• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Spam mit Absender anonymous@meinserver.de

kenny_g

New Member
Hallo,

ich habe seit kurzem ein erhöhtes Spam aufkommen, wo der Absender anonymous@meinserver.de lautet. Im Betreff sind irgendwelche Pornoseiten. Kann einer sagen was da los sein könnte? Relay Check usw. alles OK. Updates werden von Plesk automatisch durchgeführt. Heute wurde ein Update durchgeführt und gefühlstechnisch würde ich behaupten, dass das Problem seit heute da ist.
 
Überprüfe an Hand des Mail Header ob,

1. die E-Mail von deinem Server gesendet wird ?
2. ob vielleicht ein anderes IMAP Account schuld daran ist?
3. ob dein Server Backscattert?

Mit Hilfe des Zeitstempels aus dem E-Mail Header, kannst du deinen Logs (mail.*) durchsuchen, um dein Problem weiter einzugrenzen.
 
Hallo und Danke erst einmal für Deine Antwort. Kann man Imap bei Plesk deaktivieren? Das andere teste ich mal....
Achso noch eines, die Mails werden nicht zugestellt und enthalten keine korrekten Mailadresseen. was kann man gegen Backscatter tun?

Ich habe eben ein Backscatter Test durchgeführt und folgendes Ergebnis bekommen. Your mailserver is not backscattering. Congratulations!! Kurzum alles soweit OK! Ist ja lustig, das war wohl ein Test von Dir ;o)) Sehe ich jetzt gerade ;o))
 
Last edited by a moderator:
So nich habe mal eben die Mail Logs mit tail -f /usr/local/psa/var/log/maillog

angesehen und festgestellt, das einer der mit auf dem Server ist via IMAP verbunden ist.

Hier mal eben ein kleiner Auszug meiner Mail Log:

Feb 20 10:40:34 meinserver qmail-queue-handlers[27216]: from=anonymous@meinserver.de
Feb 20 10:40:34 meinserver qmail-queue-handlers[27216]: to=james.t.jones281@hotmail.com
Feb 20 10:40:34 meinserver qmail-queue-handlers[27216]: handlers_stderr: SKIP
Feb 20 10:40:34 meinserver qmail-queue-handlers[27216]: SKIP during call 'check-quota' handler
Feb 20 10:40:34 meinserver qmail-queue-handlers[27216]: starter: submitter[27220] exited normally
Feb 20 10:40:34 meinserver qmail-queue-handlers[27224]: Handlers Filter before-queue for qmail started ...
Feb 20 10:40:34 meinserver qmail-queue-handlers[27224]: from=anonymous@meinserver.de
Feb 20 10:40:34 meinserver qmail-queue-handlers[27224]: to=jacobs31@aol.com
Feb 20 10:40:34 meinserver qmail-queue-handlers[27224]: handlers_stderr: SKIP
Feb 20 10:40:34 meinserver qmail-queue-handlers[27224]: SKIP during call 'check-quota' handler
Feb 20 10:40:34 meinserver qmail-queue-handlers[27224]: starter: submitter[27226] exited normally
Feb 20 10:40:35 meinserver qmail-queue-handlers[27229]: Handlers Filter before-queue for qmail started ...
Feb 20 10:40:35 meinserver qmail-queue-handlers[27229]: from=anonymous@meinserver.de
Feb 20 10:40:35 meinserver qmail-queue-handlers[27229]: to=james.t.nightshade@gmail.com
Feb 20 10:40:35 meinserver qmail-queue-handlers[27229]: handlers_stderr: SKIP
Feb 20 10:40:35 meinserver qmail-queue-handlers[27229]: SKIP during call 'check-quota' handler
Feb 20 10:40:35 meinserver qmail-queue-handlers[27229]: starter: submitter[27231] exited normally
Feb 20 10:40:36 meinserver qmail-queue-handlers[27233]: Handlers Filter before-queue for qmail started ...
Feb 20 10:40:36 meinserver qmail-queue-handlers[27233]: from=anonymous@meinserver.de
Feb 20 10:40:36 meinserver qmail-queue-handlers[27233]: to=jacobs3ladders@yahoo.com

Hier kurz danach:

Feb 20 10:43:01 meinserver qmail: 1361353381.147801 warning: unable to utime remote/16/17569946; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147806 warning: unable to utime remote/22/17569952; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147811 warning: unable to utime remote/6/17568004; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147816 warning: unable to utime remote/20/17568731; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147821 warning: unable to utime remote/0/17567837; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147826 warning: unable to utime remote/12/17567941; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147830 warning: unable to utime remote/2/17568046; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147835 warning: unable to utime remote/9/17568053; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147840 warning: unable to utime remote/9/17567639; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147847 warning: unable to utime remote/12/17569781; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147852 warning: unable to utime remote/17/17569786; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147856 warning: unable to utime remote/14/17568104; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147865 warning: unable to utime remote/21/17569560; message will be retried too soon
Feb 20 10:43:01 meinserver qmail: 1361353381.147871 warning: unable to utime remote/13/17569529; message will be retried too soon
 
Ist das eine Imap Sitzung?

pop3d-ssl: IMAP connect from @

Ich weiß, dass die Verbindung eigentlich nur eine POP3 ist..

Ich sehe auch viele Relaylocks die über Unitymedia kommen und aus Portugal
 
Hallo!

OK (lesen bildet :)). Dann halt mit /var/qmail/bin/qmail-qstat.

mfG
Thorsten
 
Ich weiß und das habe ich auch gemacht und...

-bash: /var/qmail/bin/qmail-stat: No such file or directory

das ist das ergebnis :eek:
 
Hallo!

Also ich setzte aktuell kein qmail ein. Aber mein Befehl unterscheidet sich irgendwie noch von deinem, oder?

mfG
Thorsten
 
UI,
OK, Blindfuchs ich :eek: Mir ist jetzt aber auch noch was anderes aufgefallen und das könnte das ware Problem sein. Mein SMTP stoppt sich immer elber, dann läuft die Schlange voll. Also ahbe ich doch recht, wenn ich behaupte, das es durch das letzte MU von Plesk kommen kann, denn vorher lief er immer durch ohne zu stoppen.

Das problem ist seit ungefähr gestern und gestern wurde ein neues MU automatisch installiert.
 
Aktuell sind ca. 250 Mails mit anonymous@meinserver.de in der Schlange. Die Anzahl ist ungefähr jetzt der durchschnitt. Gestern waren es sogar 13000. Wenn es ein Script ist, dann muss ich mal schauen, welches es sein kann.
 
Der Fall ist geklärt!! :)

Nach dem ich alle Webspace Pakete deaktiviert, nach und nach aktiviert habe und getestet, was passiert, ist ein Webspace Paket aufgefallen, welches Joomla drauf hatte. Joomla wurde anscheinend gehackt und eine geopic.php Datei im Bereich component/com_content eingeschleust. Sämtliche Dateien vom Server , sowie Mysql Tabellen wurden gelöscht.

Nun hat derjenige etwas zu tun, um auf eine aktuelle Joomla Version upzudaten. Das war übrigens die Version 1.5.26.
 
Hallo,

ich hatte das gleiche Problem. Auch bei mir war eine alte Joomla Version Schuld. Die wurde gehackt und man findet überall .htaccess Files und Ordner mit inhalten wie:

ErrorDocument 400 http:// homeworkfreehere11. com/?12/206
ErrorDocument 401 http:// homeworkfreehere11. com/?12/206
ErrorDocument 403 http:// homeworkfreehere11. com/?12/206
ErrorDocument 404 http:// homeworkfreehere11. com/?12/206
ErrorDocument 500 http:// homeworkfreehere11. com/?12/206
 
Auch wenn das nun dem TO nicht mehr hilft, möchte ich aus Erfahrung doch noch etwas dazu posten:

Joomla & Wordpress sind relativ sichere Systeme - vorausgesetzt, sie werden gepflegt. Für die 1.5.26 sind zahlreiche Exploits bekannt.
Vor diesem Hintergrund ist Folgendes vielleicht recht interessant: http://www.itoctopus.com/is-joomla-1-5-26-still-secure

Der Betrieb von Joomla-Versionen, für die Exploits bekannt sind, ist nahezu fahrlässig; hier ist es im Grunde nur eine Frage der Zeit, bis die Installation korrumpiert wird. Im schlimmsten Fall wird Malware über die infizierte Version verteilt. Gleiches gilt natürlich für raubkopierte Paid-Templates etc. pp.

Die Endnutzer sind in solchen Fällen aufzufordern, Ihre Installationen zu pflegen.

Beste Grüße aus Göttingen
 
Back
Top