Server verschickt Spams. Hilfe!

[ArmageddonXP]

Hallo,

Ich besitze einen Highend Strato Server mit Suse Linux 9.0. Ende letzter Woche bekam ich eine Email von Strato, in der stand, dass mein Server Spam-Mails veschicken würde. Es waren 3 Beweis-emails von Spamcop im Anhang.

Ich gehe stark davon aus, dass Strato recht hat und würde jetzt gerne wissen ob ich dieses Problem beseitigen kann und ja wie. Am Besten wäre es wenn ich den Server nicht neu installieren müsste.

Strato selbst habe ich schon mehrere Anfragen auf das Problem geschickt, aber leider keine Antwort erhalten.

Ich hoffe Ihr habt eine Lösung parat. Wäre unendlich dankbar,

ArmageddonXP

 

[rtg]

Als erstes solltest du den Mailserver abstellen, damit nicht noch mehr Spams verschickt werden. Als nächstes ist dann wohl deine Aufgabe die Logs zu durchsuchen, um festzustellen, welche Lücke genutzt wurde, um die Spams zu verschicken. Ich tippe einfach mal auf ein unsicheres Mailformular in PHP, aber das ist nur ein Verdacht.

 

[dcdead]

Muss nicht unbedingt ein unsicheres Mailformular sein. Ein ungesichertes PHP Skript mit bekannten Lücken reicht schon. Der Angreifer muss ja, um mails zu versenden nichtmal Rootrechte erlangen Natürlich besteht auch die Möglichkeit, dass es sich um ein Openrelay handelt...

Am besten du schaust mal die /var/log/mail.info durch und schaust was für Mails darüber versendet werden.

Mailserver abschalten ist, wie mein Vorredner schon geschrieben hat, Pflicht

 

[Thorsten]

Hallo!
Aus den Headern der Beweismails von Strato könnte sich schon der ein oder andere Hinweis ableiten lassen.

mfG
Thorsten

 

[marneus]

Um meine Vorredner zusammenzufassen:
Damit wir Dir besser helfen können, bitte mal das unten aufgeführte nacheinander ausführen und die Ergebnisse posten.

1. Mache den Check auf dieser Seite
2. Poste uns die Beweisemails von Strato
3. Suche aus Deinem Apache AccessLog alles rund um die entsprechende Zeit raus und poste es

 

[ArmageddonXP]

Okay, also:

1. Der Server hat den Relay-test bestanden.

2. Die Mails:

[ SpamCop V1.582 ]
This message is brief for your comfort. Please use links below for details.

Email from 85.214.17.237 / 4 Jul 2006 09:44:39 -0000 http://www.spamcop.net/w3m?i=z1825532529zc43439aa3351c929f25032b448b24facz

[ Offending message ]
Return-Path: <wwwrun@h288128.serverkompetenz.net>
Received: from [137.118.16.126] (HELO relay1.av-mx.com)
by airmail.neonova.net (CommuniGate Pro SMTP 4.2.10)
with ESMTP id 7958785 for x; Tue, 04 Jul 2006 05:44:39 -0400
X-NNS-TO: armstrong1@fairpoint.net
X-NNS-UID: 405883
X-NNS-Flag: <SV>
X-Virus-Scan-Time: 0
X-X5: False;
X-X5: Spam: False ; 0.0 / 5.0
Received: from [137.118.60.91]
Received: from [137.118.16.60] (HELO mx2.av-mx.com)
by relay1.av-mx.com (CommuniGate Pro SMTP 4.2.10)
with SMTP id 311161519 for x; Tue, 04 Jul 2006 05:44:39 -0400
Received: (qmail 1559 invoked from network); 4 Jul 2006 09:44:39 -0000
Received: from fotoambition.de (HELO h288128.serverkompetenz.net) (85.214.17.237)
by 0 with SMTP; 4 Jul 2006 09:44:39 -0000
X-NNS-SPF: PASS
X-CLIENT-IP: 85.214.17.237
X-CLIENT-HOST: fotoambition.de
X-COUNTRY: Germany
Received: by h288128.serverkompetenz.net (Postfix, from userid 30)
id E718E64243; Tue, 4 Jul 2006 11:25:29 +0200 (CEST)
To: x
Subject: REPLY
From: Mark Fazzina <justin1mail@v3mail.com>
Reply-To: justin1mail@v3mail.com
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-Id: <2006_________________4243@h288128.serverkompetenz.net>
Date: Tue, 4 Jul 2006 11:25:29 +0200 (CEST)

[ SpamCop V1.582 ]
This message is brief for your comfort. Please use links below for details.

Email from 85.214.17.237 / Tue, 11 Jul 2006 02:00:49 -0500 http://www.spamcop.net/w3m?i=z1834018810z658ecbf0fd91b675400f0ac16d7d4354z

[ Offending message ]
Return-Path: <wwwrun@h288128.serverkompetenz.net>
Received: from breeze.marcal.com (breeze [192.84.174.52])
by sun.marcal.com (8.12.5/8.12.8) with ESMTP id k6B6vLrw021452
(version=TLSv1/SSLv3 cipher=EDH-RSA-DES-CBC3-SHA bits=168 verify=NO)
for <x>; Tue, 11 Jul 2006 01:57:22 -0500
Received: from h288128.serverkompetenz.net (fotoambition.de [85.214.17.237])
by breeze.marcal.com (8.13.4/8.13.3) with ESMTP id k6B70mol005859
for <x>; Tue, 11 Jul 2006 02:00:49 -0500 (CDT)
(envelope-from wwwrun@h288128.serverkompetenz.net)
Received: by h288128.serverkompetenz.net (Postfix, from userid 30)
id E7A5664290; Tue, 11 Jul 2006 08:37:22 +0200 (CEST)
To: x
Subject: REPLY
From: Mark Fazzina <justin1mail@v3mail.com>
Reply-To: justin1mail@v3mail.com
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-Id: <2006_________________4290@h288128.serverkompetenz.net>
Date: Tue, 11 Jul 2006 08:37:22 +0200 (CEST)

[ SpamCop V1.582 ]
This message is brief for your comfort. Please use links below for details.

Email from 85.214.17.237 / Tue, 04 Jul 2006 05:10:51 -0400 http://www.spamcop.net/w3m?i=z1825278983zeb80229c8444b860b5291939da6cbe82z

[ Offending message ]
Return-Path: <wwwrun@h288128.serverkompetenz.net>
Delivered-To: spamcop-net-x
Received: (qmail 9054 invoked from network); 4 Jul 2006 09:10:54 -0000
X-Spam-Checker-Version: SpamAssassin 3.1.1 (2006-03-10) on blade6
X-Spam-Level: ****
X-Spam-Status: hits=4.7 tests=ADVANCE_FEE_1,ADVANCE_FEE_2,ADVANCE_FEE_3,
J_CHICKENPOX_43,SARE_FRAUD_X3 version=3.1.1
Received: from unknown (192.168.1.103)
by blade6.cesmail.net with QMQP; 4 Jul 2006 09:10:54 -0000
Received: from ms-smtp-04.ohiordc.rr.com (65.24.5.138)
by mx53.cesmail.net with SMTP; 4 Jul 2006 09:10:53 -0000
Received: from ms-mss-03 ([10.24.12.38])
by ms-smtp-04.ohiordc.rr.com (8.13.6/8.13.6) with ESMTP id k649Aq8o023228
for <x>; Tue, 4 Jul 2006 05:10:53 -0400 (EDT)
Received: from ms-mta-03 (ms-mta-03 [10.24.14.240]) by ms-mss-03.columbus.rr.com (iPlanet Messaging Server 5.2 HotFix 2.10 (built Dec 26 2005)) with ESMTP id <0J1V008HIG64VD@ms-mss-03.columbus.rr.com> for x (ORCPT x); Tue,
04 Jul 2006 05:10:52 -0400 (EDT)
Received: from clmboh-mx-02.mgw.rr.com (clmboh-mx-02.mgw.rr.com [65.24.7.11]) by ms-mta-03.columbus.rr.com (iPlanet Messaging Server 5.2 HotFix 2.10 (built Dec 26 2005)) with ESMTP id <0J1V00BX7G5W16@ms-mta-03.columbus.rr.com> for x (ORCPT x); Tue,
04 Jul 2006 05:10:52 -0400 (EDT)
Received: from fotoambition.de (HELO h288128.serverkompetenz.net)
([85.214.17.237]) by clmboh-mx-02.mgw.rr.com with ESMTP; Tue,
04 Jul 2006 05:10:51 -0400
Received: by h288128.serverkompetenz.net (Postfix, from userid 30)
id AE855643C8; Tue, 04 Jul 2006 10:51:41 +0200 (CEST)
Date: Tue, 04 Jul 2006 05:10:52 -0400 (EDT)
Date-warning: Date header was inserted by ms-mta-03.columbus.rr.com
From: Mark Fazzina <justin1mail@v3mail.com>
Subject: REPLY
To: x
Reply-to: justin1mail@v3mail.com
Message-id: <544v______461r@clmboh-mx-02.mgw.rr.com>
MIME-version: 1.0
Content-type: TEXT/PLAIN
Content-transfer-encoding: 7BIT
X-Virus-Scanned: Symantec AntiVirus Scan Engine
X-SpamCop-Checked: 192.168.1.103 65.24.5.138 10.24.12.38 10.24.14.240 65.24.7.11 85.214.17.237

Content-Type: text/plain

Content-Transfer-Encoding: 8bit

Message-Id: <20060704085141.AE855643C8@h288128.serverkompetenz.net>
Date: Tue, 4 Jul 2006 10:51:41 +0200 (CEST)

log zu der Zeit:

Jun 4 04:49:06 h288128 postfix/smtpd[17924]: connect from 66-189-203-97.dhcp.ykma.wa.charter.com[66.189.203.97]
Jun 4 04:49:07 h288128 postfix/smtpd[17924]: 0DC8E640A2: client=66-189-203-97.dhcp.ykma.wa.charter.com[66.189.203.97]
Jun 4 04:49:07 h288128 postfix/cleanup[17927]: 0DC8E640A2: message-id=<000001c68783$aa0bbf80$0100007f@Moms>
Jun 4 04:49:08 h288128 postfix/qmgr[32661]: 0DC8E640A2: from=<william@pellicano.biz>, size=29876, nrcpt=1 (queue active)
Jun 4 04:49:09 h288128 postfix/local[17930]: 0DC8E640A2: to=<web14p1@h288128.serverkompetenz.net>, orig_to=<mail@a-tone.de>, relay=local, delay=2, status=sent (mailbox)
Jun 4 04:49:09 h288128 postfix/smtpd[17924]: disconnect from 66-189-203-97.dhcp.ykma.wa.charter.com[66.189.203.97]
Jun 4 05:40:23 h288128 postfix/smtpd[20961]: connect from unknown[148.246.115.251]
Jun 4 05:40:33 h288128 postfix/smtpd[20961]: 5B520640A2: client=unknown[148.246.115.251]
Jun 4 05:40:42 h288128 postfix/cleanup[20964]: 5B520640A2: message-id=<000001c6878a$c5c69400$0100007f@user-frwea80jny>
Jun 4 05:40:55 h288128 postfix/qmgr[32661]: 5B520640A2: from=<robert@scandinavian-seed.biz>, size=26409, nrcpt=1 (queue active)
Jun 4 05:40:55 h288128 postfix/local[20975]: 5B520640A2: to=<web14p1@h288128.serverkompetenz.net>, orig_to=<mail@a-tone.de>, relay=local, delay=22, status=sent (mailbox)
Jun 4 05:40:59 h288128 postfix/smtpd[20961]: disconnect from unknown[148.246.115.251]
Jun 4 06:37:18 h288128 postfix/smtpd[21702]: connect from gc77.internetdsl.tpnet.pl[80.53.54.77]
Jun 4 06:37:19 h288128 postfix/smtpd[21702]: D30ED640A2: client=gc77.internetdsl.tpnet.pl[80.53.54.77]
Jun 4 06:37:21 h288128 postfix/cleanup[21705]: D30ED640A2: message-id=<4174634807.20060604005305@gmrworks.com>
Jun 4 06:37:21 h288128 postfix/qmgr[32661]: D30ED640A2: from=<lord@gmrworks.com>, size=1654, nrcpt=1 (queue active)
Jun 4 06:37:21 h288128 postfix/local[21707]: D30ED640A2: to=<web14p1@h288128.serverkompetenz.net>, orig_to=<mail@a-tone.de>, relay=local, delay=2, status=sent (mailbox)
Jun 4 06:37:21 h288128 postfix/smtpd[21702]: disconnect from gc77.internetdsl.tpnet.pl[80.53.54.77]
Jun 4 06:49:52 h288128 popper[21840]: Stats: web9p1 0 0 3 6037 p549F7EB1.dip.t-dialin.net 84.159.126.177 [pop_updt.c:296]
Jun 4 06:59:22 h288128 popper[21922]: Stats: web9p1 0 0 3 6070 p549F7EB1.dip.t-dialin.net 84.159.126.177 [pop_updt.c:296]
Jun 4 06:59:55 h288128 postfix/smtpd[21923]: connect from 61-230-70-145.dynamic.hinet.net[61.230.70.145]
Jun 4 06:59:56 h288128 postfix/smtpd[21923]: CD649640A2: client=61-230-70-145.dynamic.hinet.net[61.230.70.145]
Jun 4 06:59:57 h288128 postfix/smtpd[21923]: CD649640A2: reject: RCPT from 61-230-70-145.dynamic.hinet.net[61.230.70.145]: 554 <so.tech1@msa.hinet.net>: Relay access denied; from=<mail@yourdomain.com> to=<so.tech1@msa.hinet.net> proto=SMTP helo=<85.214.17.237>

Die logdatei von diesem Tag ist riesengroß, dashalb nur von der uhrzeit wo sie laut spamcop verschickt wurden.

ich hoffe damit kann man was anfangen. danke nochmal

 

[marneus]

Könntest Du uns auch bitte das Apache-Access Log posten? Bei SuSe unter /var/log/apache2/access_log

 

[ArmageddonXP]

Okay hier ist die access_log von 5 bis 6 uhr. Die ist aber gigantisch lang.


View attachment access_log.zip

 

[marneus]

05-06 Uhr war net so günstig, weil da nur ein potenzieller Spamversand bei war, aber diesen einen konnte ich nicht über das Apache Log finden.

Ich habe mir alles um 05:40 Uhr am 4. Juli angeschaut und kann nichts seltsames entdecken. Ich denke, dass wir den Apache erstmal ausschließen können (bin mir da aber nicht sicher!).

Edit:
Mir ist gerade aufgefallen, dass die Emails alle vom User web14p1 verschickt werden. Evtl. sehr schwaches oder gar kein Passwort?

 

[ArmageddonXP]

Das Postfach hat ein nicht generiertes passwort, werd es sofort ändern. Danke für den Tipp.

Wenn du noch logs von anderen uhrzeiten brauchst kann ich die auch gerne zur verfügung stellen. Hauptsache ich kann irgendwie das Problem lösen, denn wenn ich den Server neu installiere, dann muss ich einige Gigabyte daten neu hochladen und natürlich alles von neuem einrichten, was die Kunden bestimmt nicht glücklich machen wird.

 

[charli]

Hallo,

Return-Path: <wwwrun@h288128.serverkompetenz.net>
(envelope-from wwwrun@h288128.serverkompetenz.net)
Received: by h288128.serverkompetenz.net (Postfix, from userid 30)

die Mails kommen vom Apache-User, also ziemlich sicher ein unsicheres Script.

was die Kunden bestimmt nicht glücklich machen wird.

Viel Spaß bei der Suche nach dem Kunden der seine PHP-Software nicht regelmäßig updated.

 

[marneus]

charli: Die Logs sagen aber nichts dergleichen! Ich lerne aber auch gern dazu...

 

[ArmageddonXP]

Das wird nicht so schwer werden, da alle User bis auf 2 ausschliesslich Perl benutzen.

also muss ich dann alle php-scripts erstmal vorzeitig entsorgen oder kann ich irgendwie mein php auf den neusten stand bringen?

Oder können auch cgi dateien sicherheitslücken haben?

 

[marneus]

"entsorgen" - nein, würde ich nicht. Wieviele sind es denn, die dort in Betracht kommen?

CGI: Selbstverständlich, aber davon habe ich _gar keine_ Ahnung.

 

[ArmageddonXP]

Hab grad mit einem User gesprochen, der hatte viele "Leichen" noch auf dem Server. Kann es sein dass es ein PHP-Script ist, das nicht in gebraucht ist, aber auf dem Server ist, alt ist aber funktioniert?

Er wird die alten sachen jetzt mal rausnehmen.

Welche Scripts sind denn eigentlich am gefährdetsten?

Auf jeden Fall mal wieder ein großes Danke für das Engagement von euch.

 

[charli]

Hallo,

charli: Die Logs sagen aber nichts dergleichen

die Logs sind von der falschen Zeit.

Received: by h288128.serverkompetenz.net (Postfix, from userid 30)
id E718E64243; Tue, 4 Jul 2006 11:25:29 +0200 (CEST)

Received: by h288128.serverkompetenz.net (Postfix, from userid 30)
id E7A5664290; Tue, 11 Jul 2006 08:37:22 +0200 (CEST)

Received: by h288128.serverkompetenz.net (Postfix, from userid 30)
id AE855643C8; Tue, 04 Jul 2006 10:51:41 +0200 (CEST)

interessant wären Maillog und Apachelog für diese Zeiten +/- 15min.

Als Return-Path steht wwwrun drin, und UID=30 müßte der wwwrun sein (prüfen), dann kommen die Mails vom Apacheuser und das ist i.d.R. mod_php.

Von Perl kommen sie nicht, vorausgesetzt suexec ist in Betrieb und korrekt konfiguriert.

Ein PHP-Update wird das Problem nicht lösen.

Mindestens ein User hat ein PHP-Paket (forum o.ä.) drauf, dieses dürfte updatebedürftig sein.

Hab grad mit einem User gesprochen, der hatte viele "Leichen" noch auf dem Server. Kann es sein dass es ein PHP-Script ist, das nicht in gebraucht ist, aber auf dem Server ist, alt ist aber funktioniert?

Ja. (Vorausgesetzt es ist so abgelegt daß es mit einem Browser aufgerufen werden kann).

Welche Scripts sind denn eigentlich am gefährdetsten?

Grob gesagt alle großen PHP-Pakete (Boards, *nuke usw) weil die oft heiß programmiert sind, häufig eingesetzt werden und jeder der ein Loch drin finden will Zugriff auf den Quellcode hat.

 

[marneus]

Also am einfachsten wäre ein grep über alle Webroot Verzeichnisse mit mail als Suchbegriff. Die betroffenen Dateien dann mal anschauen. Erfordert natürlich Kenntnisse in PHP, aber die setze ich jetzt einfach mal vorraus *g*

Ansonsten: irc://irc.serversupportforum.de:6667

Edit: Dein Posting war gerade noch net da, Charli. Auf das Datum habe ich gar nicht geschaut. Shame on me! Also nochmal das Ganze bitte!

 

[charli]

Hallo,

Also am einfachsten wäre ein grep über alle Webroot Verzeichnisse mit mail als Suchbegriff.

und dann gleich den nächsten Durchlauf mit include.

 

[marneus]

ArmageddonXP: Poste bitte nochmal Apache und Maillog, wie von charli angefordert zu den RICHTIGEN Zeiten

Dann kannst Du Dir ne Menge Friemelarbeit sparen!

 

[ArmageddonXP]

Code:

Received: by h288128.serverkompetenz.net (Postfix, from userid 30) id E718E64243; Tue, 4 Jul 2006 11:25:29 +0200 (CEST) Received: by h288128.serverkompetenz.net (Postfix, from userid 30) id E7A5664290; Tue, 11 Jul 2006 08:37:22 +0200 (CEST) Received: by h288128.serverkompetenz.net (Postfix, from userid 30) id AE855643C8; Tue, 04 Jul 2006 10:51:41 +0200 (CEST)

interessant wären Maillog und Apachelog für diese Zeiten +/- 15min.

Kommt sofort, eins nach dem Anderen