Mailserver missbraucht?

[funkuch3n]

Hallo,

ich habe vor einigen Tagen von meinem Hoster eine E-Mail erhalten in der darauf hingewiesen wurde, das 3. sich anscheinend Zugriff auf meinen Root haben und diesen zum Versand von Spam nutzen.

Nachdem ich die Maschine nun selbst eingehend gecheckt habe, bin ich wirklich mit meinem Latein am Ende und hoffe, dass ich evtl. auf euch zählen kann...

Ausgabe von uptime:

20:25:13 up 1 day, 10:12,  1 user,  load average: 14.76, 15.80, 17.42

Ausgabe von ps aux | grep postfix:

postfix  31880  0.0  0.4   5792  2128 ?        S    20:10   0:00 smtp -t unix -u -c
postfix  31887  0.0  0.4   5792  2128 ?        S    20:10   0:00 smtp -t unix -u -c
postfix  31950  0.0  0.4   5796  2128 ?        S    20:11   0:00 smtp -t unix -u -c
postfix  31975  0.0  0.4   6076  2540 ?        S    20:11   0:00 trivial-rewrite -n rewrite -t unix -u -c
postfix  31978  0.0  0.4   5796  2132 ?        S    20:11   0:00 smtp -t unix -u -c
postfix  31989  0.0  0.4   5796  2136 ?        S    20:12   0:00 smtp -t unix -u -c
postfix  32017  0.0  0.4   5792  2128 ?        S    20:12   0:00 smtp -t unix -u -c
postfix  32019  0.0  0.4   5796  2136 ?        S    20:12   0:00 smtp -t unix -u -c
postfix  32021  0.0  0.4   5792  2120 ?        S    20:12   0:00 smtp -t unix -u -c
postfix  32033  0.0  0.4   5796  2132 ?        S    20:12   0:00 smtp -t unix -u -c
postfix  32134  0.0  0.4   5792  2132 ?        S    20:13   0:00 smtp -t unix -u -c
postfix  32146  0.0  0.4   5792  2124 ?        S    20:13   0:00 smtp -t unix -u -c
postfix  32147  0.0  0.4   5792  2128 ?        S    20:13   0:00 smtp -t unix -u -c
postfix  32148  0.0  0.4   5792  2128 ?        S    20:13   0:00 smtp -t unix -u -c
postfix  32153  0.0  0.4   5792  2136 ?        D    20:13   0:00 smtp -t unix -u -c
postfix  32157  0.0  0.4   5792  2128 ?        S    20:13   0:00 smtp -t unix -u -c
postfix  32173  0.0  0.7   7004  3880 ?        S    20:14   0:00 smtpd -n smtp -t inet -u -c -o stress  -s 2
postfix  32191  0.0  0.4   5796  2136 ?        S    20:14   0:00 smtp -t unix -u -c
postfix  32425  0.0  0.4   5796  2136 ?        S    20:17   0:00 smtp -t unix -u -c
postfix  32426  0.0  0.4   5792  2136 ?        S    20:17   0:00 smtp -t unix -u -c
postfix  32439  0.0  0.4   5796  2132 ?        S    20:17   0:00 smtp -t unix -u -c
postfix  32440  0.0  0.7   7000  3848 ?        S    20:17   0:00 smtpd -n smtp -t inet -u -c -o stress  -s 2
postfix  32460  0.0  0.4   5796  2124 ?        S    20:17   0:00 smtp -t unix -u -c
postfix  32500  0.0  0.4   5792  2108 ?        S    20:17   0:00 smtp -t unix -u -c
postfix  32546  0.0  0.4   5796  2128 ?        S    20:18   0:00 smtp -t unix -u -c
postfix  32638  0.0  0.3   5624  1804 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32639  0.0  0.3   5628  1808 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32642  0.0  0.3   5624  1804 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32649  0.0  0.4   5796  2132 ?        D    20:19   0:00 smtp -t unix -u -c
postfix  32653  0.0  0.3   5628  1808 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32654  0.0  0.3   5628  1808 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32655  0.0  0.3   5624  1804 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32656  0.0  0.3   5624  1804 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32657  0.0  0.3   5628  1808 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32658  0.0  0.3   5624  1804 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32659  0.0  0.3   5624  1804 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32660  0.0  0.3   5624  1800 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32720  0.0  0.3   5624  1804 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32725  0.0  0.3   5624  1800 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32726  0.0  0.4   5796  2136 ?        S    20:19   0:00 smtp -t unix -u -c
postfix  32734  0.0  0.4   5796  2132 ?        S    20:19   0:00 smtp -t unix -u -c
postfix  32741  0.0  0.4   5796  2132 ?        S    20:19   0:00 smtp -t unix -u -c
postfix  32742  0.0  0.4   5792  2128 ?        S    20:19   0:00 smtp -t unix -u -c
postfix  32744  0.0  0.3   5624  1800 ?        S    20:19   0:00 error -n retry -t unix -u -c
postfix  32763  0.0  0.4   5792  2120 ?        S    20:19   0:00 smtp -t unix -u -c
postfix  32765  0.0  0.7   7004  3884 ?        S    20:19   0:00 smtpd -n smtp -t inet -u -c -o stress  -s 2
postfix    315  0.0  0.4   5792  2116 ?        S    20:20   0:00 smtp -t unix -u -c
postfix    316  0.0  0.4   5792  2124 ?        S    20:20   0:00 smtp -t unix -u -c
postfix    322  0.0  0.3   5628  1808 ?        S    20:20   0:00 error -n retry -t unix -u -c
postfix    353  0.0  0.3   5624  1804 ?        S    20:20   0:00 error -n retry -t unix -u -c
postfix    356  0.0  0.4   5796  2128 ?        S    20:20   0:00 smtp -t unix -u -c
postfix    376  0.0  0.4   5792  2124 ?        S    20:20   0:00 smtp -t unix -u -c
postfix    378  0.0  0.3   5628  1804 ?        S    20:20   0:00 error -n retry -t unix -u -c
postfix    403  0.0  0.3   5624  1804 ?        S    20:20   0:00 error -n retry -t unix -u -c
postfix    405  0.0  0.3   5624  1800 ?        S    20:20   0:00 error -n retry -t unix -u -c
postfix    406  0.0  0.3   5624  1800 ?        S    20:20   0:00 error -n retry -t unix -u -c
postfix    422  0.0  0.3   5624  1800 ?        S    20:20   0:00 error -n retry -t unix -u -c
postfix    803  0.0  0.3   5656  1784 ?        S    20:25   0:00 bounce -z -n defer -t unix -u -c
postfix    804  0.0  0.3   5656  1780 ?        S    20:25   0:00 bounce -z -n defer -t unix -u -c

Es ist sehr merklich verzögert, was die Zustellung der E-Mails an geht, es dauert 4-5h bis diese wirkliche in den Boxen liegen....

Ausgabe von top:

top - 20:28:53 up 1 day, 10:16,  1 user,  load average: 19.57, 16.94, 17.46
Tasks: 372 total,  13 running, 358 sleeping,   0 stopped,   1 zombie
Cpu(s): 18.5%us, 14.9%sy,  1.9%ni,  3.9%id, 59.1%wa,  0.6%hi,  1.0%si,  0.0%st
Mem:    515784k total,   489140k used,    26644k free,    45764k buffers
Swap:  2104496k total,    82384k used,  2022112k free,   124616k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
14930 postfix   16   0 84408  78m 1548 D  6.9 15.6   9:00.86 qmgr
 2830 ts2       34  19  391m 2932 1496 R  2.6  0.6   3:33.97 server_linux
 1687 root      15   0  1820  568  492 D  1.3  0.1  11:28.26 syslogd
31975 postfix   15   0  6076 2544 1796 S  1.3  0.5   0:01.57 trivial-rewrite
 5142 root      17   0  5624 1856 1480 S  1.0  0.4   2:15.97 master
  591 www-data  18   0     0    0    0 Z  0.7  0.0   0:00.16 apache2 <defunct>
 1020 postfix   15   0  5656 1784 1452 S  0.7  0.3   0:00.04 bounce
 1091 root      15   0  2520 1284  876 R  0.7  0.2   0:00.08 top
  795 root      10  -5     0    0    0 D  0.3  0.0   3:58.92 kjournald
31844 postfix   15   0  5796 2132 1724 S  0.3  0.4   0:00.15 smtp
32426 postfix   15   0  5792 2136 1724 S  0.3  0.4   0:00.14 smtp
  693 postfix   16   0  6028 2608 1888 S  0.3  0.5   0:00.54 cleanup
  796 postfix   15   0  5792 2128 1724 S  0.3  0.4   0:00.04 smtp
  874 postfix   15   0  5656 1780 1452 S  0.3  0.3   0:00.04 bounce
  905 postfix   15   0  5656 1856 1500 S  0.3  0.4   0:00.02 bounce
  949 postfix   15   0  5656 1852 1500 S  0.3  0.4   0:00.04 bounce
  951 postfix   15   0  5656 1784 1452 S  0.3  0.3   0:00.03 bounce
  959 postfix   15   0  5656 1780 1452 S  0.3  0.3   0:00.04 bounce
  965 postfix   15   0  5660 1788 1452 S  0.3  0.3   0:00.03 bounce
  970 postfix   15   0  5660 1788 1452 S  0.3  0.3   0:00.02 bounce
  975 postfix   15   0  5628 1804 1464 S  0.3  0.3   0:00.02 error
 1018 postfix   15   0  5660 1784 1452 D  0.3  0.3   0:00.03 bounce
 1022 postfix   15   0  5660 1788 1452 S  0.3  0.3   0:00.03 bounce
 1044 postfix   15   0  5792 2104 1700 S  0.3  0.4   0:00.03 smtp
 1116 postfix   15   0  5656 1780 1448 D  0.3  0.3   0:00.01 bounce
 1126 postfix   15   0  5656 1784 1452 S  0.3  0.3   0:00.01 bounce
 1144 postfix   16   0  5624 1760 1432 S  0.3  0.3   0:00.01 error

Es ist in meinen Augen ersichtlich, dass dort irgendwas falsch läuft, allerdings komme ich nicht weiter... Die mail Logs füllen sich nach und nach u.a. mit folgendem:

mail.warn Log:

Jul  1 20:27:34 asterix postfix/smtp[31315]: warning: host xzapmail.com[0.0.0.0]:25 replied to HELO/EHLO with my own hostname h980912.serverkompetenz.net
Jul  1 20:28:47 asterix postfix/smtp[32763]: warning: no MX host for altavista.com has a valid address record
Jul  1 20:28:53 asterix postfix/smtp[32649]: warning: valid_hostname: empty hostname
Jul  1 20:28:53 asterix postfix/smtp[32649]: warning: malformed domain name in resource data of MX record for rc1.vip.ukl.yahoo.com:
Jul  1 20:29:00 asterix postfix/smtp[31848]: warning: valid_hostname: empty hostname
Jul  1 20:29:00 asterix postfix/smtp[31848]: warning: malformed domain name in resource data of MX record for optinfrenzy.com:
Jul  1 20:29:37 asterix postfix/smtp[32384]: warning: no MX host for mail.snet.net has a valid address record
Jul  1 20:29:55 asterix postfix/smtp[1209]: warning: no MX host for caribou-caribou.com has a valid address record
Jul  1 20:30:21 asterix postfix/smtp[31315]: warning: no MX host for shenessex.heartland.net has a valid address record
Jul  1 20:30:36 asterix postfix/smtp[1305]: warning: numeric domain name in resource data of MX record for house.com: 70.147.155.26

mail.err Log:

Jul  1 12:13:17 asterix postfix/bounce[25264]: fatal: lock file bounce 9E9EE780DD4: Resource temporarily unavailable
Jul  1 12:13:18 asterix postfix/bounce[25268]: fatal: lock file bounce 55892780DD8: Resource temporarily unavailable
Jul  1 12:13:18 asterix postfix/bounce[25271]: fatal: lock file bounce 55892780DD8: Resource temporarily unavailable
Jul  1 12:13:19 asterix postfix/bounce[25673]: fatal: lock file defer 08CEA780DD3: Resource temporarily unavailable
Jul  1 12:13:20 asterix postfix/bounce[25269]: fatal: lock file bounce 9E9EE780DD4: Resource temporarily unavailable
Jul  1 15:02:21 asterix postfix/bounce[4502]: fatal: lock file bounce 78C7F2FDE66: Resource temporarily unavailable
Jul  1 15:05:22 asterix postfix/bounce[4618]: fatal: lock file bounce B6F092FDEDA: Resource temporarily unavailable
Jul  1 15:05:27 asterix postfix/bounce[4604]: fatal: lock file bounce B6F092FDEDA: Resource temporarily unavailable
Jul  1 15:05:28 asterix postfix/bounce[4617]: fatal: lock file bounce B6F092FDEDA: Resource temporarily unavailable
Jul  1 15:05:32 asterix postfix/bounce[4606]: fatal: lock file bounce 8339E2FDEE3: Resource temporarily unavailable

Nun stelle ich mir aber die Frage, hat da jmd einfach ne Sicherheitslücke im MTA oder wie hat derjenige Zugriff auf die Maschine erhalten? Laut der last Ausgabe, war nur ich zuletzt auf der Kiste... also hat schonmal keiner nen vollwertigen Zugriff aber irgendwo muss ja jmd drinne sein wo dieser nicht hin gehört.

Ich würde mich auf jeden Fall über Unterstützung sehr freuen und bin auf eure Vorschläge / Anregungen gespannt.

Vielen Dank vorab und liebe Grüße
Sascha

 

[Huschi]

Gehen wir einfach mal auf die zentrale Frage ein:

hat da jmd einfach ne Sicherheitslücke im MTA

Wahrscheinlich nein.
Eher hast Du einfach ein unsicheres (PHP-)Script welches sich zum Spam-Versand missbrauchen lässt.
Finde die ersten Mails und Du kannst evtl. auf das passende Web und Script kommen.

PS: Ganz wichtig:
Schalte Deinen Postfix aus.

PPS: Falls Du überfordert bist, schau mal hier im Forum in die Suche-/Biete-Sektionen rein. Dort findest Du Admins, die Dir helfen.

huschi.

 

[DjTom-i]

Die mailq wird vollgeballert sein und Load wird nach und nach steigen.

Wieviele Mails sind denn in der Mailq ?

 

[funkuch3n]

So, nachdem wir heut Nacht ca. 2-3 Std. fieberhaft nach dem Problem gesucht haben, haben wir es soweit eingrenzen können.

Anfangs gingen wir davon aus, dass es sich um ein php-Script handelt welches unzählig viel Spam versendet, deswegen haben wir alle User einfach händisch via Confixx gesperrt, jedoch tat sich nichts merkliches am Load, also er sank natürlich geringfügig allerdings nicht merkbar von 20 auf 3 oder sowas...

Nachdem wir dann die Quelle Apache ausschließen konnten haben wir die mail log's weiter durchsucht, und sind dort auf eine interessante Passage gestoßen... die IP: 41.191.85.209 versuchte ca. 3 x pro Sekunde auf ein bestimmte webXpY Postfach zuzugreifen.
Über die IP:

The Project Honey Pot system has detected behavior from the IP address consistent with that of a mail server and dictionary attacker. Below we've reported some other data associated with this IP. This interrelated data helps map spammers' networks and aids in law enforcement efforts.

Also haben wir die IP-Adresse via Firewall gedropt und die Zugriffe hörten sofort auf, allerdings ist nun noch das Problem, dass die mailq voll ist, der Befehl:

postsuper -d ALL

Brachte selbst nach 1 Stunde noch kein Resultat und war/ist aktiv.

Die Anzahl der Mails in der mailq:

asterix:/root# mailq|wc -l
477335

Der aktuelle Load:

load average: 4.29, 5.68, 9.67

ist inzwischen merklich zurück gegangen.

Aktuell bin ich dabei nochmals mittels postsuper -d all alle Mails zu löschen, mal sehen wie das läuft.

 

[Huschi]

Immer als Erstes:

/etc/init.d/postfix stop

Damit drehst Du auch die Load runter und postsuper kann schneller arbeiten.
Oder willst Du warten bis die 477.335 Spammails raus sind?
Wenn ja, nenne bitte Deine IP damit wir die direkt in die Blacklist stellen können und unsere Server somit entlasten.

huschi.

 

[d4f]

Ich tippe mal dass entweder das SMTP-Passwort eines deiner Kunden dem Spammer bekannt ist (meist mittels Trojaner auf dem Kunden-PC oder Internet-Cafe ) oder du schlichtwegs den Server als open relay laufen hast.

Wie jedoch bereits mehrmals angesprochen: wenn du _STUNDEN_ (nach Bekanntgabe!) brauchst um auf solche dringende Probleme zu reagieren und bislang nach bestem Wissen weiterhin den Server fuer Spammer offen betreibst dann kuendige den Server bitte. DANK!
Webhoster sein ist mehr als mit einem vorgefertigten GUI aus 100 Euro Serverkosten 1000 Euro EInnahmen zu machen!