N
nicecap
Guest
Massen-email-versand mit Spam ueber meinen server
Hallo Forumer.
Vor ein paar Tagen begann es, dass von meinem Server von genau einer von insgesamt ca. 10 Domains massenweise emails mit Spam versendet wurden. Und zwar immer unter nicht existenten email-Adressen dieser Domain.
Ich habe sofort die zulaessige Anzahl ausgehender emails auf 0 begrenzt und mich auf die Suche nach der Ursache begeben.
Dabei habe ich zunaechst nach einem verantwortlichen Script gesucht; bin da aber nicht fuendig geworden. Maldet hat auch nichts gefunden. Das Passwort des einzigen FTP-Users fuer die betreffende Domain habe ich sofort geaendert und die Postfix configuration main.cfg hinsichtlich sender Rechte optimiert. Daraufhin hoerte das versenden der Massenemails schlagartig auf.
Nach ca. 16 Stunden fing es wieder an. Diesmal hat maldet ein script gefunden und mein access.log der domain zeichnete auch jede Menge POSTs auf dieses script auf. Wiederum habe ich das FTP-Kennwort geaendert (Urteil zum Passwort von Plesk: sehr stark) Das Script hatte sich unter einem Plugin-Verzeichnis von Joomla versteckt und wurde heute von Maldet identifiziert (gestern aber nicht - war vielleicht noch nicht da).
Meine Frage nun: Ich hatte ja gestern erst das FTP-Passwort auf einen starken Wert gesetzt. Wie kann dann heute ein neues script aufgespielt worden sein? Bzw. was gibt es sonst noch fuer Blockademoeglichkeiten, damit niemand unbefugt Daten auf meinem Server ablegen kann?
Und ausserdem: offensichtlich ist meine Postfix main.cfg immer noch nicht gut genug abgesichert gegen Aussendungen von nicht existenten Usern - Kann ich es irgendwie serverweit verbieten, dass emails von nicht existenten Usern verschickt werden?
Hier ein auszug aus dem was ich bis jetzt in der main.dfg eingetragen habe:
---------------------------
mynetworks_style = host
mynetworks = 127.0.0.0/8
smtpd_sender_restrictions =
permit_mynetworks,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
check_sender_access hash:/var/spool/postfix/plesk/blacklists,
permit_sasl_authenticated
smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client psbl.surriel.com,
reject_rbl_client noptr.spamrats.com,
reject_rbl_client bl.spamcop.net
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128
smtpd_sasl_auth_enable = yes
Und dann noch: wie bekomme ich ein Log in dem auch das fuer den Versand zustaendige script mit genannt wird?
Ich habe einen Strato Vserver mit Ubuntu 14.04 und PHP 5.59.
Vielen Dank, dass Ihr meinen Post durchgelesen habt - wuerde mich ueber hilfreiche Antworten sehr freuen.
Chris
Hallo Forumer.
Vor ein paar Tagen begann es, dass von meinem Server von genau einer von insgesamt ca. 10 Domains massenweise emails mit Spam versendet wurden. Und zwar immer unter nicht existenten email-Adressen dieser Domain.
Ich habe sofort die zulaessige Anzahl ausgehender emails auf 0 begrenzt und mich auf die Suche nach der Ursache begeben.
Dabei habe ich zunaechst nach einem verantwortlichen Script gesucht; bin da aber nicht fuendig geworden. Maldet hat auch nichts gefunden. Das Passwort des einzigen FTP-Users fuer die betreffende Domain habe ich sofort geaendert und die Postfix configuration main.cfg hinsichtlich sender Rechte optimiert. Daraufhin hoerte das versenden der Massenemails schlagartig auf.
Nach ca. 16 Stunden fing es wieder an. Diesmal hat maldet ein script gefunden und mein access.log der domain zeichnete auch jede Menge POSTs auf dieses script auf. Wiederum habe ich das FTP-Kennwort geaendert (Urteil zum Passwort von Plesk: sehr stark) Das Script hatte sich unter einem Plugin-Verzeichnis von Joomla versteckt und wurde heute von Maldet identifiziert (gestern aber nicht - war vielleicht noch nicht da).
Meine Frage nun: Ich hatte ja gestern erst das FTP-Passwort auf einen starken Wert gesetzt. Wie kann dann heute ein neues script aufgespielt worden sein? Bzw. was gibt es sonst noch fuer Blockademoeglichkeiten, damit niemand unbefugt Daten auf meinem Server ablegen kann?
Und ausserdem: offensichtlich ist meine Postfix main.cfg immer noch nicht gut genug abgesichert gegen Aussendungen von nicht existenten Usern - Kann ich es irgendwie serverweit verbieten, dass emails von nicht existenten Usern verschickt werden?
Hier ein auszug aus dem was ich bis jetzt in der main.dfg eingetragen habe:
---------------------------
mynetworks_style = host
mynetworks = 127.0.0.0/8
smtpd_sender_restrictions =
permit_mynetworks,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
check_sender_access hash:/var/spool/postfix/plesk/blacklists,
permit_sasl_authenticated
smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client psbl.surriel.com,
reject_rbl_client noptr.spamrats.com,
reject_rbl_client bl.spamcop.net
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128
smtpd_sasl_auth_enable = yes
Und dann noch: wie bekomme ich ein Log in dem auch das fuer den Versand zustaendige script mit genannt wird?
Ich habe einen Strato Vserver mit Ubuntu 14.04 und PHP 5.59.
Vielen Dank, dass Ihr meinen Post durchgelesen habt - wuerde mich ueber hilfreiche Antworten sehr freuen.
Chris
Last edited by a moderator:
