Server von Spamern für Spammails missbraucht

[handschigl]

Hallo,

ich habe heute eine E-Mail von meinem Serverprovider bekommen, dass über meinen Server Millionen von Spammails versendet werden (dies erklärt vermutlich auch die für den Server eigentlich hohe CPU). Sollte ich dies nicht bald beseitigen, werden weitere Schritte folgen...

Ich habe nun ein Script auf dem Server in Sendmail eingebaut, um zu Prüfen, ob irgendein PHP-Script diese Spammails versendet. Scheinbar wurde jedoch kein PHP-Script eingeschleust. Dazu habe ich folgende Anleitung befolgt: http://www.huschi.net/11_222_de.html. Hat auch alles geklappt, wie es dort steht. Gesendete Mails werden in einem temporären Log-File mit dem dazugehörigen Verzeichnis geloggt. Dort sind bisher allerdings erst 10 neue Einträge zu finden, die sich alle über meine Scripte erklären lassen. In der var/log/mail.log allerdings sind mittlererweile wieder 1000 neue Spammails dazugekommen...

Kann es sein, dass es sich um ein Open Relay handelt, oder gibt es noch andere Möglichkeiten? Wie teste ich auf ein Open Relay, wenn ich postfix nutze, denn dieses bricht ja die Teste nach ein paar Versuchen ab...

Wäre echt dankbar, wenn mir jemand helfen könnte...

 

[driv3]

OMG.

Warum hast du das nicht im Überblick? Hast du mal den Mailserver komplett gestoppt?

Dann kann man für dich ja nur hoffen dass das keine weiteren (rechtliche) Konsequenzen hat....

Was sagt die Sonstige Auslastung des Systems??

Oder besser noch: Wechsel auf einen managed Server.

 

[Thorsten]

Hallo!

Kann es sein, dass es sich um ein Open Relay handelt, oder gibt es noch andere Möglichkeiten? Wie teste ich auf ein Open Relay, wenn ich postfix nutze, denn dieses bricht ja die Teste nach ein paar Versuchen ab...

Natürlich kann es sein, dass dein Server ein Open Relay darstellt. Testen kannst du es u.a. mittels http://www.anti-abuse.org/multi-rbl-check/. Zeig uns doch mal deine Postfix Konfiguration. Um was für Mails handelt es sich überhaupt? Welche Absender- / Empfängerkombination? Wie sehen die Mail Header aus?

mfg
Thorsten

 

[Lord Gurke]

Dort sind bisher allerdings erst 10 neue Einträge zu finden, die sich alle über meine Scripte erklären lassen. In der var/log/mail.log allerdings sind mittlererweile wieder 1000 neue Spammails dazugekommen...

Lässt sich relativ einfach durch die Tatsache erklären, dass eine E-Mail theoretisch unbegrenzt viele Empfänger haben kann, praktisch wird dies durch den Server normalerweise auf 100 oder weniger Empfänger reduziert.
Der Server nimmt diese eine Mail an, sieht die vielen Empfänger und macht für jeden Empfänger eine eigene Mailkopie davon und schickt diese einzeln raus.

Als erstes solltest du auf jeden Fall den Mailserver stoppen, aber vorher noch schnell den OpenRelay-Test machen.
Und dann könntest du mal einen Auszug aus der mail.info posten, vielleicht (nein bestimmt) lässt sich daraus schnell ableiten, wer der Verursacher ist.

 

[handschigl]

Hallo,

Danke erst einmal!
Ja, ich habe postfix schon gestoppt.
Die CPU liegt momentan immer bei 0%. Als postfix noch an war und diese Spammails versendet wurden, lag sie bei 2 bis 5%...

Meine Postfix-Konfiguration aus der mail.cf sieht so aus:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = s147.silver.fastwebserver.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = s147.silver.fastwebserver.de, localhost.silver.fastwebserver.de, , localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = /usr/bin/procmail
mailbox_size_limit = 0
recipient_delimiter = +
disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,reject_unauth_destination
inet_interfaces = all

### PARALLELS CONFIXX POSTFIX ENTRY ###

virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains

### /PARALLELS CONFIXX POSTFIX ENTRY ###

Einen Open Relay-Test hatte ich hier schon gemacht: http://www.antispam-ufrj.pads.ufrj.br/test-relay.html
Dieser sagte, dass kein Relay offen wäre... Allerdings hab ich gelesen, dass diese Tests bei Postfix nicht verlässlich wären, weil das sowas vorzeitig abbricht...

Und hier einige Auszüge aus der mail.info

Apr 25 06:25:12 s147 postfix/smtp[24745]: 054AB28A2311: to=<flutterz4allyall@yahoo.com>, relay=h.mx.mail.yahoo.com[66.94.236.34]:25, conn_use=2, delay=18242, delays=18232/4.8/0.15/5, dsn=2.0.0, status=sent (250 ok dirdel 17/3)
Apr 25 06:25:12 s147 postfix/smtp[24745]: 054AB28A2311: to=<flwergrl53@yahoo.com>, relay=h.mx.mail.yahoo.com[66.94.236.34]:25, conn_use=2, delay=18242, delays=18232/4.8/0.15/5, dsn=2.0.0, status=sent (250 ok dirdel 17/3)
Apr 25 06:25:13 s147 postfix/smtp[24728]: 2B3CC28A29DF: to=<willie30almost@yahoo.com>, relay=b.mx.mail.yahoo.com[74.6.136.65]:25, delay=16999, delays=16989/8.6/1.9/0, dsn=4.7.0, status=deferred (host b.mx.mail.yahoo.com[74.6.136.65] refused to talk to me: 421 4.7.0 [TS01] Messages from 85.114.141.147 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Apr 25 06:25:15 s147 postfix/smtp[24776]: EB53128A2304: to=<bonco74@yahoo.com>, relay=h.mx.mail.yahoo.com[66.94.236.34]:25, delay=18557, delays=18544/7.2/0.44/4.9, dsn=2.0.0, status=sent (250 ok dirdel 20/3)
Apr 25 06:25:15 s147 postfix/smtp[24736]: D074B28A29EC: to=<wnnh2001@yahoo.com>, relay=h.mx.mail.yahoo.com[66.94.236.34]:25, delay=16992, delays=16979/7.6/0.68/4.7, dsn=2.0.0, status=sent (250 ok dirdel 16/4)
Apr 25 06:30:04 s147 postfix/smtp[25068]: C8C5228A2852: host hrndva-smtpin01.mail.rr.com[71.74.56.243] refused to talk to me: 421 4.7.1 - Connection refused - <85.114.141.147> -  Too many concurrent connections from source IP
Apr 25 06:30:04 s147 postfix/smtp[25091]: B829A28A240A: host hrndva-smtpin01.mail.rr.com[71.74.56.243] refused to talk to me: 421 4.7.1 - Connection refused - <85.114.141.147> -  Too many concurrent connections from source IP
Apr 25 06:30:04 s147 postfix/smtp[25027]: 3F8DA28A28A9: host hrndva-smtpin01.mail.rr.com[71.74.56.243] refused to talk to me: 421 4.7.1 - Connection refused - <85.114.141.147> -  Too many concurrent connections from source IP
Apr 25 06:30:05 s147 postfix/smtp[25025]: B829A28A240A: to=<pdbryant55@aol.com>, relay=mailin-03.mx.aol.com[205.188.190.2]:25, delay=17843, delays=17840/1.3/0.3/1.6, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 5C30D380000A2)

usw. Ich habe versucht unterschiedlichste Einträge herauszunehmen...

Ich bin mir ganz sicher, dass diese Mails nicht von meinen Scripten stammen.

 

[Whistler]

Das sind die Zustellversuche.

Wie die Mails in die Queue gekommen sind, müßte in den Logs weiter oben (unter Angabe derselben ID) stehen. Möglich wäre auch ein geratenes Paßwort für SMTP Auth.

 

[handschigl]

Okay...

Weiter oben steht dann z.B. das hier für die oben genannte letzte Mail:

Apr 25 06:30:02 s147 postfix/qmgr[31081]: B829A28A240A: from=<noreply@netlogmail.com>, size=3902, nrcpt=100 (queue active)

 

[Lord Gurke]

Poste mal bitte die Ausgabe dieser Befehle:

zgrep "B829A28A240A" /var/log/mail.info.1.gz
grep "B829A28A240A" /var/log/mail.info.0
grep "B829A28A240A" /var/log/mail.info

Damit lässt sich vielleicht sehen, von wo die Mail eingeliefert wurde

 

[handschigl]

Nur zwei der angegebenen Dateien enthielten Ergebnisse zu dieser Suche...
Die Ergebnisse sind zu finden unter http://www.mytipps.com/tmp/mail_info1.txt und http://www.mytipps.com/tmp/mail_info.txt

Wenn ich das richtig interpretiere, werden die Spammails über den Account "web2p1" versendet, oder?

Hätte ja nie gedacht, dass das über einen Account meiner Bekannten läuft... Anscheinend wurde ein zu einfaches Passwort gewählt (hatte auch nur 5 Buchstaben und war leicht herauszufinden)...

DANKE euch allen für eure Hilfe!!!

 

[traced]

Apr 25 01:32:42 s147 postfix/smtpd[10607]: B829A28A240A:
client=s15360142.onlinehome-server.info[87.106.24.224],
sasl_method=LOGIN, [B]sasl_username=web2p1[/B]

so schauts aus

Entweder unsicheres Passwort, oder ein unsicheres Kontaktformular über das Spam versendet wird.

Grüsse
Basti

 

[IP-Projects.de]

Ich Tippe mal drauf los - schlecht programmierte Webseite und in Webseite eingebundenes SPAM Mail Script.

Schau mal was


clamscan /var/www/ --recursive=yes --log=scanlog-www.log --infected --scan-html=yes --scan-pdf=yes --exclude=backups --exclude=logs --exclude=errors

sagt. Natürlich vorher clamav installieren. Clamscan sollte bei diesem Command eine Log Datei Namens

scanlog-www.log

erstellen, diese einfach einmal hier posten.

Wenn du die Sender E-Mail Adresse herausfinden kannst, kannst du aus dem Mail Que von Postfix alle Outgoing E-Mails von dieser Adresse löschen lassen.


grep -l -i -r <E-Mail Adresse> /var/spool/postfix/defer/* > liste-defer
grep -l -i -r <E-Mail Adresse> /var/spool/postfix/active/* > liste-active
grep -l -i -r <E-Mail Adresse> /var/spool/postfix/current/* > liste-current
grep -l -i -r <E-Mail Adresse> /var/spool/postfix/bounce/* > liste-bounce

Hierbei werden alle Dateipfade in einer Liste abgelegt. Diese Dateien kann man dann mit dem Befehl:
xargs -r rm < liste-*

entfernen. Natürlich vorher prüfen, dass hier auch die Richtigen E-Mails aus dem Flush gelöscht werden.

 

[Lord Gurke]

@handschigl:
Du könntest eventuell mit dem entsprechenden Logauszug noch einen Abuse an 1&1 schicken (Adressen HIER) - denn ein Server von deren Kunden ist hier offensichtlich derjenige, der diesen Zugang ausnutzt und damit also auch Angriffe fährt.

 

[handschigl]

@Lord Gurke: ja, das werde ich machen. Danke!

@IP-Projects.de: wenn ich versuche über apt-get install clamav das Debian-Package zu instalieren, wird immer nur die 0.94.2-Version installiert. Es gibt aber bereits eine neuere... Ich denke, deswegen funktioniert der Befehl auch nicht, den du angegeben hast, weil diese Version die ganzen Parameter und Argumente noch nicht kennt...
Gibt es eine Möglichkeit das akutellste clamav über apt-get oder über einen ähnlichen Befehl zu installieren, oder ist eine manuelle Installation erforderlich?

 

[traced]

Hier solltest Du alles finden:

Postfix / Greylisting / Clamav liefert keine Emails mehr aus

Hi, ich brauche mal einen Rat :confused: Seit gestern Abend hab ich mit meinem Mailserver ein Problem. Ich bekomme keine Emails mehr ausgeliefert. Ich setze Postfix und Greylisting ein. Was sollte ich am besten mal tun ? Danke für jede Hilfe

serversupportforum.de

eventuell das etch gegen lenny tauschen.

Grüsse

 

[handschigl]

Hey cool, jetzt geht's

Also clamscan gibt folgendes aus:

----------- SCAN SUMMARY -----------
Known viruses: 759771
Engine version: 0.96
Scanned directories: 1769
Scanned files: 18717
Infected files: 0
Data scanned: 678.95 MB
Data read: 15918.12 MB (ratio 0.04:1)
Time: 72.031 sec (1 m 12 s)

 

[IP-Projects.de]

Ungewöhnlich, normal setzen sich ja die Spamscripte irgendwo ab. Dann scheint der Spam in der Tat weniger durch einen Trojaner hervorgerufen zu werden, mehr aber durch ein fehlerhaft programmiertes Kontaktformular oder ähnliches. Hier findet clamav natürlich nichts, wenn der Code korrekt ist.

 

[wstuermer]

Jemals ein Kontaktformular gesehn, dass sich per SASL authentifiziert?

Es ist wohl wesentlich realistischer, dass schlicht und einfach das PW von web2p1 gehackt wurde, oder der PC dahinter infiziert ist, der zur Authentifizierung berechtigt ist.

 

[Lord Gurke]

Davon gehe ich auch aus. Wenn da sowas wie Outlook (Express) oder jetzt Windows Mail verwendet wird, könnte das durch einen Virus missbraucht werden.
Einfach mal das Kennwort für diesen Benutzer ändern, aber niemand anderem mitteilen und sehen, ob der Spam aufhört.

Zusätzlich könntest du in der main.cf von Postfix das "smtpd_recipient_limit" auf 15-25 limitieren - damit dürften die meisten dieser Mails schon von vornherein nicht bearbeitet werden. Wenn du allerdings User auf dem Server hast, die gerne Mails an viele Empfänger schicken, könnte sich der Supportaufwand drastisch erhöhen

 

[IP-Projects.de]

Das mit dem SASL Auth ist richtig, das habe ich überflogen, das Kontaktformular wäre daher unwahrscheinlich.

 

[handschigl]

Hi,

ich habe das Passwort gleich am Donnerstag geändert. Seitdem hat der Spam auch aufgehört... Die Userin hat das neue Passwort auch gleich am Donnerstag bekommen, also denke ich nicht, dass ihr PC einen Trojaner/Virus enthält, denn sonst würde der Spam schon wieder weitergehen, oder nicht?

Die Userin berichtete mir allerdings, dass sie sich zwei Tage vorher bei einer Community angemeldet hat, die nicht so seriös ist. Bei der Anmeldung hatte sie das gleiche Passwort verwendet, wie sie für ihr E-Mail-Postfach verwendete. Eventuell liegt hier ein Zusammenhang vor...