wavemaster550
New Member
Hallo,
Folgendens, scheinbar hat ein User von mir sein E-Mail-Passwort nicht ganz sicher gewählt, so das es durch einen Brute Force angriff wohl das Passwort herrausgefunden wurde. Seittem wurde fleissig Spam verschickt.....
Erstmal Postfix beendet und Logs durchsucht und auch den fehler gefunden. Habe jetzt das E-Mail-Passwort geändert damit es nicht mehr zu erraten ist, mittels dictionary attack. Danach mailqueue geleert und Postfix gestartet, seittem nixmehr an (spam)Mails.
Jetzt meine Frage: Ist es notwenig den Server neu aufzusetzten, weil eventuell irgent was eingeschleust wurde (zur info: chkrootkit hat nix gefunden), oder reicht es aus das das Passwort geändert wurde?
Hier noch die entsprechenden logs....
Password gefunden....
Anfang Mailversand:
Inzwichen auch bei einigen providern gesperrt:
Danke
Folgendens, scheinbar hat ein User von mir sein E-Mail-Passwort nicht ganz sicher gewählt, so das es durch einen Brute Force angriff wohl das Passwort herrausgefunden wurde. Seittem wurde fleissig Spam verschickt.....
Erstmal Postfix beendet und Logs durchsucht und auch den fehler gefunden. Habe jetzt das E-Mail-Passwort geändert damit es nicht mehr zu erraten ist, mittels dictionary attack. Danach mailqueue geleert und Postfix gestartet, seittem nixmehr an (spam)Mails.
Jetzt meine Frage: Ist es notwenig den Server neu aufzusetzten, weil eventuell irgent was eingeschleust wurde (zur info: chkrootkit hat nix gefunden), oder reicht es aus das das Passwort geändert wurde?
Hier noch die entsprechenden logs....
Password gefunden....
Code:
Okt 15 07:38:05 server pop3d: LOGIN FAILED, user=web58p1, ip=[::ffff:212.58.8.78]
Okt 15 07:38:05 server pop3d: LOGOUT, ip=[::ffff:212.58.8.78]
Okt 15 07:38:06 server pop3d: LOGIN FAILED, user=web57p1, ip=[::ffff:212.58.8.78]
Okt 15 07:38:06 server pop3d: LOGOUT, ip=[::ffff:212.58.8.78]
Okt 15 07:38:06 server pop3d: LOGIN FAILED, user=web57p2, ip=[::ffff:212.58.8.78]
Okt 15 07:38:06 server pop3d: LOGOUT, ip=[::ffff:212.58.8.78]
Okt 15 07:38:06 server pop3d: LOGIN FAILED, user=web57p3, ip=[::ffff:212.58.8.78]
Okt 15 07:38:10 server pop3d: LOGOUT, ip=[::ffff:212.58.8.78]
Okt 15 07:38:10 server pop3d: LOGIN FAILED, user=web57p4, ip=[::ffff:212.58.8.78]
Okt 15 07:38:11 server pop3d: LOGOUT, ip=[::ffff:212.58.8.78]
[b]Okt 15 07:38:11 server pop3d: LOGIN, user=web58p1, ip=[::ffff:212.58.8.78], port=[2022][/b]
Okt 15 07:38:11 server pop3d: LOGOUT, ip=[::ffff:212.58.8.78]
Okt 15 07:38:11 server pop3d: LOGIN FAILED, user=web57p1, ip=[::ffff:212.58.8.78]
Okt 15 07:38:11 server pop3d: LOGOUT, ip=[::ffff:212.58.8.78]
Okt 15 07:38:12 server pop3d: LOGIN FAILED, user=web57p2, ip=[::ffff:212.58.8.78]
[b]Okt 15 07:38:12 server pop3d: LOGOUT, user=web58p1, ip=[::ffff:212.58.8.78], port=[2022], top=0, retr=0, rcvd=6, sent=30, time=1[/b]
Okt 15 07:38:12 server pop3d: LOGIN FAILED, user=web57p3, ip=[::ffff:212.58.8.78]
Okt 15 07:38:15 server pop3d: LOGOUT, ip=[::ffff:212.58.8.78]Anfang Mailversand:
Code:
Okt 15 17:58:56 server postfix/smtpd[15592]: connect from l078.pri.ppp.doruk.net.tr[212.58.8.78]
Okt 15 17:58:56 server postfix/smtpd[15592]: BF6CEA14497: client=l078.pri.ppp.doruk.net.tr[212.58.8.78], sasl_method=LOGIN, sasl_username=web58p1
Okt 15 17:58:57 server postfix/cleanup[15596]: BF6CEA14497: message-id=<>
Okt 15 17:58:57 server postfix/qmgr[24045]: BF6CEA14497: from=<noreply@netlogmail.com>, size=2627, nrcpt=2 (queue active)
Okt 15 17:58:57 server postfix/smtpd[15592]: disconnect from l078.pri.ppp.doruk.net.tr[212.58.8.78]
Okt 15 17:58:57 server postfix/smtp[15597]: BF6CEA14497: to=<channel_-_-@hotmail.com>, relay=mx1.hotmail.com[65.55.92.152]:25, delay=1.2, delays=0.4/0.04/0.43/0.32, dsn=2.0.0, status=sent (250 <SNT0-MC2-F46BjgkEZN0005e20c@snt0-mc2-f46.Snt0.hotmail.com> Queued mail for delivery)
Okt 15 17:58:59 server postfix/smtp[15598]: BF6CEA14497: to=<dittari@yahoo.com>, relay=i.mx.mail.yahoo.com[74.6.140.64]:25, delay=2.4, delays=0.4/0.05/0.88/1, dsn=2.0.0, status=sent (250 ok dirdel)
Okt 15 17:58:59 server postfix/qmgr[24045]: BF6CEA14497: removed
Okt 15 18:02:17 server postfix/anvil[15594]: statistics: max connection rate 1/60s for (smtp:212.58.8.78) at Okt 15 17:58:56
Okt 15 18:02:17 server postfix/anvil[15594]: statistics: max connection count 1 for (smtp:212.58.8.78) at Okt 15 17:58:56
Okt 15 18:02:17 server postfix/anvil[15594]: statistics: max cache size 1 at Okt 15 17:58:56Inzwichen auch bei einigen providern gesperrt:
Code:
Oct 18 12:33:04 server postfix/error[20355]: CF9E9553BA6: to=<noreply@netlogmail.com>, relay=none, delay=355642, delays=355637/4.9/0/0.24, dsn=4.4.1, status=deferred delivery temporarily suspended: connect to mx.netlogmail.com[193.164.158.116]:25: Connection refused)
Oct 18 19:18:22 server postfix/smtp[16921]: DEDB1A143A9: to=<3bettyboop@bellsouth.net>, relay=gateway-f2.isp.att.net[207.115.11.16]:25, delay=4.1, delays=3.2/0.02/0.9/0, dsn=4.0.0, status=deferred (host gateway-f2.isp.att.net[207.115.11.16] refused to talk to me: 550-1.1.1.1 blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks)Danke
