Offensichtlich wird mein Server für Spam missbraucht

[Andi22]

Also nen eigenen Server hab ich seit 3 Jahren. Hatte bisher noch nicht solche Probleme.

 

[pii]

Morgen,
ich habe leider auch ein Problem.. nopaste.com (beta)
Wie kann ich das beheben?

Benutze Debian 4 mit Confixx 3.3.5


Danke


Gruß

 

[Huschi]

Ja, Du hast ein Problem mit Spammern.
Da der Absender www-data ist, liegt der Verdacht nah, dass es sich um ein Web-Script / Web-Formular handelt, welches die Eingaben nicht gut genug überprüft.

Was Du machen kannst, steht hier schon mal hier:
Über meinen Server werden Spam's verschickt!

Wichtig ist: Mail-Server abschalten und die Mail-Queue leeren!!!

huschi.

 

[pii]

Danke für deine Antwort. Habe jetzt die 2. Möglichkeit ausprobiert mal abwarten..
Kann den Mailserver leider nicht abstellen weil da sämtliche eMail-Adressen von mir drüber laufen.
Der Support weiss bescheid nur die sagen auf gut Deutsch "ist uns egal, ist dien Server reparier das" und mehr nicht.


Gruß

edit: In dem Ordner /tmp finde ich leider keine Logdatei. In der phpinfo steht

sendmail_from no value no value
sendmail_path /usr/sbin/sendmail -t -i /usr/sbin/sendmail -t -i

 

[Ben.]

@pii: Du hast den Pfad in dem sendmail-wrapper hoffentlich auf /usr/sbin/sendmail angepasst, und nicht /usr/lib/sendmail verwendet, oder?

Durch das Nicht-Abschalten des Mailservers könnte von einer Fahrlässigkeit abgesehen werden (keine Rechtsberatung!).

 

[pii]

Ich habe folgendes gemacht:

#!/bin/sh
TODAY=`date -Iseconds`
echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send
(echo X-Additional-Header: $(dirname $PWD);cat) | /usr/sbin/sendmail-real "$@"

und dann

chmod +x sendmail-wrapper
mv /usr/sbin/sendmail /usr/sbin/sendmail-real
mv sendmail-wrapper /usr/sbin/sendmail

Gruß


edit: nun habe ich folgendes in der mail.send stehen

2009-05-28T17:51:00+0200 sendmail-wrapper called from /var/www/web2/html/forum
2009-05-28T17:51:00+0200 sendmail-wrapper called from /var/www/web2/html/forum
2009-05-28T17:51:00+0200 sendmail-wrapper called from /var/www/web2/html/forum

d.h. die Mails werden über dem Script in dem Ordner verschickt? Das ist ein phpbb Forum..

 

[wstuermer]

Hi,

Du solltest ASAP den Mailserver stoppen, Mailqueue leeren, phpBB auf den aktuellsten Stand bringen, die Optionen von phpBB nochmal auf Plausibilität und Sicherheit prüfen, Mailserver starten, wrapper-log im Auge behalten.


-W

 

[pii]

Guten Morgen,
in der Mail-Warteschlange standen nur 2 Aufträge und bei beiden "Hostname lookup fail" oder so ähnlich. Die habe ich jetzt rausgelöscht.
phpbb ist auf dem neuesten Stand, ich werde nur, statt den php mailer zu nutzen, einen SMTP Server eintragen.

Gruß

 

[Huschi]

Kann den Mailserver leider nicht abstellen

Das ist keine Ausrede!!!
Es geht darum, dass Du
a) andere Server und Admins beschäftigst/belästigst,
b) durch Verbreitung von Spam (oder Viren) zumindest eine Mittäterschaft erhälst,
c) Deine eigene Reputation und die des Servers in Gefahr bringst.

Wenn Dir schon a und b egal sind, so sollte es c nicht sein. Denn sonst heißt Dein nächster Thread: "AOL will keine Emails mehr von mir annehmen".

ich werde nur, statt den php mailer zu nutzen, einen SMTP Server eintragen.

Und das soll dann welchen Vorteil bringen?
Der frisch installierte Wrapper wird ausgehebelt und Du weißt dann wieder nicht, welches Script eine Lücke ausnutzt...


huschi.

 

[pii]

Dachte das bringt dann den Vorteil dass keine Mails über den php mailer gesendet werden?
Seitdem ich die Einträge aus der Mail-Warteliste gelöscht habe, sind keine Spameinträge mehr in der mail.info aber in der mail.send sind aktuellere Einträge. Das muss ja kein Spam gewesen sein?


Gruß

 

[Huschi]

Dachte das bringt dann den Vorteil dass keine Mails über den php mailer gesendet werden?

Wieder die Frage: Was erwartest Du bringt das?

Das muss ja kein Spam gewesen sein?

Kann ich ohne Fakten nicht beurteilen.

huschi.

 

[pii]

Moin,

Kann ich ohne Fakten nicht beurteilen.

In der mail.info steht jetzt nur noch folgendes:

Jun  1 02:23:47 uh10x dovecot: imap-login: Login: user=<web0p1>, method=plain, rip=88.x, lip=78.x
Jun  1 02:23:47 uh10x dovecot: imap-login: Login: user=<web0p2>, method=plain, rip=88.x, lip=78.x
Jun  1 02:23:51 uh10x dovecot: IMAP(web0p1): Disconnected: Logged out
Jun  1 02:23:51 uh10x dovecot: IMAP(web0p2): Disconnected: Logged out
Jun  1 02:40:22 uh10x dovecot: imap-login: Login: user=<web0p1>, method=plain, rip=88.x, lip=78.x
Jun  1 02:40:22 uh10x dovecot: imap-login: Login: user=<web0p2>, method=plain, rip=88.x, lip=78.x
Jun  1 02:40:25 uh10x dovecot: IMAP(web0p1): Disconnected: Logged out
Jun  1 02:40:26 uh10x dovecot: IMAP(web0p2): Disconnected: Logged out
Jun  1 09:48:21 uh10x sm-mta[22516]: n517mJXX022516: from=<FiBu@x.de>, size=55977, class=0, nrcpts=1, msgid=<10740283501062009.094810381@x.d$
Jun  1 09:48:23 uh10x spamd[7300]: spamd: connection from localhost.localdomain [127.0.0.1] at port 60154
Jun  1 09:48:23 uh10x spamd[7300]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody
Jun  1 09:48:23 uh10x spamd[7300]: spamd: processing message <10740283501062009.094810381@x.de> for web0p1:65534
Jun  1 09:48:23 uh10x spamd[7300]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spama$
Jun  1 09:48:23 uh10x spamd[7300]: spamd: clean message (0.0/5.0) for web0p1:65534 in 0.1 seconds, 56266 bytes.
Jun  1 09:48:23 uh10x spamd[7300]: spamd: result: . 0 - scantime=0.1,size=56266,user=web0p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,rad$
Jun  1 09:48:23 uh10x spamd[27835]: prefork: child states: II
Jun  1 09:48:23 uh10x sm-mta[22521]: n517mJXX022516: to=<pascal@x.net>, delay=00:00:03, xdelay=00:00:02, mailer=local, pri=86193, dsn=2.0.0, s$
Jun  1 10:20:25 uh10x dovecot: imap-login: Login: user=<web0p3>, method=plain, rip=88.x, lip=78.x
Jun  1 10:20:36 uh10x dovecot: IMAP(web0p3): Disconnected: Logged out
Jun  1 12:16:18 uh10x dovecot: imap-login: Login: user=<web0p1>, method=plain, rip=88.x, lip=78.x
Jun  1 12:16:18 uh10x dovecot: imap-login: Login: user=<web0p2>, method=plain, rip=88.x, lip=78.x
Jun  1 12:17:27 uh10x dovecot: IMAP(web0p1): Disconnected: Logged out
Jun  1 12:17:28 uh10x dovecot: IMAP(web0p2): Disconnected: Logged out
Jun  1 12:24:00 uh10x dovecot: imap-login: Login: user=<web0p1>, method=plain, rip=88.x, lip=78.x
Jun  1 12:24:00 uh10x dovecot: imap-login: Login: user=<web0p2>, method=plain, rip=88.x, lip=78.x
Jun  1 12:24:05 uh10x dovecot: IMAP(web0p1): Disconnected: Logged out
Jun  1 12:24:05 uh10x dovecot: IMAP(web0p2): Disconnected: Logged out

Also ich würde sagen, steht nichts außergewöhnliches mehr

In der mail.send steht:

2009-06-01T06:53:20+0200 sendmail-wrapper called from /var/www/web2/html/forum
2009-06-01T06:53:20+0200 sendmail-wrapper called from /var/www/web2/html/forum
2009-06-01T11:57:21+0200 sendmail-wrapper called from /var/www/web2/html/forum
2009-06-01T12:39:50+0200 sendmail-wrapper called from /var/www/web2/html/forum
2009-06-01T12:39:50+0200 sendmail-wrapper called from /var/www/web2/html/forum
2009-06-01T12:39:50+0200 sendmail-wrapper called from /var/www/web2/html/forum

Gruß

 

[Huschi]

Hast Du denn irgendwas in den Scripten geändert?
Hast Du das Einfalls-Tor gefunden?
Hast Du das System durchsucht nach evtl. hochgeladenen Fremd-Scripten?
Weißt Du genau, was da passiert ist?

Wenn nur Antwort mit "Nein" beantwortet wird, kannst Du nicht ausschließen, dass das Problem nicht jederzeit wieder auftauchen kann.

huschi.