Spam über meinen Server ?!?

V

V40

Caspar
Hallo,

ich brauche mal bitte eure Hilfe.

Seid ca. 1 Woche erhalte ich andauernd Mails von anderen Mailer-Daemonen mit der Fehlermeldung das der "gewünschte" Empfänger nicht existiert.

Absender sind jedes mal andere nicht existierende Mail Konten.

Ich habe schon sehr viel gesucht, Logs gelesen und probiert.
Aber leider brachte nichts den gewünschten Erfolg.

In meinen Log Dateien ist nicht ein einziges Mal verzeichnet das jemand etwas gesendet hat.
Trotzdem scheint es so das jemand meinen Server zum spammen verwendet.

Der einzige Anhaltspunkt der mir "bekannt" ist, ist das das erst anfing nachdem es ein Update über apt-get gab.
Aber leider kann ich nicht mehr nach vollziehen und/oder mich daran errinern welches das war.

Bitte helft mir, denn ich bin echt am verzweifeln.

Os : Debian Sarge
Admin-Software : VHCS2
Alles up to date.

Ich bin kein Freund von solchen Fragen aber ich weiss echt nicht weiter.
Bitte sagt mir was ihr braucht damit ihr mir einen Tip geben könnten.

Vielen Dank schonmal.

Edit :

Folgendes hatte ich eben mal Probiert : http://www.huschi.net/11_87_de.html
Bei dem Punkt "RCPT TO: existiert_nicht[at]meinserver.de"
Kommt als Antwort :"ERROR: command not implement" oder ähnlich

Für den Fall das das hilft
 
Last edited by a moderator:
2 Sachen fallen mir dazu ein:

1.) Jemand verschickt über deinen Servermails, das könnte so funktionieren:
- Nutzt du irgendwo ein Webmail Script?
- Hat dein Server kein SMTP Auth?

2.) Jemand verschickt über SEINEN Server Mails mit @deinedomain.de, dagegen kann man glaube ich nur sehr wenig tun :(
 
Hallo DJrick,

zu 1)

Ich verwende ein Mailscript von Joomla, allerdings ist es dort nicht möglich Mails an irgendjemanden zu senden mit einem beliebigen Text.
Man kann nur Mails an mich senden und/oder einen Link zu meiner Seite an irgendeine Mailadresse senden.

Ich verwende SMTP AUTH zur identifizierung, wenn ich in Outlook zum Beispiel den Eintrag zum Authentifizieren raus nehme funktioniert der Versand nicht.

zu 2)

Die Idee kam mir auch schon.
Aber ich bin mir irgendwie ziemlich Sicher das das nicht der Fall ist denn wer ist bitte schön so Hartnäckig und verschickt ca 20 Mails am Tag mit immer anderen Absendern aber immer mit meiner Domain und das ganze schon seid wie gesagt ca. einer Woche.
 
Ist es immer die gleiche Domain die genutzt wird?

Wenn du Sicherheitslücken auf deinem Server ausschließen kannst, wird es wohl letzteres sein.

20 Mails? Ist doch wenig. Die wechselnden Absender macht ein Script. Bei 2000 Mails würde es mich erst wundern. Wenns "so" wenig ist, leite es einfach nach /dev/null und ignorier es :)
 
Sicherheitslücken kann ich mittlerweile leider nicht mehr hunderprozentig ausschliessen, da ich stark Verunsichert bin.

Na ja 20 Mails von denen ich weiss weil ich Fehlermeldungen der Empfänger-Server erhalte.

Ja es ist immer die selbe Domain.


Oh verdammt..

Ich habe gerade festgestellt das im Verzeichnis /var/mail etwas steht das nicht mir gehört.

Code: 
drwxrwsr-t   3 vmail    mail   1024 2006-04-19 20:57 .
drwxr-xr-x  14 root     root   1024 2005-10-12 16:33 ..
-r--------   1 www-data mail      0 2006-04-18 21:45 _-fC,MHUREB..........
-r--------   1 www-data mail      0 2006-04-18 21:45 _-fC.MHUREB.........
-r--------   1 www-data mail      0 2006-04-18 21:45 _-fC%MHUREB..........
-r--------   1 www-data mail      0 2006-04-18 21:45 _-fC+MHUREB............
drwxr-xr-x   7 root     root   1024 2006-02-06 20:44 virtual
-rw-rw----   1 www-data mail 174303 2006-04-19 20:57 www-data

Nur das Verzeichnis Virtual ist dort "gewünscht"


Edit :
Daten entfernt die nicht für jeden bestimmt sind
 
Last edited by a moderator:
Dann wünsch ich dir jetzt viel Spass beim suchen der Lücke...
Ich geb schonmal den Tipp: LOGS LOGS LOGS :)

Das ist immer Mist, ist mir auch schon passiert. So sehr dass das BKA mir schon Briefe geschickt hat :(
 
Aufgrund des owners www-data kann es doch eigentlich nur irgendwie vom Apache kommen ?

Oder?


Denn eigentlich habe ich schon Logs gewühlt wie ein verrrückter.
Aber ich wühle jetzt mal weiter.
 
Schau dir mal die Header der Bounces an, dort steht in den Recieved Headern ja, über welche Relays die Mail ging.
Viele Systeme schicken bei ihren Bounces die ursprünglichen Header der gebounceden Mail mit. Da kansnt du dann sofort sehen, ob sie über deinen Server gingen, oder nicht.

Wenn dein Server oder seine IP in keinem der Recieved Headern auftaucht, dann kannst du das getrost ignorieren.
Wenn es auftaucht, musst du noch prfen, ob sie evtl. gefälscht sein könnten.

Poste einfach mal die Header einer der Bounces, dann sollte man das sehen können.
 
[...] wer ist bitte schön so Hartnäckig und verschickt ca 20 Mails am Tag mit immer anderen Absendern aber immer mit meiner Domain und das ganze schon seid wie gesagt ca. einer Woche.
Click to expand...
http://en.wikipedia.org/wiki/Joe_job
Jemand verschickt über SEINEN Server Mails mit @deinedomain.de, dagegen kann man glaube ich nur sehr wenig tun
Click to expand...
http://de.wikipedia.org/wiki/Sender_Policy_Framework Hilft zumindest teilweise.

Warum gibt's eigentlich keine Möglichkeit php per php.ini zu sagen das es bei jeder Mail den Name des Skripts (und bei php-cgi und php-fcgi den User) das die Mail erstellt hat in den E-Mail Header schreiben soll? Ein "X-Php-Sender: file:/var/www/userx/unsicheres-skript.php user:userx" würde solche Sachen deutlich erleichtern. Den sendmail_path in php.ini auf ein Skript umzulenken das protokoliert und die Anzahl der Mails pro Zeiteinheit limitiert hilft zwar aber an den Namen des php Skripts kommt man so leider nicht ran :(
 
Hier noch mal den Link zum Thema Sendmail umlenken:

Mini HowTo: PHP-mail()-Function umbauen

Hallo zusammen. Dieses HowTo bezieht sich auf den Thread https://serversupportforum.de/threads/dem-body-der-mail-etwas-anhaengen.3276/ - Was mit diesem HowTo erreicht werden soll: Mit diesem kleinen HowTo soll es ServerAdministratoren möglich gemacht werden einen bestimmten Text an jede...
serversupportforum.de serversupportforum.de


Den sendmail_path in php.ini auf ein Skript umzulenken das protokoliert und die Anzahl der Mails pro Zeiteinheit limitiert hilft zwar aber an den Namen des php Skripts kommt man so leider nicht ran
Click to expand...
Irgendwie muss das gehen :)
Da sitze ich auch noch dran.
 
Vielen Dank für die rege Beteiligung.

Da ich leider immer sehr schnell beim Löschen bin warte ich gerade die nächste Mail vom Mailer-Daemon ab.

Wenn die das ist werde ich, erneut, genau unters Auge nehmen und da ich nicht unfehlbar bin und euch sehr dankbar bin für die Hilfe hier auch noch posten.
 
Guin said:
Hier noch mal den Link zum Thema Sendmail umlenken:

Mini HowTo: PHP-mail()-Function umbauen

Hallo zusammen. Dieses HowTo bezieht sich auf den Thread https://serversupportforum.de/threads/dem-body-der-mail-etwas-anhaengen.3276/ - Was mit diesem HowTo erreicht werden soll: Mit diesem kleinen HowTo soll es ServerAdministratoren möglich gemacht werden einen bestimmten Text an jede...
serversupportforum.de serversupportforum.de
Click to expand...
Das bloße Umlenken geht wie schon oben erwähnt auch ohne Quellcodeänderungen
Irgendwie muss das gehen :)
Da sitze ich auch noch dran.
Click to expand...
Mit Quellcodeänderungen geht es natürlich(aber ich will dir nicht den Spass am lernen verderben :p), aber es ist sehr/zu umständlich jedes mal den selbstgeschriebenen Patch in die neue php version einzuimpfen, php neu zu kompilieren und wieder ein .deb/.rpm Packet drauß zu machen damit die Abhänigkeiten des Packetverwaltungsystems erfüllt sind. Es wundert mich nur das so eine, IMHO sehr sinnvolle, Option nicht schon im orginal Code eingebaut ist.
 
Ich bezog mich auch eher auf den letzen Beitrag von server4downs ;)
Der Quellcode (php5) ist mir persoenlich noch etwas zu unuebersichtlich.
 
Ich bezog mich auch eher auf den letzen Beitrag von server4downs ;)
Der Quellcode (php5) ist mir persoenlich noch etwas zu unuebersichtlich.
Click to expand...
Wenn mehr als 5(?) Leute Interesse(PN oder hier reinschreiben) an einem Patch haben der php dazu veranlaßt den Namen des Skripts und den Benutzter im Header der E-Mail festzuhalten dann erstelle ich einen.
 
Sofern dieser Patch fuer die verschiedenen PHP Versionen (fuer mich im Speziellen PHP5.1.3RC3) allgemein gueltig ist , freue ich mich ueber soetwas. :)
 
HornOx said:
Wenn mehr als 5(?) Leute Interesse
Click to expand...
Ich schätze hier sind ca. 3.000 User mit Interesse. Und der Ruhm soll Dir allein gehören... :)

v40 said:
-r-------- 1 www-data mail 0 2006-04-18 21:45 _-fC,MHUREB.v200.ncsrv.de
-r-------- 1 www-data mail 0 2006-04-18 21:45 _-fC.MHUREB.v200.ncsrv.de
-r-------- 1 www-data mail 0 2006-04-18 21:45 _-fC%MHUREB.v200.ncsrv.de
-r-------- 1 www-data mail 0 2006-04-18 21:45 _-fC+MHUREB.v200.ncsrv.de
Click to expand...
Such in Apache's access_log's nach vermehrten Zugriffen um genau 2006-04-18 21:45.

huschi.
 
Danke für den Tip Huschi.

Ich habe bereits den vermeindlichen Verursacher beseitig.
Anscheinend war es awstats.
Zumindest gab es zu der Zeit verhäuft merkwürdige anfragen an die awstats.pl.
Kurz um ich habe die awstats.pl einfch umbenannt.

Nur zu Testzwecken.
Früher oder später wird awstats ganz vom Server weichen müssen.
 
Hast Du denn das "AWSTATS-Verzeichnis" auch per htaccess
gesichert? Wenn nein, dann würde ich das schnell nachholen.
Das ist einfach zu machen und bringt erheblich mehr Sicherheit.

In den Statistiken haben eh nur ganz wenige User was zu suchen.

Ciao

Martin
 
Ist schon länger her, aber je nach Version hat AWStats Sicherheitslücken, von daher: sehr wahrscheinlich, dass dein Fehler daher rührt
 
So nun habe ich endlich eine MAil erhalten mit Header der Original Mail.

Code: 
--- The header of the original message is following. ---

Received-SPF: none (mxeu16: 220.86.92.82 is neither permitted nor denied by domain of meinedomain.de) client-ip=220.86.xx.xx; envelope-from=tyhghf@meinedomain.de; helo=fkbz;
Received: from [220.86.xx.xx] (helo=fkbz)
	by mx.kundenserver.de (node=mxeu16) with ESMTP (Nemesis),
	id 0MKxE4-1FXZgq3bHw-0000kq for ofenpetrus@frendedomain.de; Sun, 23 Apr 2006 10:11:34 +0200
Received: (qmail 16515 invoked from network); Sun, 23 Apr 2006 17:11:31 +0900
Received: from unknown (HELO nj.rpmai) (220.86.96.39)
	by fkbz with SMTP; Sun, 23 Apr 2006 17:11:31 +0900
Message-ID: <000601c666ad$874159bb$276056dc@nj.rpmai>
From: "Floy Mobley" <tyhghf@meinedomain.de>
To: <ofenpetrus@fremdedomain.de>
Subject: laid uniformity
Date: Sun, 23 Apr 2006 17:04:12 +0900
MIME-Version: 1.0
Content-Type: multipart/related;
	type="multipart/alternative";
	boundary="----=_NextPart_000_0002_01C666F8.F729013F"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

Meiner Meinung nach ist es so das dort nur jemand meine Domain als Absender verwendet.

Wie seht ihr das?

Edit:
Daten entfernt die nicht für jeden bestimmt sind
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top