Spam/RBL Probleme?

[sly]

Moin,

ich habe im Moment das Problem, dass alle 1-2 Tage meine IP-Adresse auf CBL gelistet wird und ich mir wirklich nicht erklären kann wieso. Im MSN SNDS wurde mir nachstehende Mail angezeigt.

Meine IP 62.x.x.x mit der Domain srv01.meinedomain.de

X-HmXmrOriginalRecipient: bobtercyak@hotmail.com
X-Reporter-IP: 70.181.50.177
x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=none (sender IP is 62.x.x.x) smtp.mailfrom=evondietlindea@proff.nl; dkim=none header.d=proff.nl; x-hmca=none
X-SID-PRA: evondietlindea@proff.nl
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 63bBW0qvNIZ10R9uzqbOkFNuB0AG5Gizls6DtUcx947wOkT4rLcPIVfA8faIECrxNyKDO2cpXwm8wJHJVXq/NfeCMyLB0kPIbJM+XmlQmWrHxGHbNjwAJkE3NSTNKwp8vSlU3eaMcGGcHIV2hnLAYOXUIj233ElM
Received: from srv01.meinedomain.de ([62.x.x.x]) by SNT0-MC3-F23.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Wed, 2 Jan 2013 08:02:01 -0800
Return-path: <evondietlindea@proff.nl>
Received: from evondietlindea by correspondencear.srv01.meinedomain.de with local (Exim 4.50)
id Cof6cQ-TIWnJN-t3
for bobtercyak@hotmail.com; Wed, 02 Jan 2013 19:53:38 +0100
To: "bobtercyak" <bobtercyak@hotmail.com>
Subject: What do you think about a seductive rendezvous with me?
Message-Id: <Cof6cQ-TIWnJN-t3@correspondencear.srv01.meinedomain.de>
From: "Micah" <evondietlindea@proff.nl>
Date: Wed, 02 Jan 2013 19:53:38 +0100
Mime-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
X-OriginalArrivalTime: 02 Jan 2013 16:02:01.0319 (UTC) FILETIME=[802C0F70:01CDE902]

=3Chtml=3E=3Cbody=3EI don=27t know yet what sort of a stallion you are=2E=
=3Cbr=3EBut I want to find out=2E=3Cbr=3EMe=2C I=27m the sort of cuties who=
likes making men glad=2E=3Cbr=3EIn more wanton ways than you can envisage =
right now=2C lol=21=3Cbr=3EI=27m clued up about your fun and your mirth and=
if you get that I=27m happy too=2E=3Cbr=3E=3Ca href=3D=22http=3A=2F=2Fayva=
s=2Eworlddatelab=2Einfo=3Fduei=22=3EYou can see my thrilling photos right h=
ere=21=3C=2Fa=3E=3Cbr=3EThey are very fervent=2C dontcha think=3F Contact m=
e and tell me how do you like them=2E=3Cbr=3E=3Ca href=3D=22http=3A=2F=2Fay=
vas=2Eworlddatelab=2Einfo=3Fduei=22=3EI=27ve got a profile right here=2C wa=
iting for your message=21=3C=2Fa=3E=3C=2Fbody=3E=3C=2Fhtml=3E

Ich habe alle Logfiles durchsucht und habe keine Anhaltspunkte zu dieser E-Mail gefunden. Des Weiteren habe ich einen sendmail-wrapper eingerichtet, jedoch ist dort auch nichts *verdächtiges. Ich habe kein open relay und anscheinend wird auch kein Spam über bestehende E-Mail Konten verschickt.

while [ true ]; do lsof -nP -i :25 >> maillog.txt ; date >> maillog.txt ;echo -n "."; done

hat auch keine Auffälligkeiten gezeigt.

Ich habe mit

iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable

den versand verübergehen eingestellt gehabt, jedoch waren in der queue auch nur Standard E-Mails und kein Spam.


Vielleicht habt ihr noch eine Idee, was wonach ich suchen kann. Was ich aber nicht verstehe, warum in der Spam-Mail

Received: from evondietlindea by correspondencear.srv01.meinedomain.de with local (Exim 4.50)

Exim vorkommt, obwohl ich kein Exim auf meinem System habe.

Mein System:
- Debian 6.0.6 + Plesk 11.0.9 Update #32
- MTA Postfix/Courier
- Webmailer Roundcube
- fail2ban

Vielen Dank im Voraus.

 

[d4f]

Exim vorkommt, obwohl ich kein Exim auf meinem System habe.

Gefälscht. Ein Skript oder Programm versendet direkt Emails über Port 25 ausgehend (der sollte gar nicht für die User offen sein wenn du solche Probleme vermeiden willst) und um dich auf falsche Färten zu bringen hat er (schlechte) Falschangaben eingebaut.

 

[sly]

Emails über Port 25 ausgehend (der sollte gar nicht für die User offen sein wenn du solche Probleme vermeiden willst)

Ich habe die main.cf wie folgt geändert.

inet_interfaces = loopback-only

Done.

Darauf hätte ich auch selbst kommen können. Naja Ich warte jetzt ab, ob die Konfiguration etwas bewirkt. Nebenbei protokolliere ich zusätzlich 48 Std. den Netzwerkverkehr über Port 25 und berichte dann über mein Ergebnis.

Für weitere Denkanstöße bin ich natürlich offen.

 

[danton]

Die Mail lief gar nicht über deinen Postfix, sondern irgendwas auf deinem Server (möglicherweise ein Script in einer Webseite auf deinem Server) hat direkt eine Verbindung zu Port 25 der Hotmail-Server hergestellt.

 

[sly]

hat direkt eine Verbindung zu Port 25 der Hotmail-Server hergestellt.

Das ist mir schon klar, aber um eine Verbindung zu Port 25 herzustellen, muss dieser auch geöffnet sein. Durch die Postfix Konfiguration öffne ich den Port 25 oder habe ich jetzt einen Denkfehler?

bei main.cf

inet_interfaces = all

netstat -tuplen
tcp        0      0 0.0.0.0:25         0.0.0.0:*               LISTEN      0          37029711    9854/master

bei main.cf

inet_interfaces = loopback-only

netstat -tuplen
tcp        0      127.0.0.1:25         0.0.0.0:*               LISTEN      0          37029711    9854/master

 

[danton]

Damit belegst du nur bei dir Port 25, so daß da kein anderer Dienst drauf lauschen kann. Die ausgehende Kommunikation zum Port 25 auf anderen Servern (wie dem Mail-Server von Hotmail) blockierst du damit nicht.
Du solltest dein System im Moment auf jedem Fall als kompromitiert ansehen. Also System gründlich überprüfen, den Übeltäter finden, entfernen und die ausgenutzte Lücke schließen - sofern du regelmäßig die Updates deiner Distri eingespielt hast, solltest du dir als erstes die ganze Scripte auf einen Webseiten anschauen - entweder ist da eins bei, über das sich Code reinschmuggeln ließ oder es ist ein Script (z.B. Kontaktformular), welches sich ausnutzen läßt.

 

[sly]

Also System gründlich überprüfen, den Übeltäter finden, entfernen und die ausgenutzte Lücke schließen - sofern du regelmäßig die Updates deiner Distri eingespielt hast, solltest du dir als erstes die ganze Scripte auf einen Webseiten anschauen - entweder ist da eins bei, über das sich Code reinschmuggeln ließ oder es ist ein Script (z.B. Kontaktformular), welches sich ausnutzen läßt.

Ergebnis:
- clamscan -> nichts
- rkhunter -> nichts
- manuelle suche -> nichts
- maldet -> FOUND

{HEX}php.mailer.unclassed.495 : /var/www/vhosts/domain.de/httpdocs/Fonts/BKANT.php
{HEX}php.mailer.unclassed.495 : /var/www/vhosts/domain.de/httpdocs/..../..../images/img.php
{HEX}php.mailer.unclassed.495 : /var/www/vhosts/domain.de/httpdocs/images/settings.php
{HEX}php.mailer.unclassed.495 : /var/www/vhosts/domain.de/httpdocs/images.php

Die Dateien waren auf dem Webspace von meinem Kollegen. Daraufhin habe ich den Zugang erst einmal gesperrt, Passwort geändert und die Dateien gelöscht.

Der Angreifer hat sich mit seinen FTP Zugang eingeloggt (China IP) und dann munter die Dateien drauf gezogen.

Ich hoffe das war's.

 

[d4f]

Deswegen ist es empfehlenswert Port25 ausgehend zu sperren, ausser für den mailserver versteht sich.

iptables -I OUTPUT -p tcp --dport 25 -j DROP
iptables -I OUTPUT -p tcp --dport 25 -m owner --uid-owner root -j ACCEPT
iptables -I OUTPUT -p tcp --dport 25 -m owner --uid-owner $$MAILSERVER-USER$$ -j ACCEPT