Port 25 vom Anbieter gesperrt.

S

SiggiM

ewiger Anfänger
Hallo
Ich habe einen Server bei OVH mit: Ubuntu 12.04 LTS
& der Plesk Version: 12.0.18 Update #64
Jetzt habe ich zum 2. mal eine Nachricht in meinem Postfach:
"Guten Tag,
wir haben den Versand von Spam-Nachrichten von der
IP-Adresse "Server-IP" aus festgestellt.
Zu Ihrer Sicherheit und um Beeinträchtigungen unseres Netzwerks zu
vermeiden haben wir deshalb den ausgehenden Traffic Ihres Servers
auf Port 25 gesperrt."
Dann folgen 4 Beispiele mit Empfänger IP-Adressen usw.

Ich habe die MailQueue geleert, den Server neu gestartet
auffällige Domains in die Blacklist geschaufelt, aber leider nach
3 Tagen das gleiche Prob. wieder.

Hier mal ein Beispiel einer failure notice

Erst 15 - 20 Mailadressen mit Sorry it didn't work out.
oder Sorry, I couldn't find any host named nalthed.com. (#5.1.2)

Return-Path: <watchdog@"meinServername".kimsufi.com>
Received: (qmail 8249 invoked from network); 12 Sep 2015 00:38:44 +0200
Received: from localhost (HELO "meinServername".kimsufi.com) (127.0.0.1)
by localhost with ESMTPA; 12 Sep 2015 00:38:44 +0200
From: watchdog@"meinServername".kimsufi.com

Leider habe ich keinen Schimmer von wo, oder wie diese Nachrichten
zu stande kommen, wenn noch eine Absenderadresse enthalten wäre
oder auch etwas anderes derartiges, aber völlig ohne, bin ich ratlos.

Ich bin nun leider nicht gerade der Server-Profi, mit Plesk und all dem drumherum komme ich klar, manchmal reicht das aber nicht DENK.

vielen dank im voraus.
Siggi
 
Last edited by a moderator:
Guten Morgen,

Eigentlich müsste da schon etwas mehr im Mail.log stehen, z.B. falls ein PHP-Script genutzt wird, welches dies ist etc.

Falls du mir die Zugangsdaten (Shell) per PN schicken möchtest, kann ich mir das gerne mal anschauen. ;)
 
Laut der beispielhaftReceived-Zeile ist die Mail über den Localhost per SMTP mit Authentisierung beim Mail-Server abgeliefert worden (und nicht den sendmail-Wrapper von qmail). Das macht die Suche nicht gerade einfacher, denn ein Wrapper-Script (wie hier beschrieben) würde da wohl nix bringen - es schadet aber nicht, diesen trotzdem einzurichten.
Oft werden für den Spamversand Lücken in installierten Scripts auf den Webseiten genutzt. Da würde ich mit der Suche anfangen. Systematisch vorgehen: Kontaktformulare, Newsletter-Scripts, etc. als erstes, dann die anderen Sachen. Sind für den Mailversand in irgendwalchen von den Scripten Zugangsdaten für den Mailserver eingetragen? Auch die Access-Logs des Webservers zur Hilfe nehmen. Auf welche Scripte wurde gerade zugegriffen, als die Spammails versandt wurden?
Wenn du da nicht fündig wirst, mußt du tiefer graben. Es kann ja z.B. auch sein, dass der Spammer an FTP-Zugangsdaten für den Server gekommen ist und darüber ein eigenes Spamscript hochgeladen hat.
 
Danke

Ersteinmal danke für die hilfreichen Antworten,
scheinbar haben wir die Domain gefunden, von der die
ganze sache ausgeht, im FTP sind seit der letzten Aktuallisierung
keine Anderungen zu verzeichnen, also habe ich die Domain kurzerhand
gesperrt und siehe da die Mail log spuckt nach kurzer zeit folgendes aus:

Sep 13 07:36:06 ks"meinServer" smtp_auth[3205]:
FAILED: info@"diese-Domain".de - password incorrect
from p4210-ipbf809sapodori.hokkaido.ocn.ne.jp [123.216.214.210]

und das am laufenden Meter, demnach war das PW ja bekannt
denn in den "failure notice" der Server-Warteschlange tauchte am Ende
auch jeweils die gleiche Domain wie oben auf, d3p ist in sachen Server
sicher bewanderter wie ich und schaut sich das ganze mal im root an,
Ich habe vorsorglich sämtliche PW's, die diese Domain betreffen
auf "sehr sicher" geändert, wenn das alles funktioniert ist das ja schon
ganz gut, nur dann kommt das nächste Prob. , die Mailserver, die Spam
abbekommen haben, haben natürlich schon alle ihre Pforten geschlossen
und ausgehende Mails landen, als failure notice, wieder beim Absender.

Siggi
 
Wenn die folgdene Header-Zeile (die du weiter oben gepostet hast), wirklich von einer Spammail stammt, dann wurde die Mail auf deinem Server generiert und an den Mail-Server übergeben und nicht von der japanischen IP:

Code: 
Received: from localhost (HELO "meinServername".kimsufi.com) (127.0.0.1)
by localhost with ESMTPA; 12 Sep 2015 00:38:44 +0200

Du hast also evtl. noch ein weiteres Problem, bei dem es auch höchstewahrscheinlich nicht hilft, wenn du deine Passwörter änderst. Falls es sich beispielsweise um ein schlecht programmiertes Kontaktformular handelt, trägst du dort ja das neue Passwort ein, damit der Mailversand wieder funktioniert und schon kann der Spammer wieder weiter Mails versenden.
Das Login-Fehler im Log auftauchen (auch massenhaft), bedeutet nicht, dass deine Passwortänderung zum Erfolg geführt hat. Das ist normales Grundrauschen, das sehe ich bei mir im Log auch regelmäßig. Und wenn der Spammer an ein Passwort gekommen ist, dann mußt du auch ermitteln, wie der Spammer daran gekommen ist (bei einem Trojaner/Keylogger hilft das beste Passwort nix).
Bezüglich Mailservern, die deinem Mails nicht mehr ablehnen: Prüfe, auf welchen Blacklists du stehst und schaue nach, wie du wieder runter kommst. Bei einigen geschieht das nach einiger Zeit automatisch, wenn die IP nicht mehr auffällig ist, bei anderen muß man es beantragen. Teilweise nehmen die Blacklist-Betreiber auch eine Gebührt dafür. Und einige Mailserver-Betreiber pflegen auch eigene Blacklists, da hilft dann nur, den jeweiligen Betreiber zu kontaktieren. Die bekommst du raus, wenn deine Mails weiter abgelehnt werden, obwohl du auf keinen Blacklists mehr stehst.
 
hmmmmm

Ich habe die gesamte Webseite geupdatet, auf dieser war im FTP
keine Änderung, ausser die von mir selbst, scheinbar gab es in der
Kontakt-Seite eine Lücke, ebenfalls habe ich eine .htaccess ins
Webspace geschoben (um die 4K IPs) und die Registration, die auf
der Seite nur bedingt nötig ist deaktiviert, der d3p hat mir sehr geholfen
indem er auf dem root einen "Malware & einen Rootkit-Scanner"
durchlaufen lassen hat, was zwar keine direkten Funde gezeigt,
aber dennoch irgenwas am Mailserver geändert hat.
Heute nun "oh wunder" mein eigenes Postfach (total ungewohnt) leer,
keine 150Mails :eek: mehr und wenn ich denn da durchgestiegen bin,
kommt noch Fail2Ban ins System.

Einen Fehler gibts noch, der root@ versucht an drweb@ die neuesten
Updates zu senden, nur gibt es die drweb@ scheinbar nicht, oder nicht mehr,
somit kommen mehrere failures/Tag zu stande, auch wieder so ein ding,
wozu ne mail an eine adresse die nicht existiert und wenn doch, kann sie
nicht abgerufen werden.

Bin über jeden Kommentar erfreut, denn man wird alt wie ne Kuh
und lernt immer was dazu, nur hab ich wohl zu spät mit der ganzen
Materie angefangen und die Schritte des Grundwissens gleich mal
übersprungen, was einem dann wieder fehlt, wenn es Prob. gibt.

Siggi
 
SiggiM said:
scheinbar gab es in der
Kontakt-Seite eine Lücke,
Click to expand...

Was meinst du mit scheinbar? Hast du die Lücke geschlossen oder ein Update installiert bzw. ein andere Kontaktformular?

Einen Fehler gibts noch, der root@ versucht an drweb@ die neuesten
Updates zu senden, nur gibt es die drweb@ scheinbar nicht, oder nicht mehr,
somit kommen mehrere failures/Tag zu stande, auch wieder so ein ding,
wozu ne mail an eine adresse die nicht existiert und wenn doch, kann sie
nicht abgerufen werden.
Click to expand...

Dr. Web ist ein Virenscanner, den Plesk meines Wissens nutzt. Das werden wahrschein Mails von Cronjobs o.ä. zu diesem Virenscanner sein. Und damit diese beim Serveradmin ankommen, sollte es eigentlich einen passenden Mail-Alias geben, der die Mails an drweb@... an das Postfach des Serveradmins weiterleitet.
 
Update und noch mehr

Da nicht eindeutig war wie die Spammails zu stande kamen,
habe ich alles ersetzt was irgendwie anfällig für sowas ist:
  • alle PWs "Plesk, Mail, FTP, DB" geändert
  • Kontaktformular geupdatet
  • GB (Basti2web) geupdatet
  • Registrierung deaktiviert
  • .htaccess mit über 4k einträgen
  • alle Mailadressen gesammelt und in die Blacklist
  • maldet bei d3p
  • rkhunter bei d3p
was dem ganzen letztendlich den gar ausgemacht hat hmmmm
klar wäre es gut zu wissen, aber dafür kenne ich mich zuwenig
mit den Logs aus.
 
Last edited by a moderator:
Ich werde ja häufiger mit sowas beauftragt und in den Logs findet man normalerweise schon gut heraus, worans lag.

Denn mit dem Zeitstempel einer Spam-Email hat man in der Regel auch irgendeinen Eintrag in einem anderen Log, sei es der Aufruf einer problematischen Datei auf dem Webserver oder halt ein SMTP-Auth-Eintrag.

Ich würde mir an Deiner Stelle die Mühe schon machen oder Jemanden beauftragen, das herauszufinden, sonst kann es Dir immer wieder passieren und und Kunden von mir wurde schon der Server dauerhaft gesperrt, weil es immer wieder Spam-Versand gab und die die von mir gefundenen Ursachen nicht beseitigten.
 
You must log in or register to reply here.
Back
Top