd=700, sent=6209, maildir=/var/qmail/mailnames/foerg-online.de/sonstiges_2009/Maildir
Mar  2 10:11:58 h1473000 postfix/qmgr[1229]: 75E964D313E8: from=<markus@foerg-online.de>, size=1047, nrcpt=1 (queue active)
Mar  2 10:11:58 h1473000 postfix/smtp[30481]: 75E964D313E8: host mx00.t-online.de[194.25.134.8] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:11:58 h1473000 postfix/smtp[30481]: 75E964D313E8: host mx02.t-online.de[194.25.134.9] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:11:58 h1473000 postfix/smtp[30481]: 75E964D313E8: host mx03.t-online.de[194.25.134.73] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:11:58 h1473000 postfix/smtp[30481]: 75E964D313E8: to=<dschweiz@t-online.de>, relay=mx01.t-online.de[194.25.134.72]:25, delay=159924, delays=159924/0.17/0.5/0, dsn=4.0.0, status=deferred (host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL))
Mar  2 10:12:38 h1473000 postfix/smtpd[30484]: connect from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:12:38 h1473000 postfix/smtpd[30484]: warning: SASL authentication failure: nonce changed: authentication aborted
Mar  2 10:12:38 h1473000 postfix/smtpd[30484]: warning: wsip-68-15-220-64.at.at.cox.net[68.15.220.64]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:12:39 h1473000 postfix/smtpd[30484]: lost connection after AUTH from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:12:39 h1473000 postfix/smtpd[30484]: disconnect from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:13:27 h1473000 postfix/smtpd[30484]: connect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:13:28 h1473000 postfix/smtpd[30484]: warning: SASL authentication failure: no secret in database
Mar  2 10:13:28 h1473000 postfix/smtpd[30484]: warning: static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:13:28 h1473000 postfix/smtpd[30484]: lost connection after AUTH from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:13:28 h1473000 postfix/smtpd[30484]: disconnect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:14:03 h1473000 postfix/smtpd[30484]: connect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:14:04 h1473000 postfix/smtpd[30484]: warning: SASL authentication failure: no secret in database
Mar  2 10:14:04 h1473000 postfix/smtpd[30484]: warning: c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:14:04 h1473000 postfix/smtpd[30484]: lost connection after AUTH from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:14:04 h1473000 postfix/smtpd[30484]: disconnect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:16:58 h1473000 postfix/qmgr[1229]: 653934D31409: from=<carmen@foerg-online.de>, size=694, nrcpt=1 (queue active)
Mar  2 10:16:58 h1473000 postfix/smtp[30532]: 653934D31409: host mx03.t-online.de[194.25.134.73] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:16:58 h1473000 postfix/smtp[30532]: 653934D31409: host mx02.t-online.de[194.25.134.9] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:16:58 h1473000 postfix/smtp[30532]: 653934D31409: host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Mar  2 10:16:59 h1473000 postfix/smtp[30532]: 653934D31409: to=<markus.foerg@t-online.de>, relay=mx00.t-online.de[194.25.134.8]:25, delay=96886, delays=96886/0.05/0.35/0, dsn=4.0.0, status=deferred (host mx00.t-online.de[194.25.134.8] refused to talk to me: 554 IP=85.214.87.60 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL))
Mar  2 10:17:24 h1473000 postfix/anvil[30486]: statistics: max connection rate 1/60s for (smtp:68.15.220.64) at Mar  2 10:12:38
Mar  2 10:17:24 h1473000 postfix/anvil[30486]: statistics: max connection count 1 for (smtp:68.15.220.64) at Mar  2 10:12:38
Mar  2 10:17:24 h1473000 postfix/anvil[30486]: statistics: max cache size 2 at Mar  2 10:13:27
Mar  2 10:19:23 h1473000 postfix/smtpd[30570]: connect from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:19:24 h1473000 postfix/smtpd[30570]: warning: SASL authentication failure: no secret in database
Mar  2 10:19:24 h1473000 postfix/smtpd[30570]: warning: wsip-68-15-220-64.at.at.cox.net[68.15.220.64]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:19:24 h1473000 postfix/smtpd[30570]: lost connection after AUTH from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:19:24 h1473000 postfix/smtpd[30570]: disconnect from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:20:17 h1473000 postfix/smtpd[30570]: connect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:20:18 h1473000 postfix/smtpd[30570]: warning: SASL authentication failure: nonce changed: authentication aborted
Mar  2 10:20:18 h1473000 postfix/smtpd[30570]: warning: static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:20:18 h1473000 postfix/smtpd[30570]: lost connection after AUTH from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:20:18 h1473000 postfix/smtpd[30570]: disconnect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:20:56 h1473000 postfix/smtpd[30570]: connect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:20:56 h1473000 postfix/smtpd[30570]: warning: SASL authentication failure: nonce changed: authentication aborted
Mar  2 10:20:56 h1473000 postfix/smtpd[30570]: warning: c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:20:56 h1473000 postfix/smtpd[30570]: lost connection after AUTH from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:20:56 h1473000 postfix/smtpd[30570]: disconnect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:23:33 h1473000 imapd: IMAP connect from @ [::ffff:79.225.211.154]INFO: LOGIN, user=michaela@foerg-online.de, ip=[::ffff:79.225.211.154], protocol=IMAP
Mar  2 10:24:16 h1473000 postfix/anvil[30572]: statistics: max connection rate 1/60s for (smtp:68.15.220.64) at Mar  2 10:19:23
Mar  2 10:24:16 h1473000 postfix/anvil[30572]: statistics: max connection count 1 for (smtp:68.15.220.64) at Mar  2 10:19:23
Mar  2 10:24:16 h1473000 postfix/anvil[30572]: statistics: max cache size 2 at Mar  2 10:20:17
Mar  2 10:26:09 h1473000 postfix/smtpd[30693]: connect from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:26:09 h1473000 postfix/smtpd[30693]: warning: SASL authentication failure: nonce changed: authentication aborted
Mar  2 10:26:09 h1473000 postfix/smtpd[30693]: warning: wsip-68-15-220-64.at.at.cox.net[68.15.220.64]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:26:09 h1473000 postfix/smtpd[30693]: lost connection after AUTH from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:26:09 h1473000 postfix/smtpd[30693]: disconnect from wsip-68-15-220-64.at.at.cox.net[68.15.220.64]
Mar  2 10:27:07 h1473000 postfix/smtpd[30693]: connect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:27:07 h1473000 postfix/smtpd[30693]: warning: SASL authentication failure: no secret in database
Mar  2 10:27:07 h1473000 postfix/smtpd[30693]: warning: static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:27:07 h1473000 postfix/smtpd[30693]: lost connection after AUTH from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:27:07 h1473000 postfix/smtpd[30693]: disconnect from static-72-68-135-56.nycmny.fios.verizon.net[72.68.135.56]
Mar  2 10:27:10 h1473000 postfix/smtpd[30693]: connect from messaging3.zoosk.com[70.42.170.127]
Mar  2 10:27:11 h1473000 postfix/smtpd[30693]: 6A9194D313ED: client=messaging3.zoosk.com[70.42.170.127]
Mar  2 10:27:11 h1473000 greylisting filter[30713]: Starting greylisting filter...
Mar  2 10:27:11 h1473000 greylisting filter[30713]: Unable to create regexp for mail@messaging.zoosk.com. Buffer too short
Mar  2 10:27:11 h1473000 greylisting filter[30713]: Unable to get data database after selection query: unknown error
Mar  2 10:27:11 h1473000 greylisting filter[30713]: Unable to get GL status for remote hostname.
Mar  2 10:27:11 h1473000 greylisting filter[30713]: Unable to check message
Mar  2 10:27:11 h1473000 /usr/lib/plesk-9.0/psa-pc-remote[1422]: Error during 'grey' handler
Mar  2 10:27:12 h1473000 postfix/cleanup[30712]: 6A9194D313ED: message-id=<0.0.0.BA9.1CE17281D6A9240.0@messaging3.zoosk.com>
Mar  2 10:27:13 h1473000 qmail-queue[30715]: scan: the message(drweb.tmp.ROma8a) sent by mail@messaging.zoosk.com to michaela@foerg-online.de is passed
Mar  2 10:27:13 h1473000 postfix/qmgr[1229]: 6A9194D313ED: from=<mail@messaging.zoosk.com>, size=19957, nrcpt=1 (queue active)
Mar  2 10:27:14 h1473000 postfix/smtpd[30693]: disconnect from messaging3.zoosk.com[70.42.170.127]
Mar  2 10:27:14 h1473000 postfix-local[30719]: postfix-local: from=mail@messaging.zoosk.com, to=michaela@foerg-online.de, dirname=/var/qmail/mailnames
Mar  2 10:27:14 h1473000 spamd[1345]: spamd: got connection over /tmp/spamd_full.sock
Mar  2 10:27:14 h1473000 spamd[1345]: spamd: using default config for michaela@foerg-online.de: /var/qmail/mailnames/foerg-online.de/michaela/.spamassassin/user_prefs
Mar  2 10:27:17 h1473000 spamd[1345]: spamd: processing message <0.0.0.BA9.1CE17281D6A9240.0@messaging3.zoosk.com> for michaela@foerg-online.de:110
Mar  2 10:27:18 h1473000 imapd-ssl: 1362216438.817132 DISCONNECTED, user=carmen@foerg-online.de, ip=[::ffff:80.187.103.13], headers=0, body=0, rcvd=191, sent=1704, maildir=/var/qmail/mailnames/foerg-online.de/carmen/Maildir
Mar  2 10:27:19 h1473000 imapd-ssl: 1362216439.45091 DISCONNECTED, user=carmen@foerg-online.de, ip=[::ffff:80.187.103.13], headers=0, body=0, rcvd=137, sent=640, maildir=/var/qmail/mailnames/foerg-online.de/carmen/Maildir
Mar  2 10:27:19 h1473000 spamd[1345]: spamd: clean message (-7.7/7.0) for michaela@foerg-online.de:110 in 5.4 seconds, 19814 bytes.
Mar  2 10:27:19 h1473000 spamd[1345]: spamd: result: . -7 - AWL,BAYES_00,HABEAS_ACCREDITED_SOI,HTML_MESSAGE,MIME_HTML_ONLY,RCVD_IN_BSP_TRUSTED,SPF_PASS scantime=5.4,size=19814,user=michaela@foerg-online.de,uid=110,required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/tmp/spamd_full.sock,mid=<0.0.0.BA9.1CE17281D6A9240.0@messaging3.zoosk.com>,bayes=0.000000,autolearn=ham
Mar  2 10:27:19 h1473000 spamd[1341]: prefork: child states: II
Mar  2 10:27:19 h1473000 postfix/pipe[30718]: 6A9194D313ED: to=<michaela@foerg-online.de>, relay=plesk_virtual, delay=8.6, delays=2.5/0.01/0/6.1, dsn=2.0.0, status=sent (delivered via plesk_virtual service)
Mar  2 10:27:19 h1473000 postfix/qmgr[1229]: 6A9194D313ED: removed
Mar  2 10:27:47 h1473000 postfix/smtpd[30693]: connect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:27:48 h1473000 postfix/smtpd[30693]: warning: SASL authentication failure: nonce changed: authentication aborted
Mar  2 10:27:48 h1473000 postfix/smtpd[30693]: warning: c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]: SASL DIGEST-MD5 authentication failed: authentication failure
Mar  2 10:27:48 h1473000 postfix/smtpd[30693]: lost connection after AUTH from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:27:48 h1473000 postfix/smtpd[30693]: disconnect from c-68-51-105-228.hsd1.in.comcast.net[68.51.105.228]
Mar  2 10:31:08 h1473000 postfix/anvil[30695]: statistics: max connection rate 1/60s for (smtp:68.15.220.64) at Mar  2 10:26:09
Mar  2 10:31:08 h1473000 postfix/anvil[30695]: statistics: max connection count 1 for (smtp:68.15.220.64) at Mar  2 10:26:09
Mar  2 10:31:08 h1473000 postfix/anvil[30695]: statistics: max cache size 3 at Mar  2 10:27:47

Danke schon mal.
 
Nein, wenn du dir die drei Zeilen zwischen Connect und Disconnect anschaust, siehst du, daß die Verbindung wegen fehlerhafter Anmeldung getrennt wurde.
Wie Whistler schon schrieb, scheinen die Spam-Mails gar nicht durch deinen Postfix zu laufen, die den Eintrag auf diversen Blacklists verursacht haben. Dein Mail-Server hat sich drin nämlich nicht mit einer "Received" Zeile verewigt - und sind damit auch nicht in den Postfix-Logs zu finden.
Die Spams werden durch die auf deinem Server befindliche Mail-Schleuder direkt beim Ziel-Mailserver eingereicht. Und diese Mailschleuder ist vermutlich durch ein fehlerhaftes Script auf deiner Webseite oder einen geknackten FTP/SSH-Account auf deinen Server gelangt.
 
Nun gut, die Passwörter habe ich inzwischen alle geändert.
Wird aber wohl nichts bringen.

Gibt es eine Chance so ein Script zu identifizieren?

Ich hab hier mal das Script findbot.pl ausprobiert.
Hier das LOG. Eine Zeile habe ich ROT markiert, da diese einen Hinweis auf smtp
enthält. Könnte das die Ursache sein?

Code: 
/var/www/vhosts/poetenstube.de/httpdocs/components/com_akeeba/models/json.php: Suspicious(base64_decode): t->body = base64_decode($request-
/var/www/vhosts/poetenstube.de/httpdocs/components/com_weblinks/controllers/weblink.php: Suspicious(base64_decode): sInternal(base64_decode($return))
/var/www/vhosts/poetenstube.de/httpdocs/components/com_weblinks/models/form.php: Suspicious(base64_decode): sInternal(base64_decode($return))
/var/www/vhosts/poetenstube.de/httpdocs/components/com_users/controllers/user.php: Suspicious(base64_decode): eturn'] = base64_decode(JRequest:
/var/www/vhosts/poetenstube.de/httpdocs/components/com_users/models/login.php: Suspicious(base64_decode): eturn'] = base64_decode($return);
/var/www/vhosts/poetenstube.de/httpdocs/components/com_easybookreloaded/controller.php: Suspicious(base64_decode): 		$hash = base64_decode($hashrequ
/var/www/vhosts/poetenstube.de/httpdocs/components/com_easybookreloaded/models/entry.php: Suspicious(base64_decode): 		$hash = base64_decode($hashrequ
/var/www/vhosts/poetenstube.de/httpdocs/components/com_content/controllers/article.php: Suspicious(base64_decode): sInternal(base64_decode($return))
/var/www/vhosts/poetenstube.de/httpdocs/components/com_content/models/form.php: Suspicious(base64_decode): rn_page', base64_decode($return))
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_akeeba/liveupdate/classes/storage/storage.php: Suspicious(base64_decode): n_exists('base64_decode')) {
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_akeeba/akeeba/utils/securesettings.php: Suspicious(base64_decode): )) return base64_decode(AKEEBA_SE
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_akeeba/akeeba/utils/tempvars.php: Suspicious(base64_decode): n_exists('base64_decode') ) {
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_akeeba/akeeba/utils/encrypt.php: Suspicious(base64_decode): hertext = base64_decode($cipherte
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_akeeba/models/cpanel.php: Suspicious(base64_decode): 			return base64_decode($key);
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_login/models/login.php: Suspicious(base64_decode): $return = base64_decode($return);
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_templates/controllers/source.php: Suspicious(base64_decode): '#\.\.#', base64_decode($recordId
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_templates/models/source.php: Suspicious(base64_decode): lode(':', base64_decode($id));
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_admin/views/sysinfo/tmpl/default.php: Suspicious(phpinfo):  id="page-phpinfo" class="t
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_admin/views/sysinfo/tmpl/default_phpinfo.php: Suspicious(phpinfo): : default_phpinfo.php 20196
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_admin/views/sysinfo/tmpl/default_navigation.php: Suspicious(phpinfo): lse;" id="phpinfo">
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_admin/models/sysinfo.php: Suspicious(phpinfo): 			phpinfo(INFO_GENE
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_users/models/users.php: Suspicious(base64_decode): on_decode(base64_decode(JRequest:
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_media/controllers/file.php: Suspicious(base64_decode): tRedirect(base64_decode($return).
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_easybookreloaded/libraries/httpclient.class.php: Suspicious(fsockopen):  (!$fp = @fsockopen($this->ho
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_menus/controllers/item.php: Suspicious(base64_decode): on_decode(base64_decode($type));
/var/www/vhosts/poetenstube.de/httpdocs/administrator/components/com_phocagallery/libraries/phocagallery/file/fileupload.php: Suspicious(base64_decode): >redirect(base64_decode($return).
/var/www/vhosts/poetenstube.de/httpdocs/libraries/joomla/client/ftp.php: Suspicious(fsockopen): _conn = @ fsockopen($host, $p
/var/www/vhosts/poetenstube.de/httpdocs/libraries/joomla/client/http.php: Suspicious(fsockopen): s[$key] = fsockopen($host, $p
/var/www/vhosts/poetenstube.de/httpdocs/libraries/phpmailer/smtp.php: Suspicious(fsockopen): p_conn = @fsockopen($host,
/var/www/vhosts/poetenstube.de/httpdocs/libraries/phpmailer/phpmailer.php: [COLOR="Red"]Suspicious(MAIL FROM): il or as 'MAIL FROM' in smtp
/var/www/vhosts/poetenstube.de/httpdocs/libraries/simplepie/simplepie.php:[/COLOR] Suspicious(fsockopen):  * fsockopen() file so
/var/www/vhosts/poetenstube.de/httpdocs/plugins/content/geshi/geshi/geshi/php.php: Suspicious(base64_decode): convert','base64_decode','base64_
/var/www/vhosts/poetenstube.de/httpdocs/plugins/content/geshi/geshi/geshi/php-brief.php: Suspicious(phpinfo): e_type', 'phpinfo', 'phpver
/var/www/vhosts/foerg-online.de/anon_ftp/incoming/findbot.pl: Suspicious(r57): ptpat = '(r57|c99|web s
/var/www/vhosts/foerg-online.de/httpsdocs/.htaccess: Suspicious(RewriteRule): RewriteRule .* http:/
/var/www/vhosts/foerg-online.de/httpdocs/modules/mod_jfusion_activity/mod_jfusion_activity.php: Suspicious(base64_decode): serialize(base64_decode($pluginPa
/var/www/vhosts/foerg-online.de/httpdocs/modules/mod_jfusion_whosonline/helper.php: Suspicious(base64_decode): serialize(base64_decode($menu_par
/var/www/vhosts/foerg-online.de/httpdocs/modules/mod_jfusion_whosonline/mod_jfusion_whosonline.php: Suspicious(base64_decode): serialize(base64_decode($pluginPa
/var/www/vhosts/foerg-online.de/httpdocs/modules/mod_jfusion_user_activity/mod_jfusion_user_activity.php: Suspicious(base64_decode): serialize(base64_decode($pluginPa
/var/www/vhosts/foerg-online.de/httpdocs/modules/mod_jfusion_login/mod_jfusion_login.php: Suspicious(base64_decode): serialize(base64_decode($menu_par
/var/www/vhosts/foerg-online.de/httpdocs/components/com_jevents/router.php: Suspicious(base64_decode): ['uid'] = base64_decode($segments
/var/www/vhosts/foerg-online.de/httpdocs/components/com_jevents/libraries/iCalImport.php: Suspicious(fsockopen): iled, try fsockopen');
/var/www/vhosts/foerg-online.de/httpdocs/components/com_jevents/libraries/iCalEventDetail.php: Suspicious(base64_decode): ription = base64_decode($this->de
/var/www/vhosts/foerg-online.de/httpdocs/components/com_mailto/controller.php: Suspicious(base64_decode): $link 		= base64_decode( JRequest
/var/www/vhosts/foerg-online.de/httpdocs/components/com_jfusion/controllers/controller.jfusion.php: Suspicious(base64_decode): serialize(base64_decode($JFusionP
/var/www/vhosts/foerg-online.de/httpdocs/components/com_jfusion/router.php: Suspicious(base64_decode): serialize(base64_decode($JFusionP
/var/www/vhosts/foerg-online.de/httpdocs/components/com_user/controller.php: Suspicious(base64_decode): $return = base64_decode($return);
/var/www/vhosts/foerg-online.de/httpdocs/components/com_eventlist/classes/image.class.php: Suspicious(phpinfo): f phpinfo() is disa
/var/www/vhosts/foerg-online.de/httpdocs/components/com_content/controller.php: Suspicious(base64_decode): referer = base64_decode($referer)
/var/www/vhosts/foerg-online.de/httpdocs/.htaccess: Suspicious(RewriteRule): RewriteRule .* http:/
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c026ed326df3/site/router.php: Suspicious(base64_decode): ['uid'] = base64_decode($segments
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c026ed326df3/site/libraries/iCalImport.php: Suspicious(fsockopen): iled, try fsockopen');
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c026ed326df3/site/libraries/iCalEventDetail.php: Suspicious(base64_decode): ription = base64_decode($this->de
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4d84d3869023e/admin/controllers/help.php: Suspicious(base64_decode):   $link = base64_decode(JRequest:
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4d84d3869023e/admin/helpers/upload.php: Suspicious(base64_decode):   $url  = base64_decode($redirect
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c289528d4ca0/site/router.php: Suspicious(base64_decode): ['uid'] = base64_decode($segments
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c289528d4ca0/site/libraries/iCalImport.php: Suspicious(fsockopen): iled, try fsockopen');
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c289528d4ca0/site/libraries/iCalEventDetail.php: Suspicious(base64_decode): ription = base64_decode($this->de
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c28977547df6/site/router.php: Suspicious(base64_decode): ['uid'] = base64_decode($segments
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c28977547df6/site/libraries/iCalImport.php: Suspicious(fsockopen): iled, try fsockopen');
/var/www/vhosts/foerg-online.de/httpdocs/tmp/install_4c28977547df6/site/libraries/iCalEventDetail.php: Suspicious(base64_decode): ription = base64_decode($this->de
/var/www/vhosts/foerg-online.de/httpdocs/templates/beez/html/mod_login/default.php: Suspicious(base64_decode): 64_encode(base64_decode($return).

Gibtg es ähnliche Scripts mit deren Hilfe man solch einen Übeltäter finden kann.
Sonst müsste ich ja die ganze Homepage neu ausetzen, da ich nicht weis welches Script den Fehler verursacht.

Gibt es eine Möglichkeit bei CBL festzustellen wann das erste mal SPAMs
gestgestellt wurden?
Dann könnte ich ein älteres Backup auf meinem Sever wieder einspielen.

Danke schon mal für die Infos.

Markus Förg
 
Einfach nur ein Backup zurückkippen reicht nicht. Wenn die Spamschleuder per Lücke in einem Script auf deinen Server gelangt ist, dann ist diese Lücke ja weiterhin offen - und es ist nur eine Frage der Zeit, bis diese wieder ausgenutzt wird.
Scripte wie das von dir erwähnte findbot.pl oder auch rkhunter u.ä. finden nur bestimmte Sachen. Viele Sachen werden dadurch nicht gefunden.
 
Du hast doch hier ein paar Zeitstempel.
Schau einfach, was zu exakt dem angegebene Zeitpunkt auf Deinem Server los war.
Es muß nicht unbedingt ein PHP-Script gewesen sein, mit abnehmender Wahrscheinlichkeit kommen auch noch Perl, Python, Ruby, Java, binäre CGIs und was sonst noch so installiert ist in Frage.
Erste Anlaufstelle wären die HTTP-Logs aller (!) VHosts, daneben ist auch Cron, ein wie auch immer gearteter Shell-Zugang oder z.B. ein als Backdoor installierter SOCKS-Proxy möglich.

PS: Seit dem 20.2. gab es offensichtlich keine weiteres Auftreten, damit bist Du aus den meisten (bis auf Barracuda) Blacklisten schon wieder 'raus.
 
Wenn ich mich hier mal anschließen darf....
Mein Server ist ebenfalls von T3l3kom geblockt, was ich schon unternommen habe:
  • syslog, mail.[err|log|info|warn] heute und gestern nach ungewöhnlichen request durchsucht... bis auf ein wenig eingehenden Greymailing wirklich nichts Wildes
  • rkhunter laufen lassen... alles bestens
  • alle mir bekannten DNS-BL laufen lassen, habe aber nur einen Eintrag bei V4BL gefunden, der gerade entfernt wird, und bei BBQ, versage aber hier am Japanisch/Koreanisch/WE..
  • MX-record und PTR/rDNS sind korrekt gesetzt
  • Speziell für Tc0m habe ich sogar den Hostnamen auf den Mailnamen geändert, damits auch beim SMTP-Header stimmt

Es ist wirklich alles sauber soweit ich das sehen kann...

Tja, ich werde weiter blockiert, Emails hab ich an die übergebenen Adressen geschrieben mit der Bitte um Auflösung der Blockade, aber bekomme keinerlei Antwort. Anrufe bei Telekom wurden Recht höflich mit "ohne Kundennummer können wir nichts machen" abgelehnt, dass ich kein T3l3komkunde bin, hat man nicht verstanden und im tech-c vom whois geht nur eine volle Mailbox ran, die einem mitteilt, dass die Mailbox von Daniel Kaufmann voll ist und man mit der 1 die Ansage beenden kann...

Habt ihr vielleicht noch einen Tipp, was man prüfen könnte? Vielen Dank
 
Last edited by a moderator:
Zum PTR gibt es auch einen passenden A-Record, der zum Hostnamen auch wieder die gleiche IP ausspuckt?
 
ja, alles mehrmals geprüft und korrekt!
Hat sich aber erledigt: Der Postmaster hat sich nun endlich gemeldet und mich freigegeben...
 
Ich hatte gerade das gleiche Problem und ähnliche auch schon.

Wie oft verlässt man sich auf Softwarepakete, dass die schon irgendwie sicher sind und sie sind es nicht.

Schwups, hat man den Mist an der Backe und auch Stress.

Programme die auf jeden Fall an Linderung etwas bringen:

SpamDyke von Hushi (wird hier im Forum oft erwähnt und benutzt, daher hab ich ja auch den Tip) Ich wage es zu sagen, das es wohl das beste PRogramm ist, was ich je gesehen habe ! Sehr empfehlenswert !

Dann als nächstes Fail2Ban

Unter ubuntu mit apt-get installieren, aus Erfahrung die Einstellungen der Blockade auf 2 Wochen setzen. SSH, POP3, IMAP und SMTP aktivieren und konfigurieren !
Ich bekomme die meisten Angriffe von irgendwelchen Robots, die es immer und immer wieder probieren, teils massive Angriffe aus dem Stratonetz, China, Russland, Brasilien etc.

Freundliche Mails an die Admins mit dem Hinweis, Euer System ist eventuell verpestet .... Spart es Euch, es sind immer IP-Gespoofte Angriffe, wenn es nach den Meinungen der betroffenen Admins geht !

Da die Angriffe 24h laufen egal zu welcher zeit, kann es sich eigentlich nur um automatisch Agriffe handeln, sprich: Roboter-Angriffe von infizierten Systemen.


Ich hab in den vielen Jahren, "nur" wegen einem Einbruch per php (und das sind 99% aller Einbrüche), nie den Server neu aufgesetzt.

Was bei solchen Angriffe auf jeden Fall hilft, erst einmal Ruhe bewahren, dann:

besorgt Euch apxs2, muss meist nachinstalliert werden und ist ein Hilfsmittel von Apache für Apache um bei Erweiterungen durch nachträglich kompilierte Module die Konfiguration von Apache ´heraus zu bekommen.

Es wird benötigt um modsecurity zu kompilieren und installieren.

dieses Modul wird mit Apache zusammen geladen und stellt eine WAF dar.
WAF=Web Application Firewall

Sprich eine Firewall um Angriffe auf Apache bzw. PHP+MySQL, Formulare-Probleme etc. einzugrenzen.

Entsprechend benötigte Regeln gibt es Vorschlagsweise in den einzelnen Readme's ! Vorsicht, nicht alle frei verfügbaren Regeln sind gute Regeln, ich habe oft mit ältere OSC-Shops Probleme gehabt, Logfiles lesen, dort wird beschrieben, welche Regel welchen Abbruch oder Fehlverhalten verursacht hat, ausmarkieren Apache neu starten und probieren ob dann wieder alles läuft !


Ich habe bisher immer diese kleinen miesen Programme gefunden, die irgendwelche Mail-Bomben los getreten haben. Ich habe noch nie einen Server neu aufsetzen müssen .....

Was auch sehr gut bei der Suche hilft, obwohl ich es auch nie glauben wollte ist: clamav bzw. clamscan es sollte auf jeden Fall der Virus scanner mit auf's System, der erkennt schon eine Vielzahl an Backdoor PHP-Scripts.
Bei älteren Sytemen ist die Engine manchmal nicht ganz aktuell, holt Euch die Sourcen und/oder bindet Ein vergleichbares Paket-System in Euren Paket-Manager mit ein und macht ein Update oder kompiliert es selber, ist auch nicht sooo schwer !

Vielleicht ein Script schreiben, was periodisch die Web-Verzeichnisse abscannt und die Ergebnisse zumailt, aber auch nur, wenn etwas gefunden wurde (Stichwort Exit-Code).

Was auch etwas hilft: Wenn ältere Scripte aufs Verderben hin gebraucht werden: Beobachtet, wo die faulen Eiern alias PHP-Scripte abgelegt werden.

Meist in Bilderverzeichnissen oder in Temp-Verzeichnissen, welche mittels irgend welchen Editoren oder Upload-Programme Schreibberechtigung haben müssen. Darüber wird gern eingebrochen.

Noch einenes: wenn Jemand unbedingt Shell-Zugriffe braucht, nur chroot-Shells erlauben nichts anderes !

Schreibt Euch ein Script, was die einschlägigen Bilderverzeichnisse abscannt und fremde Programme (mit type bekommt man so etwas heraus) in einen Absperrbereich schiebt und per Mail informiert.

Wichtig ist, wenn dann so ein Schmarotzer auf System gekommen ist, versuchen heraus zu bekommen, wie er es geschafft hat.

Ist immer alles Up2Date ? Alle neueren Versionen von Joomla drauf ? (Angriffe finden aktuell vermehrt statt)

Was auch gern angegriffen wird, sind die alten OSC-Shop Systeme, die Editoren im Admin Bereich. Installier niemals den OSC unter catalog, sondern ein anderer Name, benutzt .htaccess Dateien um Manipulationen zu unterbinden.

Ganz blöd hatte ich auch schon, über eine Empfehlungs-Funktion von OSC, da hat jemand ein Script geschrieben und dass ohne auf das System einzubrechen, das Script hat er/sie/es bei sich laufen lassen.
Auf so etwas blödes muss man mal kommen !

Da findet man dann in der Subjekt-Zeile Produktempfehlung xyz und im Anschluss Viagra blabla irgendwas ! Viel Spass beim Suchen !

Grobe Abhilfe Bei Mailfluten: 2 SSH-Fenster: in einem Fenster eine Loop mit nem sleep drin und den Qmail stopen (z.B.: Service qmail stop) , warum in einer Loop: weil Plesk je nach Einstellung versucht den Maildienst neu zu starten.

Nun kommen die Mals dranne ....... bitte nicht sofort löschen, unter Plesk ist meist die Mailqueue voll gelaufen, eine Mail heraus picken und sich ansehen wie die Header aussehen, meist ist ein Verweis darin zu finden wer das Ding geschickt hat in form einer numerischen Userid, die man aus dem File /etc/password finden kann.

So weiss man wer bzw. welcher User Account es war oder viel mehr welcher Account dem Einbruch nicht standhalten konnte.

Meist ist auch der Programmname (Send by oder send with oder so ähnlich) im Mailheader zu finden, dann setzt man in dem Homeverzeichniss ein find-Befehl ab, mit dem Programmnamen enthalten (find /var/WWW/vhosts -name 'filename.php' -print).

Wenn der Name offensichtlich nicht zur Website gehört (z.B.: cm2wiehert.php oder so ähnliche nix bedeutende Namen) dann löschen.

Hängt das Ding schon drinnen in einem File welches zu einer Website gehört, entweder manuelles editieren oder Backups zurückspielen, wenn man so etwas noch nie gemacht hat.

Bei zig-Tausen von mails hilft bei Qmail ein Programm namens qmail-remove, das Killen per Plesk ist eine Plage !

Regelmässig sollte auch das Programm (wenn nicht schon installiert, bitte nachholen) rkhunter laufen, Plesk hat es meist mit installiert !

Das ist ein Rootkit Scanner , hatte ich auch schon Besuch.
Vor diesem Besuch wusste ich gar nicht, dass man Dateien selbst vor dem root Account verstecken kann !

Das zum Thema SPAM auf dem eigenen System !

Zum Telekom-Problem, man wird dort auf die schwarze Liste gesetzt, bei den ersten "massiven" Spam-Fluten, man bleibt auf den Listen wenn man einen generischen Namen benutzt bzw. diesen nie geändert hat.

Auch ich habe so etwas schon hinter mir.

Da ich vorher schon gegoogelt habe, hatte ich die generischen Einträge vorher entfernt (per Config-Website bei Hoster) und die Telekom-Abuse Abteilung angeschrieben und um Aufnahme in die Whitelist gebeten einen kurzen Text, dass einem das PRoblem bewusst ist und man es abgeändert hat, innerhalb von 24 Stunde war das mit einer sehr netten EMail von der Abuse-Abteilung erledigt.


Alle Tips und Ratschläge oben sind garantiert nicht vollständig, sie sind als Ansätze zu verstehen, wo jetzt jeder der es braucht weiter Recherchieren kann.
Ich musste jedes Mal auf's Neue irgendwelche Gegenmassnahmen einführen und bin so auf die kleine Sammlung von oben gestossen.

Es erleichtert vielleicht dem Einen oder Anderen die Suche bzw. spendet einpaar Ideen, für das schwere Admin-Leben, so ist wenigstens mal das Nützliche Zeugs auf einen Haufen zu finden, ich habe Jahre damit verbracht, mit hier und da lesen, probieren, und Angriffe abwehren bis ich ein kleines Sammelsorium zusammen hatte !!

Es Hilft auf keinen Fall gegen alle Angriffe, wer einen Server hat, muss stets regelmässig das Ding beobachten, die Feinde da draussen finden immer einen Weg, egal was man versucht um so einen Server zu sichern, aber mit der Zeit wird man immer ein Stückchen schlauer !

Ich weiss, es gibt hier und da gewisse Dinge die man niemals auf nem System im Internet erlauben, bzw. einrichten sollte.
Aber es gibt auch immer wieder Gründe warum es doch geschieht, Gründe die dem einen Verständlich erscheinen und dem Anderen die rohe Wut ins Gesicht steigen lässt. Das ist eben so ---- Daher bitte keine Komentare, aber dass sollte man lieber nicht machen, dann passiert so etwas nicht.
Wenn man in den Anfängen steckt und laufen lernt und bei den Kampfpreisen da draussen lernen immer mehr Leute mit nem Server laufen ...
Auch ich habe laufen gelernt, ich administriere jetzt Linux Systeme seit Kernel Version 0.99.14 !
Aus Gewohnheit mache ich noch viele Fehler, die bestimmt nicht sein müssten .... und trotzdem passiert es, so ist das Leben, so sind wir Menschen ! Also nicht zu viel Schimpfen ;-)

Meine Hoffnung ist, dass der Eine oder Andere hier oder da etwas wertvolles finden konnte ;-)


Und jetzt habe ich auch mal eine Frage:

Ich suche unter QMail die Möglichkeit, Mails zu verwerfen, deren Absender nicht existent sind, ohne zu tief in Plesk zu fummeln um später bei einem blöden Update das Geänderte wieder zu verlieren.

Ich gllaube so etwas wäre auch schön in Hushi's Tool SpamDyke ...
Vielleicht mail ich Ihn auch noch an, aber wenn so etwas entweder per Einstellung oder sonst wie schon existiert ??

Ich habe bisher nichts finden können !
Weiss da Jemand irgend etwas ? Einer eine Idee ??

hG ankn99
 
boah! Nachtlektüre! :D

Aber interessant, danke! Auch wenn ich mich doch den glücklich naiven zählen darf, die noch meinen, ihr server wäre nicht infiziert... ach warte... doch.. Plesk läuft! :D
 
You must log in or register to reply here.
Back
Top