mail.info ziemlich aufällige Einträge

M

Master-Basti

Registered User
Hallo zusammen!

habe eben einmal meine mail.info durchgesehen und folgendes festgestellt:

Mar 3 10:35:49 donau070 postfix/smtp[27572]: 1BD9FD28014: to=<debbiedagroove@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=32794, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Mar 3 10:35:49 donau070 postfix/smtp[27572]: 1BD9FD28014: to=<debbydyal@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=32794, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Mar 3 10:35:49 donau070 postfix/smtp[27572]: 1BD9FD28014: to=<debraleerides@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=32794, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Mar 3 10:35:49 donau070 postfix/smtp[27572]: 1BD9FD28014: to=<debs966@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=32794, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Mar 3 10:35:49 donau070 postfix/smtp[27572]: 1BD9FD28014: to=<dedntdie@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=32794, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Mar 3 10:35:49 donau070 postfix/smtp[27572]: 1BD9FD28014: to=<deecatdrewkev@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=32794, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Mar 3 10:35:49 donau070 postfix/smtp[27572]: 1BD9FD28014: to=<deepsleep420@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=32794, status=deferred (host mailin-03.mx.aol.com[64.12.138.120] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Mar 3 10:35:49 donau070 postfix/smtp[27572]: 1BD9FD28014: to=<deescript@aol.com>, relay=mailin-03.mx.aol.com[64.12.138.120], delay=32794, status=deferred (host mailin-03.mx.aol.com[64.1
Click to expand...

Ich nehme an, dass ist kein gutes Zeichen oder?
Habe noch zig tausende mehr von diesen Einträgen und auch viele Mails, die auch versendet wurden.

1) Ich liege wohl richtig in der Annahme, dass es sich hierbei um einen Spammer handelt ?

2) Wie finde ich heraus, wer so nett ist und diesen Spam von meinem Rechner versenden will ?

Gruß

Master-Basti
 
1) Ja.
2) Suche jeweils den ersten Eintrag zu der Email-Adresse im Maillog.
Von da ab aufwärts bis Du auf den initialen Auslöser stößt. (Können mehrere Seiten werden, da Spammer häufig von BCC gebrauch machen.)
Die Uhrzeit des ersten Eintrages aufschreiben, und dann sämptliche access_log nach Einträgen eines Mail-Scriptes durchsuchen, welches ziemlich genau zu dieser Uhrzeit aufgerufen wurde.

Ach ja:
Per mailq solltest Du die noch nicht versendeten Emails löschen, und Postfix solange auch beenden, damit es nicht gleich schon wieder los geht.

huschi.
 
Danke Huschi erstmal für deine Antwort!

Ich habe allerdings jetzt noch weitere Probleme...

1. Meine Log-Dateien beinhalten derzeit um die 1.5 GB... ist es sinnvoll diese ggfl. mal zu löschen ?

2. Das Postfach Root und das Postfach wwwrun enthalten ebenfalls mails.
Ich nehme an, dass es unter anderen Sinnvoll sein kann, diese auch abzurufen ? Wenn ja, macht das bei mir ca. 800 MB aus.... :(

Meine Frage, wie richte ich das am besten ein ?

3. Hab ich eine Selle gefunden, an der es zu Spam gekommen ist.
und diese mit der Uhrzeit exakt abgeglichen...

Dabei kam dies heraus:

129.41.250.20 - - [16/Jun/2006:02:21:39 +0200] "POST /gewinnspiel_send.php HTTP/1.0" 200 8038 "http://www.eine-domain.de/" "-"
Click to expand...

Ich habe den Account dann gesperrt, und nochmal nachgeschaut, wie sich das mit den MAils verhält... Kein Unterschied! Es geht fleißig weiter!

Was hat das zu bedeuten ?
Das war definitiv das einzige Script, dass gepasst hätte.... :(

Hat noch jemand eine Idee ?

Gruß

Master-Basti

[Edit]
Ich denke den Tag, an dem es angefangen hat, kann ich ganz gut festmachen, da ich seit dem 16.06 unterunterbrochen Mails von AOL an meine abuse Adresse bekomme und zusätzlich die Log-Dateien für die einzelnen Tage am 16.06 -> 2 MB größer waren und dann ständig mehr -> 17.06 -> 35 MB und am 18.06 sogar 65 MB

Würdet Ihr das ähnlich sehen ?

Ausserdem habe ich mal in das Script reingeschaut und festgestellt, dass die Variable Subject diesen Inhalt enthält:
"www.betreffendedomain.de - Gewinnspielteilnahme"

Von AOL bekomme ich selbe Information....

Bloß was mach ich jetzt ?
Ich hab das Script a) umbenannt und b) den Account gesperrt... trotzdem geht es fleißig weiter... :(
[/Edit]
 
Last edited by a moderator:
Also entweder stimmt mit den Zeitstempeln in diesem Thread etwas nicht,
... oder Du hast sehr lange Urlaub gemacht. ;)

Master-Basti said:
Bloß was mach ich jetzt ?
Ich hab das Script a) umbenannt und
Click to expand...
Verschieb es irgendwo hin, wo keiner dran kommt.

Master-Basti said:
b) den Account gesperrt... trotzdem geht es fleißig weiter... :(
Click to expand...
was meinst Du mit "Account gesperrt"? :confused:

Schonmal den Apachen durchgestartet?
Die Scriptdatei wird nur gebraucht, um den Sourcecode persistent zu halten, fuer die Verarbeitung wird der immer noch in den Arbeitsspeicher geladen und von dort ausgefuehrt also musst Du die Anwendung die ihn ausfuehrt mal "reseten" (ich tippe auf den Apachen).

Ciao,
Mercy.

P.S.: Und die Ursachenforschung nicht vergessen, Du willst doch nicht, dass sowas andauernd passiert. Solang solltest Du vielleicht auch noch alte logs und mails behalten.
 
Danke erstmal für deine Antwort...
War ein langer Urlaub ;-)

was meinst Du mit "Account gesperrt"?
Click to expand...

Der Account wurde über Confiixx gesperrt, sodass keine Zugriffe mehr auf diese Domain erfolgen können.

Verschieb es irgendwo hin, wo keiner dran kommt.
Click to expand...

Nunja, ich hab es ja wie gesagt umbenannt und in einen Ordner verschoben, wo keiner dran kommt... (zumindest nicht über das HTTP Protokoll)

Schonmal den Apachen durchgestartet?
Click to expand...

Hab ich gerade getan (rcapache2 restart), aber ein tail -f /var/log/mail.info zeigt nochimmer eine Flut an E-Mail, die da nicht hingehört.. alles AOL :(

Noch eine Idee ?

Wie sieht es mit den Postfächern "root" und "wwwrun" aus ?
Gibt es eine Möglichkeit auch diese Abzurufen, sonst platzen die Irgendwann...

[Edit]
Hmm, kann eine Ursache von diesem Spam auch ein nicht zustellen von NAchrichten von diesem Server sein,
oder ein sehr stark Verzögertes zustellen sowie empfangen ???
[/Edit]
 
Last edited by a moderator:
Master-Basti said:
Hab ich gerade getan (rcapache2 restart), aber ein tail -f /var/log/mail.info zeigt nochimmer eine Flut an E-Mail, die da nicht hingehört.. alles AOL :(

Noch eine Idee ?
Click to expand...

Das muessen nicht aktuell generierte mails sein, das koennen auch alte sein die noch in deiner mailqeue stehen. Mal die mailqeue leer machen (wie das bei Dir geht musst Du schaun).
Dann beobachten ob neue dazu kommen und dann nach dem von Huschi beschriebenen Muster in den logs schaun, wo die Ursache liegt.

Master-Basti said:
Wie sieht es mit den Postfächern "root" und "wwwrun" aus ?
Gibt es eine Möglichkeit auch diese Abzurufen, sonst platzen die Irgendwann...
Click to expand...
Bei der Menge wuerde ich schon fast hingehen, den kram taren und zippen (ist ja weitestgehend Text laesst sich also gut pressen) runterladen und auf einen imap-Server im LAN fuer dummy-user einspielen. Ist recht komfortabel.

Ciao,
Mercy.
 
Das muessen nicht aktuell generierte mails sein, das koennen auch alte sein die noch in deiner mailqeue stehen.
Click to expand...

Das klingt plausibel! :)
Ich möchte jetzt allerdings nicht die komplette Queue leeren, sondern allenfalls die AOL-Adressen.... Ein Auruf der mailq-Funktion endet übrigens in einer Endlosschleife aus AOL Adressen...

Hm.... Noch ne Idee wie ich das anstelle ?
 
Lösche die Queue!

Du hast hier wahrscheinlich noch einen häßlichen Bounce-Effekt: die automatischen AOL-Bounces werden von Deinem Server zurück gebounce. Und so kann das noch Tagelang hin und her gehen.

Daher lösche die Queue (immer wieder), verhindere, daß Bounces von Deinem Server verschickt werden. Sprich: setze eine Catchall auf die Domain, damit Dein Server endlich alles schluckt. (Er hat schließlich auch damit angefangen.) Du kannst ja den CatchAll auf /dev/null leiten. Dann leidet auch Deine Platte nicht drunter.

Aber vorallem finde die Lücke, wie das Spam-Script auf den Server gekommen ist!

PS: Ja, root-Mails sollte man immer lesen. Dort kommen die ersten Bounces auch an. Dann guckt man nicht erst aus der Röhre, wenn schon 100.000 Mails durch sind. :)
Mach einfach ne Weiterleitung auf Deine Mailbox. (Boardsuche)

huschi.
 
Super, mailqueue ist leer, Postfix läuft wieder erste Sahne und 14500 Spamnachrichten sind im Müll... Jetzt werd ich mich wohl erstmal bei AOL entschuldigen...

Bzgl. des Scriptes... Das war ein Script eines Users auf dem Server, welches anscheint "etwas" unsicher war... wie ich jetzt Präventiv dagegen handeln kann, weiß ich allerdings nicht... Dazu auch noch eine Idee? ;-)
 
Master-Basti said:
....Bzgl. des Scriptes... Das war ein Script eines Users auf dem Server, welches anscheint "etwas" unsicher war... wie ich jetzt Präventiv dagegen handeln kann, weiß ich allerdings nicht... Dazu auch noch eine Idee? ;-)
Click to expand...

Das Script sofort entfernen !

Das währe zumindest das erste was mir einfallen würde.
 
Gut, das ist bereits geschehen, allerdings kann ich nicht verhindern, dass irgendwann mal wieder ein unsicheres Script draufkommt und dasselbe Spiel wieder von vorne losgeht..... :(
 
Aber Du kannst erheblich schneller reagieren, wenn Du
a) alle Bounces erhälst (Emails an root und wwwrun).
b) Du die Logfiles regelmässig checkst (logwatch, etc.)

huschi.
 
Master-Basti said:
dass irgendwann mal wieder ein unsicheres Script draufkommt
Click to expand...

Genau genommen wuerde ich sogar noch weiter gehen und nicht von "unsicheres Script" sprechen sondern Vorsatz annehmen. Klaere doch mal mit Deinem Kunden ab, was das fuer eine Aktion war.
Kann ja sein, dass alle Angeschriebenen eine Einladung zu so einem Gewinnspiel angefordert haben (und nur AOL sich gewehrt hat weil die Empfaenger es dann doch als spam empfanden), kann aber auch etwas anderes sein... (weiss der Teufel woher diese e-mail Adressen kommen -> Wenn die Empfaenger nicht auf der besagten Seite eine Einladung explizit angefordert haben wuerde mich das schon interessieren besonders wenn's alles Adressen desselben Providers sind :mad: .)

Die Daten aus Deinem ersten und dritten post sehen nicht aus, wie voellig wild gewuerfelt (ASCII(random(65-90))), besonders nicht die e-mail Adressen der Empfaenger weshalb ich nicht einen ungluecklichen Zufall oder Programmfehler oder irgendwas, was mit "unsicher" zu tun haette annehmen wuerde.
Der Umstand, dass die auch noch in der Reihenfolge gebounced werden, in der sie alphabetisch sortiert (nach Empfaenger) waeren ist auch verdaechtig; Wenn AOL die in der Reihenfolge bounced, in der sie verschickt wurden (das koenntest Du mal nachsehen und auch die "Dichte" also Mailversand/Zeiteinheit), dann wuerde ich unterstellen, dass der Mailversand nicht interaktiv und nicht durch die Empfaenger veranlasst wurde sondern automatisiert mit einer zugrunde liegenden Adressliste.:cool:

Schau aber vorher nochmal in Deine AGB, ob Du eine derartige Nutzung evtl. zulaesst, das solltest Du u.U. ausschliessen (oder auf diese Zusatzleistung eingerichtet sein ;) ).

Ciao,
Mercy.
 
Also das merkwürdige ist, dass ich keine solchen Hinweise im Sript gefunden habe, sondern dies evtl. über die Eingabe des headers passiert ist... wie auch immer...

Gegen Spammer haben wir natürlich eine entsprechende AGB aufgesetzt...
Unter anderem:

§5 Inhaltseinschränkung
Der Kunde ist verpflichtet, seine Internet-Seite so zu gestalten, dass eine übermäßige Belastung des Servers, z.B. durch CGI-Skripte/PHP-Scripte, die eine hohe Rechenleistung erfordern oder überdurchschnittlich viel Arbeitsspeicher beanspruchen, vermieden wird. Der Provider ist berechtigt, Seiten, die den obigen Anforderungen nicht gerecht werden, vom Zugriff durch den Kunden oder durch Dritte auszuschließen.
(1) Soweit nicht vertraglich anders vereinbart, sind folgende Inhalte ausdrücklich nicht gestattet:
- Spamming-Mails oder Seiten, die mit irgend einer Art von Spamming in Zusammenhang stehen
- Sowie alle weiteren Scripte, welche die Funktion des Server beeinträchtigen und/ oder stören können In diesem Fall ist der Provider berechtigt, die Seite sofort zu sperren. Dies ist auch möglich, wenn durch die Seiten des Kunden eindeutig auch andere auf dem Server liegende Seiten beeinträchtigt werden, (beispielsweise durch viel zu hohen Traffic etc.). Der Kunde wird über diese Sperrung unterrichtet.
Click to expand...

Hat noch jemand eine Idee, wie lange diese Einträge in der mailqueue stehen bleiben ? Habe davon derzeit 9....

71EB0D28004 28454 Wed Jun 21 04:24:30 MAILER-DAEMON
(connect to mail.fremdrechner.biz[212.77.229.254]: Connection timed out)
reginald@andererfremdrechner.biz
Click to expand...

Gruß

Master-Basti
 
You must log in or register to reply here.
Back
Top