Spam mal wieder

NeoXx

NeoXx

Registered User
Hi,
Ich hab seit dem 9ten einen Spammer bei mir aufm Server hab wegen wartungsarbeiten die Bindung des 22er Ports aufgehoben und jetzt hab ich nen Script im System!

Start von qmail ergibt eine Flut an mail!
ps -aux ergab:

Code: 
s15231457:~ # ps -aux
Warning: bad ps syntax, perhaps a bogus '-'? See [url=http://procps.sf.net/faq.html]procps - Frequently Asked Questions (FAQ)[/url]
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0    724   184 ?        S     2006   0:01 init [3]
root         2  0.0  0.0      0     0 ?        S     2006   0:00 [migration/0]
root         3  0.0  0.0      0     0 ?        SN    2006   0:00 [ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S     2006   0:00 [watchdog/0]
root         5  0.0  0.0      0     0 ?        S<    2006   0:00 [events/0]
root         6  0.0  0.0      0     0 ?        S<    2006   0:00 [khelper]
root         7  0.0  0.0      0     0 ?        S<    2006   0:00 [kthread]
root        10  0.0  0.0      0     0 ?        S<    2006   0:11 [kblockd/0]
root        11  0.0  0.0      0     0 ?        S<    2006   0:00 [kacpid]
root       230  0.0  0.0      0     0 ?        S     2006   0:33 [pdflush]
root       233  0.0  0.0      0     0 ?        S<    2006   0:00 [aio/0]
root       232  0.0  0.0      0     0 ?        S     2006   1:12 [kswapd0]
root       236  0.0  0.0      0     0 ?        S<    2006   0:14 [xfslogd/0]
root       234  0.0  0.0      0     0 ?        S     2006   0:00 [cifsoplockd]
root       235  0.0  0.0      0     0 ?        S     2006   0:00 [cifsdnotifyd]
root       237  0.0  0.0      0     0 ?        S<    2006   0:10 [xfsdatad/0]
root       827  0.0  0.0      0     0 ?        S<    2006   0:00 [kseriod]
root       899  0.0  0.0      0     0 ?        S<    2006   0:00 [ata/0]
root       904  0.0  0.0      0     0 ?        S<    2006   0:00 [scsi_eh_0]
root       905  0.0  0.0      0     0 ?        S<    2006   0:00 [scsi_eh_1]
root       950  0.0  0.0      0     0 ?        S<    2006   0:00 [kcryptd/0]
root       951  0.0  0.0      0     0 ?        S<    2006   0:00 [kmirrord]
root       962  0.0  0.0      0     0 ?        S<    2006   0:04 [md8_raid1]
root       966  0.0  0.0      0     0 ?        S<    2006   0:02 [md7_raid1]
root       970  0.0  0.0      0     0 ?        S<    2006   0:41 [md6_raid1]
root       974  0.0  0.0      0     0 ?        S<    2006   0:06 [md5_raid1]
root       978  0.0  0.0      0     0 ?        S<    2006   0:36 [md1_raid1]
root       979  0.0  0.0      0     0 ?        S     2006   0:07 [kjournald]
root      1076  0.0  0.0      0     0 ?        S<    2006   0:01 [xfsbufd]
root      1077  0.0  0.0      0     0 ?        S<    2006   0:00 [xfssyncd]
root      1079  0.0  0.0      0     0 ?        S<    2006   0:03 [xfsbufd]
root      1080  0.0  0.0      0     0 ?        S<    2006   0:02 [xfssyncd]
root      1082  0.0  0.0      0     0 ?        S<    2006   0:01 [xfsbufd]
root      1083  0.0  0.0      0     0 ?        S<    2006   0:00 [xfssyncd]
root      1085  0.0  0.0      0     0 ?        S<    2006   0:01 [xfsbufd]
root      1086  0.0  0.0      0     0 ?        S<    2006   0:00 [xfssyncd]
root      1255  0.0  0.0   2676   744 ?        S<s   2006   0:00 udevd
root      1405  0.0  0.0   8332   656 ?        Ss    2006   0:00 /sbin/resmgrd
root      1646  0.0  0.0   2576   236 ?        Ss    2006   0:00 /sbin/dhcpcd -C -D -K -N -t 999999 -h s15231457 eth0
root      2047  0.0  0.1  28624  1064 ?        Ss    2006   0:01 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
root      2071  0.0  0.0   2580   500 ?        Ss    2006   0:00 /sbin/startpar -f -- tdm2
root      2072  0.0  0.0  10268   740 ?        Sl    2006   0:00 /usr/sbin/3dm2
ntp       2137  0.0  0.4  12344  4260 ?        SLs   2006   0:00 /usr/sbin/ntpd -p /var/lib/ntp/var/run/ntp/ntpd.pid -u ntp -i /var/lib/ntp
root      2174  0.0  0.0  10000   736 ?        Ss    2006   0:00 /usr/sbin/cron
root      2178  0.0  0.1  24176  1080 ?        Ssl   2006   0:02 /usr/sbin/nscd
root      2254  0.0  0.0   8756   808 ?        Ss    2006   0:03 /usr/sbin/xinetd
mailman   2262  0.0  0.1  44108  1828 ?        Ss    2006   0:00 /usr/bin/python /usr/lib/mailman/bin/mailmanctl --quiet --stale-lock-cleanup start
mailman   2275  0.0  0.7  38140  7716 ?        S     2006   0:00 /usr/bin/python /usr/lib/mailman/bin/qrunner --runner=ArchRunner:0:1 -s
mailman   2276  0.0  0.7  38148  7736 ?        S     2006   0:00 /usr/bin/python /usr/lib/mailman/bin/qrunner --runner=BounceRunner:0:1 -s
mailman   2277  0.0  0.6  38132  6804 ?        S     2006   0:00 /usr/bin/python /usr/lib/mailman/bin/qrunner --runner=CommandRunner:0:1 -s
mailman   2278  0.0  0.7  38072  7064 ?        S     2006   0:00 /usr/bin/python /usr/lib/mailman/bin/qrunner --runner=IncomingRunner:0:1 -s
mailman   2279  0.0  0.6  38404  6896 ?        S     2006   0:00 /usr/bin/python /usr/lib/mailman/bin/qrunner --runner=NewsRunner:0:1 -s
mailman   2280  0.0  0.8  39280  8064 ?        S     2006   0:00 /usr/bin/python /usr/lib/mailman/bin/qrunner --runner=OutgoingRunner:0:1 -s
mailman   2281  0.0  0.7  38528  7940 ?        S     2006   0:00 /usr/bin/python /usr/lib/mailman/bin/qrunner --runner=VirginRunner:0:1 -s
mailman   2282  0.0  0.7  38060  7716 ?        S     2006   0:00 /usr/bin/python /usr/lib/mailman/bin/qrunner --runner=RetryRunner:0:1 -s
root      2571  0.0  0.0   2996   664 tty1     Ss+   2006   0:00 /sbin/mingetty --noclear tty1
root      2572  0.0  0.0   2992   680 tty2     Ss+   2006   0:00 /sbin/mingetty tty2
root      2573  0.0  0.0   2996   684 tty3     Ss+   2006   0:00 /sbin/mingetty tty3
root      2574  0.0  0.0   2992   684 tty4     Ss+   2006   0:00 /sbin/mingetty tty4
root      2575  0.0  0.0   2992   680 tty5     Ss+   2006   0:00 /sbin/mingetty tty5
root      2645  0.0  0.0   2992   680 tty6     Ss+   2006   0:00 /sbin/mingetty tty6
root      2899  0.0  1.2  64456 12836 ?        S     2006   0:00 /usr/bin/python2.4 /usr/local/psa/admin/sbin/supervisor /root/restore
root      2902  0.0  0.0      0     0 ?        Z     2006   0:00 [cat] <defunct>
root      2939  0.0  0.8  63400  8112 ?        S     2006   0:00 /usr/bin/python2.4 /usr/local/psa/admin/sbin/supervisor /root/restore
root      2942  0.0  0.0   2776   540 ?        S     2006   0:00 /bin/cat //home/psa_backup_neo.sh
root      2958  0.0  0.5  63396  4996 ?        S     2006   0:00 /usr/bin/python2.4 /usr/local/psa/admin/sbin/supervisor /root/restore
root      2961  0.0  0.0   2780   460 ?        S     2006   0:00 /bin/cat //home/psa_backup_neo.sh
root      3848  0.0  0.0   6288   748 ?        Ss    2006   0:31 /sbin/syslog-ng
root      3851  0.0  0.0   2588   336 ?        Ss    2006   0:00 /sbin/klogd -c 1 -x -x
root      8523  0.0  1.1  66824 11816 ?        S     2006   0:00 /usr/bin/python2.4 /usr/local/psa/admin/sbin/supervisor /root/restore
root      8532  0.0  1.6  67152 16084 ?        S     2006   0:00 /usr/bin/python2.4 /usr/local/psa/admin/sbin/supervisor /root/restore
root     17714  0.0  2.2  66792 22744 ?        S     2006   0:00 /usr/bin/python2.4 /usr/local/psa/admin/sbin/supervisor /home/restore
tomcat   19227  0.0 11.3 409892 112544 ?       Sl    2006   0:16 /usr/lib64/jvm/java/bin/java -Djava.endorsed.dirs=/usr/share/tomcat5/common/endorsed -classp
root     24717  0.0  0.1  66808  1976 ?        S     2006   0:00 /usr/bin/python2.4 /usr/local/psa/admin/sbin/supervisor /root/restore
root     24729  0.0  0.5  66828  5884 ?        S     2006   0:00 /usr/bin/python2.4 /usr/local/psa/admin/sbin/supervisor /root/restore
root     21668  0.0  0.0   2560   540 ttyS0    Ss+  Jan02   0:00 /sbin/agetty -L ttyS0 57600 vt100
root     27037  0.0  0.0      0     0 ?        S    Jan05   0:07 [pdflush]
root     27928  0.1  0.3  46408  3068 ?        Ss   15:38   0:09 sshd: root@pts/4
root     28318  0.0  0.2   8712  2160 pts/4    Ss   15:38   0:00 -bash
named     9069  0.0  0.3  29444  3312 ?        Ssl  15:43   0:00 /usr/sbin/named -t /var/lib/named -u named
root      9166  0.0  0.0   9220   828 ?        S    15:43   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrlo
root      9168  0.0  0.0   6944   884 ?        S    15:43   0:00 /usr/sbin/courierlogger imapd
root      9177  0.0  0.0   9220   824 ?        S    15:43   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrlo
root      9179  0.0  0.0   6940   880 ?        S    15:43   0:00 /usr/sbin/courierlogger imapd-ssl
root      9186  0.0  0.0   9224   840 ?        S    15:43   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrlo
root      9188  0.0  0.1   7072  1044 ?        S    15:43   0:00 /usr/sbin/courierlogger pop3d
root      9196  0.0  0.0   9224   828 ?        S    15:43   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrlo
root      9198  0.0  0.0   6940   884 ?        S    15:43   0:00 /usr/sbin/courierlogger pop3d-ssl
root      9213  0.0  3.5  64792 35220 ?        Ss   15:43   0:00 /usr/sbin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail
popuser   9214  0.0  3.6  66184 36444 ?        S    15:43   0:00 spamd child
popuser   9215  0.0  3.5  65404 35496 ?        S    15:43   0:00 spamd child
root      9280  0.0  0.5  71196  5952 ?        Ss   15:43   0:00 /usr/local/psa/admin/bin/httpsd
psaadm    9284  0.1  3.4  84564 34124 ?        S    15:43   0:06 /usr/local/psa/admin/bin/httpsd
psaadm    9292  0.0  3.2  84864 31820 ?        S    15:43   0:04 /usr/local/psa/admin/bin/httpsd
root      5452  0.0  0.1   8108  1512 ?        S    16:24   0:00 /bin/sh /usr/bin/mysqld_safe --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --socket=/var
mysql     5486  6.3  2.5  74872 25028 ?        Sl   16:24   2:36 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/my
root      8175  0.0  1.5 127640 15576 ?        Ss   16:40   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
root      8184  0.0  0.8 127600  8760 ?        S    16:40   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8185  0.0  1.8 133312 18196 ?        S    16:40   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8186  0.0  1.8 133200 18084 ?        S    16:40   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8187  0.0  1.8 133276 18196 ?        S    16:40   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8188  0.0  1.8 133440 18180 ?        S    16:40   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8189  0.0  1.8 133344 18208 ?        S    16:40   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8218  0.0  1.4 129388 14176 ?        S    16:40   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8599  0.0  1.8 133228 18172 ?        S    16:42   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8600  0.0  1.8 133380 18120 ?        S    16:42   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun    8601  0.0  1.8 133444 18204 ?        S    16:42   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
root      7256  0.3  0.9  27124  9928 pts/4    S+   16:50   0:02 /usr/bin/mc -P /tmp/mc-root/mc.pwd.28318
root      7258  0.0  0.2   8720  2140 pts/5    Ss+  16:50   0:00 bash -rcfile .bashrc
root      7323  0.0  0.0      0     0 pts/4    Z+   16:56   0:00 [sh] <defunct>
root      7325  0.0  0.3  46408  3056 ?        Ss   16:58   0:00 sshd: root@pts/6
root      7333  0.0  0.2   8716  2152 pts/6    Ss   16:58   0:00 -bash
wwwrun    7380  0.0  1.8 133332 18016 ?        S    16:58   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
qmails    7540  0.8  0.0   2608   552 pts/6    R    17:05   0:00 qmail-send
qmaill    7541  0.0  0.0   2552   500 pts/6    S    17:05   0:00 splogger qmail
root      7542  0.0  0.0   2592   416 pts/6    S    17:05   0:00 qmail-lspawn ./Maildir/
qmailr    7543  0.1  0.0   2596   468 pts/6    S    17:05   0:00 qmail-rspawn
qmailq    7544  0.0  0.0   2548   380 pts/6    S    17:05   0:00 qmail-clean
qmailr    7777  0.0  0.1   8228  1448 pts/6    S    17:05   0:00 qmail-remote exchange.daytonoh.ncr.com [email]root@s15231457.onlinehome-server.info[/email] wf100005@exchan
qmailr    7778  0.0  0.1   8224  1096 pts/6    S    17:05   0:00 qmail-remote brevard.edu [email]root@s15231457.onlinehome-server.info[/email] [email]wheelebj@brevard.edu[/email]
qmailr    7791  0.0  0.1   8228  1100 pts/6    S    17:05   0:00 qmail-remote mail.tznet.com [email]root@s15231457.onlinehome-server.info[/email] [email]wisdom@mail.tznet.com[/email]
qmailr    7794  0.0  0.1   8228  1100 pts/6    S    17:05   0:00 qmail-remote webtv.net [email]root@s15231457.onlinehome-server.info[/email] [email]wimppy1@webtv.net[/email]
qmailr    7805  0.0  0.1   8228  1096 pts/6    S    17:05   0:00 qmail-remote getglobal.net [email]root@s15231457.onlinehome-server.info[/email] [email]winsage@getglobal.net[/email]
root      7808  0.0  0.0   3664   532 ?        Ss   17:05   0:00 tcp-env /var/qmail/bin/relaylock /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qm
qmailr    7831  0.0  0.1   8224  1580 pts/6    S    17:05   0:00 qmail-remote stone.net [email]root@s15231457.onlinehome-server.info[/email] [email]wizard@stone.net[/email]
qmailr    7834  0.0  0.1   8224  1096 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [url=http://www.nikkilove829@aol.com]AOL.com - Welcome to AOL[/url]
qmailr    7838  0.0  0.1   8228  1096 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [email]wkmedic93@aol.com[/email]
qmailr    7839  0.0  0.1   8224  1100 pts/6    S    17:05   0:00 qmail-remote ao.com [email]root@s15231457.onlinehome-server.info[/email] [email]wjbrady6@ao.com[/email]
qmailr    7843  0.0  0.1   8224  1096 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [url=http://www.qballcathy@aol.com]AOL.com - Welcome to AOL[/url]
qmailr    7849  0.0  0.1   8224  1100 pts/6    S    17:05   0:00 qmail-remote ligtel.com [email]root@s15231457.onlinehome-server.info[/email] [email]w@ligtel.com[/email]
qmailr    7851  0.0  0.1   8228  1100 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [url=http://www.rj724ny@aol.com]AOL.com - Welcome to AOL[/url]
qmailr    7853  0.0  0.1   8224  1100 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [url=http://www.rdp602@aol.com]AOL.com - Welcome to AOL[/url]
root      7854  0.0  0.0   3664   532 ?        Ss   17:05   0:00 tcp-env /var/qmail/bin/relaylock /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qm
root      7855  0.0  0.0   3668   532 ?        Ss   17:05   0:00 tcp-env /var/qmail/bin/relaylock /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qm
qmailr    7859  0.0  0.1   8228  1100 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [email]wwwrafaelrocafuerte@aol.com[/email]
qmailr    7861  0.0  0.1   8228  1100 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [email]wllmlti@aol.com[/email]
qmailr    7865  0.0  0.1   8228  1100 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [email]whitewatercommerce@aol.com[/email]
qmailr    7875  0.0  0.1   8224  1092 pts/6    S    17:05   0:00 qmail-remote attbi.com [email]root@s15231457.onlinehome-server.info[/email] [email]whmays@attbi.com[/email]
qmailr    7876  0.0  0.1   8224  1096 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [email]whiteoverton@aol.com[/email]
qmailr    7878  0.0  0.1   8228  1100 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [email]whoopadolo@aol.com[/email]
qmailr    7879  0.0  0.1   8224  1096 pts/6    S    17:05   0:00 qmail-remote aol.com [email]root@s15231457.onlinehome-server.info[/email] [email]whtshisismine@aol.com[/email]
root      7880  0.0  0.0   3792   904 pts/6    R+   17:05   0:00 ps -aux
s15231457:~ #

Ein php Script hate ich für ausgeschlossen da beim Abschalten des Indianers und einschalten des qmails sofort wieder ca 20 mails pro Sekunde in der Halde landen.
Das Root kit da von Plesk hat nichts gefunden an Backdoors und so nur eine veraltete php Version.

Ich Danke für jedliche Hilfe .... wobei ich denke das es auf Format rausläuft...

Server: (Pesk) rest sihe da oben ^^ (Unter dem Usernamen)!
 
Last edited by a moderator:
Was meinst du damit: Du hast die Bindung des Ports 22 aufgehoben?

Stoppe QMail sofort, damit der Spamversand aufhört, sonst kannst du noch mehr Probleme bekommen. Da offensichtlich ein Einbruch ins System stattgefunden hat: Sichere deine Daten und lass den Server neu installieren.

Hast du schon nach Rootkits gescannt? Schau die Logfiles durch wie/wo der Einbrecher reingekommen ist.
 
Ich habe nen Class C Range bingung auf Port 22 mit der Firewall so das nur ein IP Range auf SSH zugreifen kann, dies ist wegen den Wartungsarbteiten aufgehoben worden.

(Dabei möchte ich die Ironie zum Ausdruck bringen das Jeder Provider immer wieder mir sagen möchte mein Root ist tot weil man nur über villeicht 5 Ports normal Connecten kann und SS mit Port 22 von ihnen aus nie erreicht werden kann)

Jop rootkit hab ich laufen lassen. Ich werd jetzt Sichern und dann neu aufspielen...

Ich danke dir für die Antwort. Leider konnte ich in den Logs nichts finden wie die Person rein gekommen ist.

Mit lieben grüßen
Daniel
 
Ich bins nochmal!
Ja, hab jetzt nen frischen Server eit gestern Abend ca 20 Uhr nun läuft er wieder der spam sh**.

Ich hab voll keine Idee wie ich die Uhrsache finden könnte. In den Qmail logs fängt es einfach von einer Sekunde auf die andere mit den Versadlogs an.

Im Apache2 sind keinerlei Access logs auf einen Link zu finden deshab glaube ich auch nicht an nen php mail() missbrauch.
Wobei mit verändertem Mailservice zum Versnd mit PHP ist ein Stoppen des Versands zu erkennen.

Hat jemand ein paar Tipps zum mail() Missbrauch über php?

mfg
Daniel

-------------------------------
Ich hab da was gefunden nur hab ich keinerlei Efahrung mit dem rumschrauben an PHP
mail() logging for PHP - iBlog - Ilia Alshanetsky
 
Last edited by a moderator:
Wenns über eine Sicherheitslücke in einem deiner PHP Scripts versendet wird, dann muss zumindest ein Eintrag in der Access Log aufscheinen.

Altes Spiel: MTA Stoppen und damit einmal der Menschheit einen großen Gefallen machen.

Verwendest du denn irgendwelche großen/bekannten/löchrigen Scripts? Check deine Scripts alle durch, wo du mail() verwendest.
 
Zu dem Stoppen von dem Mail Server.... da halt ich nix von!
Ich Stope ihn .... /etc/php.ini ... sendmail_path=/dev/null ... Ich Starte ihn

So viel dazu.

SSH hat natürlch nen Password, aber sonst hats da nicht viele extras.
Entgegen meiner Annahmen das ich eine lücke im SSH hatte war hat mal wieder nen Script. Und seit ich da nen Rang aufm 22 Port habe ist da null Los keine unmöglichen Loginversuche mehr in de Logs, einfach nichts!

Das mit dem Suchen ... sind 40 mail() da, ok ok ich mach mich schon an die Arbeit!

Werd das schon Finden, ich Danke euch für den seelischen Beistand :)
 
You must log in or register to reply here.
Back
Top