Serversperre wegen Spammails! (Server4You)

[bigM]

Hallo,

mir wurde heute eine kostenpflichtige Sperrung meines Servers bei Server4You angedroht, da über meinen Server angeblich eine Menge Spam-Mails verschickt wurden.

Die Original Mail von Server4You ist wie folgt:

Sehr geehrter Kunde,

uns wurde soeben mitgeteilt, dass von Ihrem System unzählige Spammails in unser eigenes Netz versendet werden. Um Ihnen eine kostenpflichtige Sperrung zu ersparen, warnen wir Sie hiermit, den Dienst sofort einzustellen.
Bitte betrachten Sie diese Ticket als ernsthaften Hinweis darauf, dass Ihr System derzeit anscheinend nichtmehr ihrer alleinigen Administration obligt.

Mit freundlichen Grüßen
*********

Da ich Free-Webhosting anbiete und über 330 Accounts derzeit in Benutzung sind, kann ich nicht genau herausfinden, wer den Spam verschickt.

Ich bin total verzweifelt und weiß mir nicht zu helfen...

Folgendes steht in meinen Logs (und noch mehr):

/var/log/mail

Nov 28 11:02:44 golf4xx postfix/qmgr[25381]: D431D526A6: from=<wwwrun@golf4xx.server4you.de>, size=330, nrcpt=1 (queue active)
Nov 28 11:02:44 golf4xx postfix/qmgr[25381]: D6C06525AA: from=<wwwrun@golf4xx.server4you.de>, size=330, nrcpt=1 (queue active)

Diese Zeilen sind hundertfach oder tausendfach vorhanden!

Nov 28 11:03:27 golf4xx postfix/qmgr[25381]: 49A5D530C5: to=<info@*****.de>, relay=none, delay=127945, status=deferred (delivery temporarily suspended: connect to mail.*****.de[85.13.xxx.xxx]: Connection timed out)
Nov 28 11:03:27 golf4xx postfix/qmgr[25381]: 4F977530C6: to=<info@*****.de>, relay=none, delay=127945, status=deferred (delivery temporarily suspended: connect to mail.rapcommunity.de[85.13.xxx.xxx]: Connection timed out)

Diese Zeilen sind ebenfalls hundertfach oder tausendfach vorhanden!

Ich habe den Servernamen, IP und die Domain zensiert, hoffe das ist ok.


/var/log/mail.err

Nov 17 22:35:32 golf4xx postfix/sendmail[27657]: fatal: No recipient addresses found in message header
Nov 19 17:04:38 golf4xx pop3d: DISCONNECTED, user=web1p1, ip=[::ffff:88.64.xxx.xx], top=0, retr=0, time=0
Nov 20 05:52:44 golf4xx postfix/sendmail[7386]: fatal: No recipient addresses found in message header
Nov 21 18:48:56 golf4xx imapd: DISCONNECTED, ip=[::ffff:64.107.xxx.xx], time=0
Nov 25 07:53:43 golf4xx pop3d: DISCONNECTED, user=web2p1, ip=[::ffff:84.132.xxx.xxx], top=0, retr=0, time=9
Nov 26 10:27:52 golf4xx pop3d: DISCONNECTED, user=web1p1, ip=[::ffff:84.56.xxx.xxx], top=0, retr=0, time=0
Nov 27 15:06:41 golf4xx pop3d: DISCONNECTED, user=web2p1, ip=[::ffff:84.132.xxx.xxx], top=0, retr=0, time=4
Nov 27 17:19:13 golf4xx imapd: DISCONNECTED, ip=[::ffff:80.237.xxx.xx], time=0
Nov 27 19:31:58 golf4xx imapd: DISCONNECTED, ip=[::ffff:87.106.xx.xx], time=0
Nov 27 19:46:58 golf4xx imapd: DISCONNECTED, ip=[::ffff:67.15.xx.xx], time=0
Nov 27 21:16:28 golf4xx pop3d: DISCONNECTED, user=web2p1, ip=[::ffff:84.132.xxx.xx], top=0, retr=0, time=6

/var/log/mail.warn

Nov 28 09:47:40 golf4xx postfix/smtpd[30036]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 09:50:25 golf4xx postfix/smtpd[30154]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: mail for *******.de is using up 4001 of 4001 active queue entries
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: you may need to reduce smtp connect and helo timeouts
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: so that Postfix quickly skips unavailable hosts
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: you may need to increase the main.cf minimal_backoff_time and maximal_backoff_time
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: so that Postfix wastes less time on undeliverable mail
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: you may need to increase the master.cf smtp process limit
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: please avoid flushing the whole queue when you have
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: lots of deferred mail, that is bad for performance
Nov 28 09:56:36 golf4xx postfix/qmgr[25381]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 28 10:05:24 golf4xx postfix/smtpd[30737]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 10:09:27 golf4xx postfix/smtpd[30830]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 10:12:46 golf4xx postfix/smtpd[30830]: warning: 210.1.96.44: hostname ppp44.dyn1.96.pacific.net.ph verification failed: Name or service not known
Nov 28 10:27:20 golf4xx postfix/smtpd[31560]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 10:37:15 golf4xx postfix/smtpd[31836]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 10:41:15 golf4xx postfix/smtpd[31958]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:01:28 golf4xx postfix/smtpd[32471]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: mail for *******.de is using up 4001 of 4001 active queue entries
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: you may need to reduce smtp connect and helo timeouts
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: so that Postfix quickly skips unavailable hosts
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: you may need to increase the main.cf minimal_backoff_time and maximal_backoff_time
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: so that Postfix wastes less time on undeliverable mail
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: you may need to increase the master.cf smtp process limit
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: please avoid flushing the whole queue when you have
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: lots of deferred mail, that is bad for performance
Nov 28 11:20:02 golf4xx postfix/qmgr[25381]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 28 11:30:29 golf4xx postfix/smtpd[1161]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:42:05 golf4xx postfix/smtpd[1577]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:44:02 golf4xx postfix/smtpd[1636]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 11:57:21 golf4xx postfix/smtpd[2260]: warning: 59.183.136.40: hostname triband-mum-59.183.136.40.mtnl.net.in verification failed: Name or service not known
Nov 28 11:57:50 golf4xx postfix/smtpd[2270]: warning: 59.183.136.40: hostname triband-mum-59.183.136.40.mtnl.net.in verification failed: Name or service not known
Nov 28 11:57:51 golf4xx postfix/smtpd[2270]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 12:06:48 golf4xx postfix/smtpd[2598]: warning: 59.183.136.40: hostname triband-mum-59.183.136.40.mtnl.net.in verification failed: Name or service not known
Nov 28 12:06:49 golf4xx postfix/smtpd[2598]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 12:23:07 golf4xx postfix/smtpd[3441]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Nov 28 12:23:16 golf4xx postfix/smtpd[3360]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead

Die mail.warn sieht mir sehr verdächtig aus, allerdings weiß ich nicht was zu tun ist.

Wie kann ich ein Script aufspüren, dass diese Mails verschickt hat? Oder kann ich irgendwie die IP herausfinden und / oder bestimmte Empfänger auf eine blacklist setzen?

Es werden anscheinend hunderte von mails an den selben empfänger geschickt....

Bitte um Ratschläge und Hilfe.

MfG
bigM

 

[Da:Sourcerer]

Hallo,

erste Sofortmaßnahme: Postfix abschalten. Des weiteren weißt

Nov 28 11:02:44 golf4xx postfix/qmgr[25381]: D431D526A6: from=<wwwrun@golf4xx.server4you.de>, size=330, nrcpt=1 (queue active)
Nov 28 11:02:44 golf4xx postfix/qmgr[25381]: D6C06525AA: from=<wwwrun@golf4xx.server4you.de>, size=330, nrcpt=1 (queue active)

darauf hin, dass du wohl ein unsicheres Script auf deinem Webserver liegen hast. Guck mal in /tmp nach, ob sich da etwas ausführbares befindet.

 

[bigM]

Hallo,

es ist mir peinlich das zu sagen, aber ich weiß nicht wie ich postfix abschalten kann... ein Link wäre hilfreich oder ein Hinweis... sry

In dem Ordner tmp befinden sich eigentlich keine ausführbare Dateien, jedoch liegen dort so eine Art sessions herum:

http://img154.imageshack.us/img154/8811/screenshotty1.jpg
Danke!

MfG
bigM

EDIT: Muss ich was bestimmtes in der /etc/postfix/main.cf ändern?

 

[Da:Sourcerer]

Sessions sind in /tmp nichts ungewöhnliches. Mach erstmal /etc/init.d/postfix stop, damit sollte sich postifx herunterfahren.

 

[bigM]

Okay, erledigt.

golf4xx:/etc/init.d # postfix stop
postfix/postfix-script: stopping the Postfix mail system
golf4xx:/etc/init.d #

Wie sollte ich nun weiter verfahren?

 

[Da:Sourcerer]

1.) Herausfinden, wo Postfix seine Queue ablegt und diese leeren (möglichst nur die "bösen" mails)
2.) Mal ein wenig in den Apache-Logs herumgucken, ob sich da was interessantes findet (insbesondere um den Sonntag herum, wo das ganze bei dir ja anscheinend angefangen hat)
3.) Mal den Rootkit Hunter über deine Maschine laufen lassen.

 

[bigM]

Danke für die Antwort.

Ich bin gerade dabei zu suchen, wo sich die Mail Queue befindet.

Im Verzeichnis /var/spool/postfix/ befinden sich verschiedene Ordner unter anderem auch "defer und deferred".

In den Ordnern befinden sich jeweils 15.975 in jeweils 16 Ordner.

Die Dateien nennen sich:

0A0B452040
0A1B552093

usw.

Ist das meine Queue? Wenn ja, kann ich das einfach so löschen? Der Inhalt so relativ der gleiche wie in meiner "mail log".

Der Ordner maildrop scheint postfix die Mails zu speichern, die jetzt ohne postfix nicht gesendet werden können, kann das sein?

Danke für deine Hilfe!

MfG
bigM

PS: Den RootKit Finder lass ich heute auch mal drüber laufen

 

[Sinepp]

Wenn sich herausstellt, dass Du kein rootkit (laut dem Programm) drauf hast, würde ich darauf nicht vertrauen und sehr genau den Apache log durchgehen, die Verzeichnisgrößen checken, ob irgendwo vielleicht ein wenig Zeug liegt.

Ist ein SMTP Account gehackt worden, dann würde es normalerweise reichen diesem ein neues Passwort zu geben. Die Erfahrung lehrt, dass wenn der Rechner wirklich geknackt wurde nur ein vollständiges Neuaufsetzen hilft...

 

[Firewire2002]

An die Mail Queue kommst du mit dem Befehl

mailq

 

[bigM]

Ja, nun rattern da alle 15.975 Mails durch... lol ^^

Ich habs abgebrochen, also das was ich da nun gesehen habe, scheint der selbe Inhalt zu sein wie in den ganzen Dateien unter defer und deferred.

Kann ich die nun löschen oder wie ist normalerweise die vorgehensweise?

 

[schlusenbach]

Kann ich die nun löschen oder wie ist normalerweise die vorgehensweise?

postsuper -d ALL (und nicht anders)