Problem mit Mailserver (Spam)(Fastit)

[theborg]

Hallo, ich hab ein kleines Problem ich hab einen Vserver von Fastit,

Nun bekomme ich Spam aus deren Netz das komische ist das der scheinbar ohne Login connecten kann denke das ist irgendwo falsch konfiguriert das da irgendeine Einstellung das ausm lokalen netz erlaubt.

SPAMServer ist 62.141.36.3 laut wohis wen ich das richtig gesehen hab nen Infrastruktur Server, hab die IP jetzt erstmal mit itabels geblockt aber das ist auch keine Lösung.

jemand ne idee ?

 

[sbr2d2]

Werd da jetzt gerade nicht schlau aus dem was Du schreibst. Entweder Du bekommst Spam-mails oder die von dir gesperrte ip sendet Spam von deinem Server. Bei 2teren solltest du deine Konfiguration überarbeiten. Entweder hat jemand Zugang zu deinem Mailserver, eine der Websites hat eine Lücke oder der Mailserver läuft als open Relay. Näheres erzählen dir deine Logfiles.

 

[theborg]

Werd da jetzt gerade nicht schlau aus dem was Du schreibst. Entweder Du bekommst Spam-mails oder die von dir gesperrte ip sendet Spam von deinem Server. Bei 2teren solltest du deine Konfiguration überarbeiten. Entweder hat jemand Zugang zu deinem Mailserver, eine der Websites hat eine Lücke oder der Mailserver läuft als open Relay. Näheres erzählen dir deine Logfiles.

Den Webserver kann ich ausschließen, Alle Openrelay Checks sagen das er dicht ist.

Ja der Server versendet über meinen Server komischerweise kann der sich einloggen ka. warum PW hab ich mehrfach verändert also der kommt so drauf ka. wie.

Aug 4 11:24:34 158185 imapd: Connection, ip=[::ffff:62.141.36.3]
Aug 4 11:24:34 158185 imapd: LOGOUT, ip=[::ffff:62.141.36.3], rcvd=11, sent=307
Aug 4 11:28:20 158185 postfix/smtpd[5494]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Aug 4 11:28:20 158185 postfix/smtpd[5494]: connect from unknown[62.141.36.3]
Aug 4 11:28:20 158185 postfix/anvil[4387]: statistics: max connection rate 1/60s for (smtp:62.141.36.3) at Aug 4 11:18:20
Aug 4 11:28:20 158185 postfix/anvil[4387]: statistics: max connection count 1 for (smtp:62.141.36.3) at Aug 4 11:18:20
Aug 4 11:28:20 158185 postfix/anvil[4387]: statistics: max cache size 2 at Aug 4 11:23:20
Aug 4 11:28:20 158185 postfix/smtpd[5494]: disconnect from unknown[62.141.36.3]
Aug 4 11:28:34 158185 postfix/smtpd[4940]: timeout after RSET from saiens.jp[111.68.174.86]

 

[.A.]

Was sagt postconf -f mynetworks smtpd_client_restrictions smtpd_sender_restrictions smtpd_recipient_restrictions smtpd_relay_restrictions?


---
.A.

 

[theborg]

Hi, hier mal die ausgabe.

postconf: warning: smtpd_relay_restrictions: unknown parameter
mynetworks = 127.0.0.0/8
smtpd_client_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,
reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender,
reject_unknown_sender_domain, reject_unknown_recipient_domain,
reject_rbl_client domain-name, reject_unauth_destination

 

[d4f]

Also ich sehe in deinem Log-Auszug nichts spezielles - ein Mailserver verbindet sich zu deinem Mailserver und schliesst ohne etwas aus zu führen die Verbindung wieder. Von Versand sehe ich in deine Logs nichts.

 

[theborg]

Also ich sehe in deinem Log-Auszug nichts spezielles - ein Mailserver verbindet sich zu deinem Mailserver und schliesst ohne etwas aus zu führen die Verbindung wieder. Von Versand sehe ich in deine Logs nichts.

Jo hab nur Auszüge gezeigt der con. ca. alle 2min. der nutzt eine meiner Email Adressen, hab jetzt noch gesehen das er GET Request auf den Webserver macht auf die 404 Seite die hab ich kontrolliert die ist nicht manipuliert (ist bei mir nur ein, ein zeiler Text) vielleicht um zu schauen ob der Server noch da ist ?

Aug 5 09:28:10 158185 postfix/smtpd[16773]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Aug 5 09:28:10 158185 postfix/smtpd[16773]: connect from unknown[62.141.36.3]
Aug 5 09:28:10 158185 postfix/smtpd[16773]: disconnect from unknown[62.141.36.3]
Aug 5 09:30:13 158185 postfix/qmgr[7343]: 2DDE37BA0EE9: from=<+++++@++++.com>, size=3469, nrcpt=11 (queue active)
Aug 5 09:30:13 158185 postfix/qmgr[7343]: D037B7BA0C1B: from=<+++++@++++.com>, size=3478, nrcpt=11 (queue active)
Aug 5 09:30:15 158185 postfix/smtp[17324]: connect to mx2.eyou.com[61.136.58.184]:25: Connection refused
Aug 5 09:30:16 158185 postfix/smtp[17324]: connect to mx.eyou.com[61.136.62.79]:25: Connection refused
Aug 5 09:30:16 158185 postfix/smtp[17324]: 2DDE37BA0EE9: to=<yinhongwei168@eyou.com>, relay=none, delay=4693, delays=4690/0.06/2.6/0, dsn=4.4.1, status=deferred (connect to mx.eyou.com[61.136.62.79]:25: Connection refused)
Aug 5 09:30:20 158185 postfix/smtp[17325]: connect to mx.eyou.com[61.136.62.79]:25: Connection refused
Aug 5 09:30:21 158185 postfix/smtp[17325]: connect to mx2.eyou.com[61.136.58.184]:25: Connection refused
Aug 5 09:30:21 158185 postfix/smtp[17325]: D037B7BA0C1B: to=<gaoshengquan@eyou.com>, relay=none, delay=44734, delays=44727/0.03/7.5/0, dsn=4.4.1, status=deferred (connect to mx2.eyou.com[61.136.58.184]:25: Connection refused)
Aug 5 09:30:21 158185 postfix/smtp[17325]: D037B7BA0C1B: to=<hubiaoyong@eyou.com>, relay=none, delay=44734, delays=44727/0.03/7.5/0, dsn=4.4.1, status=deferred (connect to mx2.eyou.com[61.136.58.184]:25: Connection refused)

 

[.A.]

Es gibt zwar noch einige weitere Möglichkeiten Postfix zur Annahme von Mails von 62.141.36.3 zu konfigurieren, du hast aber bislang keinen Auszug aus einer Logfile geliefert, dass 62.141.36.3 tatsächlich Mails einliefert. Auch in dem weiteren Auszug kommen die nicht zustellbaren Mails nicht aus der Verbindung mit 62.141.36.3. Dein Server scheint folglich keine Mails von 62.141.36.3 anzunehmen.


---
.A.

 

[TerraX]

Dein Server hat aber scheinbar ein dringendes Bedürfnis diverse Mails an User der Domain @eyou.com verschicken zu wollen, offensichtlich Richtung asiatischer Raum.

Frage: Ist das planmäßig so oder war das die eigentliche Frage, dass Deine Kiste eine Spamschleuder ist und wo Du jetzt suchen sollst?

...hab jetzt noch gesehen das er GET Request auf den Webserver macht auf die 404 Seite die hab ich kontrolliert die ist nicht manipuliert (ist bei mir nur ein, ein zeiler Text) vielleicht um zu schauen ob der Server noch da ist ?

Gefährlich sind die Anfragen, die mit Statuscode 200 u.ä. beantwortet werden, also "erfolgreich" bearbeitet wurden. du wirst also die access.logs durchstöbern müssen.

Last but not least, Du wirkst auf mich etwas überfordert. Vielleicht möchtest Du Dir lieber professionelle Hilfe holen?

 

[theborg]

Jo ich find es nicht, dachte die eine IP wehre das aber ist es auch nicht hab jetzt raus gefunden das es das Monitoringsystem ist.

Woher der Spam kommt finde ich einfach nicht raus hab keine anderen Logins auch, der Apache schmeißt nichts raus an Meldungen.

 

[theborg]

Ok Trozdem danke hab den Fehler b.z.w. das Problem gefunden Mysql ist schuld, deswegen ist auch das Ändern des PW für den ACC immer ins lehre gelaufen.

 

[TerraX]

Ok Trozdem danke hab den Fehler b.z.w. das Problem gefunden Mysql ist schuld, deswegen ist auch das Ändern des PW für den ACC immer ins lehre gelaufen.

Irgendwie habe ich daran meine Zweifel.

 

[theborg]

Naja die User stehen in einer Datenbank, wen ich das PW geändert habe hat das ding einfach die DB ausgelesen über MySQLDumper, lässt sich auch an den Logs nachvollziehen fällt aber in den Apache logs so kaum auf.

Hab MySQLDumper gelöscht und alle DB PWs geändert seit dem ist ruhe.

 

[TerraX]

Welches "Ding" hat die DB ausgelesen? Ein Script (Malware)? Dann wäre es angezeigt, die Malware zu entfernen und Maßnahmen für die zukunft zu treffen, das keine eben solche mehr auf den Server gelangt. Oder war bei Dir das Script mySQLDumper etwa frei zugänglich?

 

[theborg]

Nein Mysqldumper war per htaccess abgesichert, auch da war das PW scheinbar irgendwie auffindbar, es gab vor einiger zeit mal ein Sicherheitsproblem mit meinem BLOG vielleicht stammt das noch daher.

Mailware und Scripte sind nicht vorhanden laut Apachelog hat sich der Spamer normal in das htaccess Login eingeloggt und dann über MySQLDumper die Mail DB ausgelesen.

Hab jetzt erstmal alle PWs geändert und MySQLDumper vom Server geschmissen momentan Passiert da nichts mehr, bis auf das die Logins alle scheitern da der nichts anderes versucht denke ich mal das es das war werde das die Tage weiter beobachten.

 

[TerraX]

Hmm, grundsätzlich wird eigentlich empfohlen, dass wenn ein System kompromittiert war, es generell komplett neu aufgesetzt wird, um auszuschließen, dass da noch irgendwo eine versteckte Hintertür schlummert.

 

[.A.]

es gab vor einiger zeit mal ein Sicherheitsproblem mit meinem BLOG vielleicht stammt das noch daher.

Spätestens jetzt würde ich das System komplett neu aufsetzen.

Mailware und Scripte sind nicht vorhanden

Bist Du Dir sicher? Nur weil derzeit die Zugriffe ohne Rootkit o.ä. erfolgen, heißt das nicht, dass solche nicht vorhanden sind.


---
.A.