Server sendet Spam?!

Hallo zusammen,

Habe einen Server (Webserver, Mailserver) mit Sendmail und Relaying ausgeschaltet, der nun vermutlich Spam raussendet. Habe plötzlich viele Mails an "root" erhalten, welches Rebounces sind, wahrscheinlich von unerfolgreichem Spam-Versand.

In der Maillog treten viele solche Linien auf:
Code:
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sima_017-pub@ hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4],   dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sikiraqa_a@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d  sn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sik.sheher@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d  sn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sijaaa_@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=  5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sihane_3@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn  =5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrunannar@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4],   dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrun_svarta@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4]  , dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<siera_v_pz@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d  sn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sida_h@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], dsn=5  .1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_sick_e@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4],   dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_girl_l@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4],   dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_mustafa@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [65.55.92.13  6], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_89@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d  sn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_1990@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4],   dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_000@ hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4],   dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete.w@ hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2. hotmail.com. [1.2.3.4], d  sn=5.1.1, stat=User unknown

Wobei ich hier die IP und die hotmail-domain etwas unkenntlich gemacht habe. Heisst das, wenn diese Logs angezeigt werden, dass der Versand von einem Programm / Skript auf dem Server erfolgt? Weil wenn relaying ausgeschaltet ist kanns ja nicht von aussen sein... resp. würden dann diese Logs angezeigt?
Wie kann ich genau schauen, was die Mails erzeugt, resp. ob PHP oder evtl. ein Daemon? Netstat hilft nicht viel weiter...
Vielen Dank für die Hilfe!

PS: Was auffällt ist, dass immer auf einmal so 10-20 solcher Logs auftauchen wie oben reinkopiert. Diese sind aber immer von anderen IP-Adressen, aber alle beginnen mit 65.55. oder 65.54.
 
Last edited by a moderator:
Also ein cat /var/log/mail.info | grep shyhrete.w@hotmail.com ergibt:
Code:
Aug 24 17:53:34 39197 sendmail[28477]: o7OFrNas028361: to=<shyhrete.w@hotmail.com>, delay=00:00:10, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.184], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete.w@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown

Dann ein cat /var/log/mail.info | grep o7OFr7as028232:
Code:
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: from=<noreply@netlogmail.com>, size=2562, class=0, nrcpts=50, msgid=<201008241553.o7OFr7as028232@meinserver@domain.com>, proto=ESMTP, daemon=MTA, relay=[82.114.70.90]
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: SYSERR(UID0): queueup: cannot create queue temp file ./tfo7OFr7as028232, uid=0: Too many open files in system
Aug 24 19:08:41 39197 sendmail[32114]: o7OFr7as028232: to=<sibora@excite.com>, delay=01:15:27, xdelay=00:00:07, mailer=esmtp, pri=1592562, relay=mail-in-excite.roc2.bluetie.com. [208.89.132.27], dsn=2.0.0, stat=Sent (yH8b1e05k4FDSZa01H8guV mail accepted for delivery)
Aug 24 19:08:41 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete@gmail.com>, delay=01:15:27, xdelay=00:00:00, mailer=esmtp, pri=1592562, relay=gmail-smtp-in.l.google.com. [209.85.227.27], dsn=2.0.0, stat=Sent (OK 1282669721 m18si545546wej.180)
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sime_rs@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sima_xxl@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sima_017-pub@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sikiraqa_a@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sik.sheher@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sijaaa_@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sihane_3@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrunannar@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrun_svarta@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<siera_v_pz@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sida_h@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_sick_e@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_girl_l@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_mustafa@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_89@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_1990@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_000@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete.w@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shume_llokum@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shuki_eagle@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<simi_246@hotmail.com>,<silifraendi@hotmail.com>,<silda_h@hotmail.com>,<siks_6_5@hotmail.com>,<sihana_l77@hotmail.com>,<sigrung-92@hotmail.com>,<sigrun-12@hotmail.com>,<sigall_p@hotmail.com>,<siela_3@hotmail.com>,<sidorela_90@hotmail.com>,<siciliano_b@hotmail.com>,<siare_sweety@hotmail.com>,<shyretemavriqi@hotmail.com>,<shyra_55@hotmail.com>,<shyqa_kobra08@hotmail.com>,<shyqa_1196@hotmail.com>,<shukrisalihi644@hotmail.com>,<shukrilatifi98@hotmail.com>,<shukrie_berisha@hotmail.com>,<shukrane40@hotmail.com>,<shuki87@hotmail.com>,<shuajbi_k4@hotmail.com>,<shuajb.kull@hotmail.com>,<shtriga@hotmail.com>,<shtatori_2004@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=2.0.0, stat=Sent ( <201008241553.o7OFr7as028232@meinserver@domain.com> Queued mail for delivery)
Aug 24 19:08:47 39197 sendmail[32114]: o7OFr7as028232: to=<shyyqa@linuxmail.org>, delay=01:15:33, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mailin-03.mx.aol.com. [205.188.59.193], dsn=2.0.0, stat=Sent (2.0.0 Ok: queued as 35E9638001CEC)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: to=<shubi_4u@msn.com>, delay=01:15:38, xdelay=00:00:05, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=2.0.0, stat=Sent ( <201008241553.o7OFr7as028232@meinserver@domain.com> Queued mail for delivery)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: to=<sida@swed.ipko.org>, delay=01:15:38, xdelay=00:00:00, mailer=esmtp, pri=1592562, relay=swed.ipko.org, dsn=5.1.2, stat=Host unknown (Name server: swed.ipko.org: host not found)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: o7OGoub4032114: DSN: Host unknown (Name server: swed.ipko.org: host not found)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: o7OGoub5032114: postmaster notify: Host unknown (Name server: swed.ipko.org: host not found)

Und dann noch cat /var/log/* | grep o7OFr7as028232
Code:
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: from=<noreply@netlogmail.com>, size=2562, class=0, nrcpts=50, msgid=<201008241553.o7OFr7as028232@meinserver@domain.com>, proto=ESMTP, daemon=MTA, relay=[82.114.70.90]
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   0: fl=0x0, mode=20666: CHR: dev=0/40, ino=155451622, nlink=1, u/gid=0/0, size=0
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   1: fl=0x2, mode=140777: SOCK [1.2.3.4]/25->[82.114.70.90]/63711
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   2: fl=0x1, mode=20666: CHR: dev=0/40, ino=155451622, nlink=1, u/gid=0/0, size=0
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   3: fl=0x2, mode=140777: SOCK localhost->[[UNIX: /dev/log]]
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   4: fl=0x2, mode=140777: SOCK [1.2.3.4]/25->[82.114.70.90]/63711
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   5: fl=0x0, mode=100600: dev=0/40, ino=155833476, nlink=1, u/gid=0/12, size=2208
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   6: fl=0x8000, mode=100644: dev=0/40, ino=155453256, nlink=1, u/gid=0/0, size=3072
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   7: fl=0x2, mode=140777: SOCK [1.2.3.4]/25->[82.114.70.90]/63711
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   8: fl=0x8000, mode=100644: dev=0/40, ino=155453256, nlink=1, u/gid=0/0, size=3072
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   9: fl=0x8000, mode=100644: dev=0/40, ino=155453284, nlink=1, u/gid=0/0, size=12288
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:  10: fl=0x8000, mode=100644: dev=0/40, ino=155453284, nlink=1, u/gid=0/0, size=12288
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:  11: fl=0x1, mode=100600: dev=0/40, ino=155833478, nlink=1, u/gid=0/12, size=3912
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: SYSERR(UID0): queueup: cannot create queue temp file ./tfo7OFr7as028232, uid=0: Too many open files in system
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   0: fl=0x0, mode=20666: CHR: dev=0/40, ino=155451622, nlink=1, u/gid=0/0, size=0
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   1: fl=0x2, mode=140777: SOCK [1.2.3.4]/25->[82.114.70.90]/63711
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   2: fl=0x1, mode=20666: CHR: dev=0/40, ino=155451622, nlink=1, u/gid=0/0, size=0
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   3: fl=0x2, mode=140777: SOCK localhost->[[UNIX: /dev/log]]
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   4: fl=0x2, mode=140777: SOCK [1.2.3.4]/25->[82.114.70.90]/63711
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   5: fl=0x0, mode=100600: dev=0/40, ino=155833476, nlink=1, u/gid=0/12, size=2208
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   6: fl=0x8000, mode=100644: dev=0/40, ino=155453256, nlink=1, u/gid=0/0, size=3072
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   7: fl=0x2, mode=140777: SOCK [1.2.3.4]/25->[82.114.70.90]/63711
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   8: fl=0x8000, mode=100644: dev=0/40, ino=155453256, nlink=1, u/gid=0/0, size=3072
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:   9: fl=0x8000, mode=100644: dev=0/40, ino=155453284, nlink=1, u/gid=0/0, size=12288
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:  10: fl=0x8000, mode=100644: dev=0/40, ino=155453284, nlink=1, u/gid=0/0, size=12288
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232:  11: fl=0x1, mode=100600: dev=0/40, ino=155833478, nlink=1, u/gid=0/12, size=3912
Aug 24 19:08:41 39197 sendmail[32114]: o7OFr7as028232: to=<sibora@excite.com>, delay=01:15:27, xdelay=00:00:07, mailer=esmtp, pri=1592562, relay=mail-in-excite.roc2.bluetie.com. [208.89.132.27], dsn=2.0.0, stat=Sent (yH8b1e05k4FDSZa01H8guV mail accepted for delivery)
Aug 24 19:08:41 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete@gmail.com>, delay=01:15:27, xdelay=00:00:00, mailer=esmtp, pri=1592562, relay=gmail-smtp-in.l.google.com. [209.85.227.27], dsn=2.0.0, stat=Sent (OK 1282669721 m18si545546wej.180)
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sime_rs@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sima_xxl@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sima_017-pub@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sikiraqa_a@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sik.sheher@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sijaaa_@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sihane_3@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrunannar@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrun_svarta@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<siera_v_pz@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sida_h@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_sick_e@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_girl_l@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_mustafa@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_89@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_1990@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_000@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete.w@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shume_llokum@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shuki_eagle@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<simi_246@hotmail.com>,<silifraendi@hotmail.com>,<silda_h@hotmail.com>,<siks_6_5@hotmail.com>,<sihana_l77@hotmail.com>,<sigrung-92@hotmail.com>,<sigrun-12@hotmail.com>,<sigall_p@hotmail.com>,<siela_3@hotmail.com>,<sidorela_90@hotmail.com>,<siciliano_b@hotmail.com>,<siare_sweety@hotmail.com>,<shyretemavriqi@hotmail.com>,<shyra_55@hotmail.com>,<shyqa_kobra08@hotmail.com>,<shyqa_1196@hotmail.com>,<shukrisalihi644@hotmail.com>,<shukrilatifi98@hotmail.com>,<shukrie_berisha@hotmail.com>,<shukrane40@hotmail.com>,<shuki87@hotmail.com>,<shuajbi_k4@hotmail.com>,<shuajb.kull@hotmail.com>,<shtriga@hotmail.com>,<shtatori_2004@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=2.0.0, stat=Sent ( <201008241553.o7OFr7as028232@meinserver@domain.com> Queued mail for delivery)
Aug 24 19:08:47 39197 sendmail[32114]: o7OFr7as028232: to=<shyyqa@linuxmail.org>, delay=01:15:33, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mailin-03.mx.aol.com. [205.188.59.193], dsn=2.0.0, stat=Sent (2.0.0 Ok: queued as 35E9638001CEC)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: to=<shubi_4u@msn.com>, delay=01:15:38, xdelay=00:00:05, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=2.0.0, stat=Sent ( <201008241553.o7OFr7as028232@meinserver@domain.com> Queued mail for delivery)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: to=<sida@swed.ipko.org>, delay=01:15:38, xdelay=00:00:00, mailer=esmtp, pri=1592562, relay=swed.ipko.org, dsn=5.1.2, stat=Host unknown (Name server: swed.ipko.org: host not found)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: o7OGoub4032114: DSN: Host unknown (Name server: swed.ipko.org: host not found)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: o7OGoub5032114: postmaster notify: Host unknown (Name server: swed.ipko.org: host not found)
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: SYSERR(UID0): queueup: cannot create queue temp file ./tfo7OFr7as028232, uid=0: Too many open files in system
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: from=<noreply@netlogmail.com>, size=2562, class=0, nrcpts=50, msgid=<201008241553.o7OFr7as028232@meinserver@domain.com>, proto=ESMTP, daemon=MTA, relay=[82.114.70.90]
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: SYSERR(UID0): queueup: cannot create queue temp file ./tfo7OFr7as028232, uid=0: Too many open files in system
Aug 24 19:08:41 39197 sendmail[32114]: o7OFr7as028232: to=<sibora@excite.com>, delay=01:15:27, xdelay=00:00:07, mailer=esmtp, pri=1592562, relay=mail-in-excite.roc2.bluetie.com. [208.89.132.27], dsn=2.0.0, stat=Sent (yH8b1e05k4FDSZa01H8guV mail accepted for delivery)
Aug 24 19:08:41 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete@gmail.com>, delay=01:15:27, xdelay=00:00:00, mailer=esmtp, pri=1592562, relay=gmail-smtp-in.l.google.com. [209.85.227.27], dsn=2.0.0, stat=Sent (OK 1282669721 m18si545546wej.180)
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sime_rs@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sima_xxl@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:42 39197 sendmail[32114]: o7OFr7as028232: to=<sima_017-pub@hotmail.com>, delay=01:15:28, xdelay=00:00:01, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sikiraqa_a@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sik.sheher@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sijaaa_@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sihane_3@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrunannar@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sigrun_svarta@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<siera_v_pz@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sida_h@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_sick_e@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<sick_girl_l@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_mustafa@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_89@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_1990@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:43 39197 sendmail[32114]: o7OFr7as028232: to=<shyrete_000@hotmail.com>, delay=01:15:29, xdelay=00:00:02, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shyhrete.w@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shume_llokum@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<shuki_eagle@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=5.1.1, stat=User unknown
Aug 24 19:08:44 39197 sendmail[32114]: o7OFr7as028232: to=<simi_246@hotmail.com>,<silifraendi@hotmail.com>,<silda_h@hotmail.com>,<siks_6_5@hotmail.com>,<sihana_l77@hotmail.com>,<sigrung-92@hotmail.com>,<sigrun-12@hotmail.com>,<sigall_p@hotmail.com>,<siela_3@hotmail.com>,<sidorela_90@hotmail.com>,<siciliano_b@hotmail.com>,<siare_sweety@hotmail.com>,<shyretemavriqi@hotmail.com>,<shyra_55@hotmail.com>,<shyqa_kobra08@hotmail.com>,<shyqa_1196@hotmail.com>,<shukrisalihi644@hotmail.com>,<shukrilatifi98@hotmail.com>,<shukrie_berisha@hotmail.com>,<shukrane40@hotmail.com>,<shuki87@hotmail.com>,<shuajbi_k4@hotmail.com>,<shuajb.kull@hotmail.com>,<shtriga@hotmail.com>,<shtatori_2004@hotmail.com>, delay=01:15:30, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=2.0.0, stat=Sent ( <201008241553.o7OFr7as028232@meinserver@domain.com> Queued mail for delivery)
Aug 24 19:08:47 39197 sendmail[32114]: o7OFr7as028232: to=<shyyqa@linuxmail.org>, delay=01:15:33, xdelay=00:00:03, mailer=esmtp, pri=1592562, relay=mailin-03.mx.aol.com. [205.188.59.193], dsn=2.0.0, stat=Sent (2.0.0 Ok: queued as 35E9638001CEC)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: to=<shubi_4u@msn.com>, delay=01:15:38, xdelay=00:00:05, mailer=esmtp, pri=1592562, relay=mx2.hotmail.com. [65.55.92.136], dsn=2.0.0, stat=Sent ( <201008241553.o7OFr7as028232@meinserver@domain.com> Queued mail for delivery)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: to=<sida@swed.ipko.org>, delay=01:15:38, xdelay=00:00:00, mailer=esmtp, pri=1592562, relay=swed.ipko.org, dsn=5.1.2, stat=Host unknown (Name server: swed.ipko.org: host not found)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: o7OGoub4032114: DSN: Host unknown (Name server: swed.ipko.org: host not found)
Aug 24 19:08:52 39197 sendmail[32114]: o7OFr7as028232: o7OGoub5032114: postmaster notify: Host unknown (Name server: swed.ipko.org: host not found)
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: SYSERR(UID0): queueup: cannot create queue temp file ./tfo7OFr7as028232, uid=0: Too many open files in system
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: SYSERR(UID0): queueup: cannot create queue temp file ./tfo7OFr7as028232, uid=0: Too many open files in system
Aug 24 17:53:23 39197 sendmail[28232]: o7OFr7as028232: SYSERR(UID0): queueup: cannot create queue temp file ./tfo7OFr7as028232, uid=0: Too many open files in system

Habe die Domain/IP meines Servers ersetzt....
Die Fehlermeldung Too many open files in system kommt auch seit heute, seit zu viele Mails versandt werden... (hab die auch schon gehabt, kommt selten wenn viel läuft aber nicht weiter tragisch)

Was komisch ist: Laut Logs wurde der Server heute 14:14 neu gestartet (keine Ahnung wieso). Es wurde auch eine krasse (unnatürliche) Datenmenge auf den Server gesandt so um 14:05. Logfiles um diese Zeit (Apache/PAM/FTP/...) zeigen aber nichts aussergewöhnliches...?

Angehängt sind MRTG Aufzeichnungen von Netzwerk und Mails (die regelmässigen Traffic-Out's sind Backups) wobei bei den Mails nur die eingehenden gelogt werden: Grün ist Spam und Blau ist HAM: Die blauen sind eben die an root, Benachrichtigungen vom Mailserver das Spam nicht an gewisse Adressen geschickt werden konnte...
 

Attachments

  • mail-week.png
    mail-week.png
    3.5 KB · Views: 145
  • network-month.png
    network-month.png
    1.9 KB · Views: 121
Last edited by a moderator:
System möglichst schnell vom Netz nehmen.
Das wurde zu 99% gehackt nd ist nicht mehr zuverlässig unter Deiner Kontrolle!
 
Das hat mir gerade noch gefehlt :-(
Habe mal mit chkrootkit gecheckt, nichts gefunden.
Hab aber im error_log von apache das gefunden:
Code:
[Tue Aug 24 14:14:35 2010] [notice] caught SIGTERM, shutting down
[Tue Aug 24 14:21:36 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Aug 24 14:22:00 2010] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
Sieht ähnlich aus wie das:
http://www.experts-exchange.com/Security/Operating_Systems_Security/Linux/Q_21243561.html
Suche jetzt mal weiter und versuche das Teil zu entfernen, Server neuinstallieren muss zwar nächstens sein (System veraltet) aber den Betrieb kann ich momentan schlecht unterbrechen....

Noch irgendeine Idee nach was ich suchen könnte, resp. wie das Zeug entfernen und die Lücke schliessen?
Merci!
 
Apache/2.0.48

Das ist aber noch eine recht alte opensuse Distro oder?
Muss ja noch eine opensuse 10.x gewesen sein wenn nicht sogar älter.

Upgrade war längst überfällig.
 
Ja ist recht alt, Austausch ist auch schon eine Zeit lang geplant. Sicherheitsupdates wurden aber immer eingespielt (solange sie verfügbar waren..) Das weiss ich ja eigentlich dass der Server ersetzt werden muss. Nur kann ich das nicht innerhalb von Stunden machen, jedoch könnte mir der Provider den Server abschalten wenn ich das Problem nicht sofort in den Griff kriege, das ist eher das Problem. Suche also nach einer Lösung weiterhin Mailing zu betreiben aber diesen Spam zu unterbinden. Würde mir ja schonmal helfen wenn ich wüsste was die Mails versendet. Scheint ja kein Login von einem User zu sein (resp. da relaying zu ist kann man ja nur nach Login mails versenden). Könnte ja auch ein gehackter kundenaccount sein der zugriff hat, resp. ein Virus auf einem Client-PC der den Server-Zugang missbraucht. Oder ein Programm auf dem Server (z.B. das was im Apache Log auftrat?). Aber das finde ich halt nicht heraus.
 
Hallo!
Hab aber im error_log von apache das gefunden:
Code:
[Tue Aug 24 14:14:35 2010] [notice] caught SIGTERM, shutting down
[Tue Aug 24 14:21:36 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Aug 24 14:22:00 2010] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
Daraus lese ich nichts konkret bedrohliches. Wie kommst du zu dieser Vermutung?

mfG
Thorsten
 
Hallo!

Daraus lese ich nichts konkret bedrohliches. Wie kommst du zu dieser Vermutung?

mfG
Thorsten
1) Hab im Netz das gefunden was ich unter diesem Link gepostet habe
2) Ist gerade in dem Zeitfenster, seit der Spam versandt wird (Heute ab 14:xx)
3) Sonst ist nichts in den Logs zu diesem Zeitpunkt

Weiss aber noch nicht ob etwas über Apache/PHP eingeschleust wurde. Bin die Logs am durchforsten, finde aber nichts...
 
Um ca. 14:00 hatt er ja von einem Reboot gesprochen.
durchaus möglich, dass Ihm jemand was untergeschoben hat.

[Tue Aug 24 14:14:35 2010] [notice] caught SIGTERM, shutting down

Ohne meine Zutun würde ich das als sehr kritisch ansehen.

BTW: Opensuse vor 11.0 also 10.3 und jünger haben inzwischen unzählige und vor allem "bekannte" Löcher.
 
Last edited by a moderator:
Du setzt allen Ernstes Sendmail ein? Sorry, aber da habe ich leider keinerlei Verständnis mehr. Installier neu. Dank der mangelnden Logging- und Debugging-Funktionen wirst du das Einfallstor nicht finden - und ich behaupte mal, dass das Setup eh veraltet ist.

Alles andere wäre momentan fahrlässig.
 
JA das System ist veraltet und wird von mir ersetzt. Ich brauche aber mind. 3 Tage bevor ich eine Neuinstallation durchführen kann. Muss also dieses "Loch" stopfen.

Werde jetzt mal logging für die PHP mail()-Funktion aktivieren, kann ja sein dass es z.B. über die geht...

Irgendeine Idee über was es sonst sein könnte?
 
Das ist der Falsche Weg!
Dir brennt das Dach und Du versuchst das Problem mit einer Löschdecke in den Griff zu bekommen.

Der einzige Weg ist:

System schnellstens von Netz nehmen.
Eine Forensische Analyse durchführen
Lücke finden,
ggf. eingeschleusste Backdoors etc. ausfindig machen,

neues System mit aktueller Distro aufsetzen, das akribisch untersuchte und für 100% sauber befundenes Backup wieder einspielen.
!100% sauber heißt 100% geprüft und zu 100% mit aller Gewissheit sauber!

Für alles andere wirst Du, zumindest aus meiner Sicht, zurecht juristisch belangt.

Und selbst dann besteh noch die Gefahr, dass Du was übersehen hast und der Spass wieter geht.

Zu guter letzt:
Daraus lernen die bittere Pille schlucken und zukünftig ein anderes Sicherheitskonzept inkl. Updateplanung leben.

Dazu wo Dich nun ein "Angreifer" zwingt hättest Du längst vorher in aller Ruhe erledigen müssen.
Alles andere ist ein no go.
Den Versuch jetzt noch was zu stopfen, ein unmögliches Unterfangen.
 
Ich brauche aber mind. 3 Tage bevor ich eine Neuinstallation durchführen kann.

Die 3 Tage kannst du haben - aber Offline! Ich kann mich matze nur anschließen. Du alleine trägst die Verantwortung für dass, was dein Server macht. Und das kann im jetzigen -scheinbaren- Zustand ganz schnell ganz teuer werden.
 
Selbst wenn es nur ein offenes Kontaktformular ist, solltest Du zumindest den Mailer abstellen bis Du etwas schlauer geworden bist woran es liegt!

Grüsse
 
Sendmail ist ja aus, es werden keine Mails versandt.
Was du schreibst weiss ich ja eigentlich... Nur das einzige was ich im Moment machen muss ist das Problem für 3 Tage eindämmen, da ich innerhalb dieser das System unmöglich neu isntallieren kann, gerade auch wegen den Checks des Backups und alles, da dies Zeit benötigt.
 
Moin schau mal in /var/spool/mail der Ordner dürfte randvoll sein warscheinlich nutzte Postfix/sendmail in einer Uralten Version, selbst Grade gehabt das Problem bekomste nur weg wen beides updatetest, Stichwort openrelay kurtzeitig hilft es die Absender IP zu blocken aber da das allgemein bekannt ist wird es nicht lange dauern bis der Näste kommt.
 
Sorry,

aber dafür bekommst Du von mir so viel Verständis wie ein Paketfahrer der wegen defekter Bremse schon einen Fussgänger überfahren hat aber erst in 3 Tagen ein neues Fahrzeug bekommt.....

Die Konsequenz: 3 Tage oder mehr Offline sein.
Kurzfristig für die nötigsten Dienste z.B. statische Wartungsseite eine Alternative finden z.B. vServer und ggf. für einen "Maildienst", allerdings nicht den, der bei Dir gerade läuft.
Allerhöchstens Postfix, und Dovecote mit neuen Benutzern und Passwörtern.
 
Immer diese falsche Panik mache!!! :mad:
- "Server gehackt! ... Nicht mehr unter Deiner Konrolle!"
- "Update überfällig!"
- Apache veraltet...
- Sendmail veraltet (aber immer noch aktueller als ein Qmail).
- etc.

Sorry, aber dafür habe ICH kein Verständnis.
Statt dem User wirklich zu helfen wird hier lediglich Panik-Mache geschoben und auf ihn eingedroschen.

Seine Fahrlässigkeit besteht lediglich darin, dass er nicht den Sendmail sofort runter gefahren und keinen Experten gefragt hat.
Die größte Gefahr ist wahrscheinlich nur, dass er nun auf RBL-Listen gelandet ist.

DENN:
Der Grep über die Message-ID war äußerst Aufschlussreich. Er lässt mit 99%iger Wahrscheinlichkeit auf einen Missbrauch der CC-/BCC-Header schließen.
Und das wäre nicht nötig, wenn der Server wirklich gehackt wäre oder gar irgendjemand etwas eingeschleust hätte. Denn in diesen Fällen wäre ein Spam-sichereres "To" genommen worden welches ständig wechselnde Message-IDs zur Folge hat.
(Aber das wissen natürlich alle so fleißig mitschreibenden User natürlich und haben diese Kleinigkeit lediglich im Eifer übersehen...)

Nur traced hat es auf den Punkt gebracht:
Ein Web-Formular welches einen Email-Versand auslöst, testet seinen Input nicht richtig.
Wie kommst Du dem Formular auf die Spur?
Z.B. mit einem Sendmail-Wrapper: Über meinen Server werden Spam's verschickt!
Oder durch manuelle Suche in den (unterschiedlichen) Apache-Logs.

huschi.
 
Back
Top