Spamversand über Server

serializable

New Member
Hallo zusammen,

ich wende mich an Euch, weil SPAM Mail über meinen Server geschickt wird. Der Server hat ein SMTP Relay und ich vermute, dass ein Formular dafür verantwortlich ist. Ich verwende QMAIL

Nachdem mein MTA gestartet wurde stehen die folgenden Prozesse in meiner Prozessliste:

PHP:
 7127 ?        S      0:00 qmail-send
 7129 ?        S      0:00 splogger qmail
 7130 ?        S      0:00 qmail-lspawn ./Maildir/
 7131 ?        S      0:00 qmail-rspawn
 7132 ?        S      0:00 qmail-clean
 7134 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7137 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7141 ?        S      0:00 qmail-remote rdominicana.com  [email protected]
 7146 ?        S      0:00 qmail-remote bushin30seconds.org  [email protected]
 7148 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7149 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7153 ?        S      0:00 qmail-remote myfirstmail.com  [email protected]
 7158 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7161 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7164 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7169 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7171 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7173 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7178 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7180 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7181 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7184 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7193 ?        S      0:00 qmail-remote lycosmail.co.uk  [email protected]
 7199 ?        S      0:00 qmail-remote lakewebs.net  [email protected]
 7349 ?        S      0:00 qmail-remote myfirstmail.com  [email protected]
 7957 pts/0    S+     0:00 grep qmail



Hier mal 2 Mail aus meinem Remote-Queue:


21782659 (3, R)
Return-path:
From: [email protected]
To: [email protected]
Subject: failure notice
Date: 13 Jan 2009 20:16:49 -0000
Size: 3526 bytes

21783280 (3, R)
Return-path:
From: [email protected]
To: [email protected]
Subject: failure notice
Date: 14 Jan 2009 11:32:24 -0000
Size: 1997 bytes


Ein Auszug aus meiner maillog:

PHP:
Jan 14 04:41:24 s15175634 qmail: 1231908084.443233 bounce msg 21782632 qp 14975
Jan 14 04:41:24 s15175 qmail: 1231908084.443277 end msg 21782632
Jan 14 04:41:24 s15175 qmail: 1231908084.443839 new msg 21782664
Jan 14 04:41:24 s15175 qmail: 1231908084.443955 info msg 21782664: bytes 2260 from <> qp 14975 uid 2522
Jan 14 04:41:24 s15175634 qmail: 1231908084.446816 starting delivery 3023182: msg 21782664 to remote [email protected]
Jan 14 04:41:24 s15175634 qmail: 1231908084.446908 status: local 0/10 remote 2/20
Jan 14 04:41:28 s15175634 qmail: 1231908088.467924 delivery 3023182: failure:


Leider tappe ich im dunkeln. Kann es wirklich ein Formular sein ?

Ich würde mich über eure Hilfe sehr freuen...

danke
 
Wenn du ein Formular in Verdacht hast, wäre es ratsam die Webserver-Logs zu durchsuchen. Suche dort dann nach einer Mailadresse oder wo auffällig viele Zugriffe auf eine Seite waren.
 
OK, woran kann ich denn erkennen, ob die php mail() Funktion aufgerufen wurde?

Dann das: from <> qp 14975 uid 2522

keine Absende-Adresse und der UID ist 2522 , nicht die vom QMAIL ...
 
Hallo,
OK, woran kann ich denn erkennen, ob die php mail() Funktion aufgerufen wurde?
Ich würde auch zunächst die Apache Access Logs durchsuchen und mir mal anschauen ob irgendwo auffällige Einträge sind.
Eventuell kannst du auch mal den Extendet Server-Status für Apache akvieren und dir dort mal ansehen wohin sich gerade so die meisten Verbinden.

Ob du ein offenes Relay hast, kannst du unter anderem auch damit testen indem du in der Konsole dies hier aufrufst:
Code:
telnet rt.njabl.org 2500
Ganz am Ende der Tests sollte ein "Can't relay" stehen.
 
Bitte mal die Mail-Queue mit Ruhe und Verstand anschauen:
From: [email protected]
Subject: failure notice

Code:
Jan 14 04:41:24 s15175634 qmail: 1231908084.443233 bounce msg 21782632 qp 14975
Zumindest die beiden Beispiele sind Bounces.
Schau Dir mit qmHandle die ganze Email an. Dann erkennst Du vielleicht, warum es zu dem Bounce gekommen ist.

Es werden also wahrscheinlich keine Spam-Mails über Deinen Server verschickt!

huschi.
 
Ja, das qmhandle hab ich installiert. Es waren auch nur 1000 Mails im Queue.
Allerdings werden nicht alle Mails angezeigt bei ./qnHandle -R . Gibt es da vielleicht auch noch eine Blätterfunktion?

ich habe halt eine Mail von Abuse bekommen, die davon ausgehen, dass SPAM über den Server versendet wird.

7134 ? S 0:00 qmail-remote lycosmail.co.uk [email protected]

Dieser Prozess zeigt doch auch, dass die Absende-Adresse lycosmail.co.uk ist,
also eine externe Adresse.
 
Ich konnte meine Vermutung erstmal nur darauf stützen was Du vorher an Fakten gebracht hast. (Das mit den 1000 Mails in der Queue oder der Abuse-Warnung wäre schon am Anfang gut gewesen.)

Dann sorge als erstes dafür, dass Deine Mail-Queue gelöscht wird.
Schau dir qmHandle -R an (nutze less) und lösche mit z.B. qmHandle -S"failure notice" alle Emails mit zweifelhaften Subjekt.

Im zweiten Schritt suchst Du die Lücke. Fange bei den Webs mit großen CMS-Systemen (z.B. Joomla oder Nuke) an. Suche im access_log nach auffälligen POST-Einträgen.

huschi.
 
Ich habe mir den Queue noch einmal angeschaut. Es waren wieder 83 Mail drin. Alle mit einer "Failure notice".

Hier einmal meine Auswertung der Access Logs vom Server. Es gab fast ausschließlich diese Einträge. Die Datei befindet sich allerdings nicht auf dem Server:

PHP:
91.38.38.215 - - [12/Jan/2009:14:38:52 +0000] "POST /SimpleAuthWebService/SimpleAuth.asmx HTTP/1.1" 406 - "-" "Windows-Update-Agent"

Einige hiervon:
PHP:
91.38.82.206 - - [11/Jan/2009:08:05:45 +0000] "POST /ClientWebService/client.asmx HTTP/1.1" 406 - "-" "Windows-Update-Agent"

und bereits am 30.12. diese hier:

PHP:
216.55.164.37 - - [30/Dec/2008:16:38:32 +0000] "POST /roundcubemail-0.1.1/bin/html2text.php HTTP/1.1" 406 - "-" "-"

Derzeit wird jedenfalls nichts verschickt. Ich habe jetzt 2 Seiten mit einer Wordpress anwendung gesperrt. Vorsichtshalber.

Was könnte das wohl sein ? /SimpleAuthWebService/SimpleAuth.asmx


Grüße
 
Die ersten beiden kannst Du getrost vergessen.
Da versucht jemand (ein Telekom-Kunde), Deinen Server als Windows-Update-Server (WSUS) zu benutzen.

Der dritte ist interessanter.

Auch wenn er abgewiesen wurde, heißt es, das das Webmail-Interface benutzt wurde. Eventuell sind ein paar Log-Einträge in der Nähe, die weiteres verraten.
 
Der HTTP-Status-Code ist jedesmal 406. Daher sind die es nicht.
Als nächstes ist eine kompliziertere Suche durch die access_log:
Suche übergebene Parameter die evtl. eine Datei von einem externen Server verlinken. z.B. "?param=http://anderer-server/qls.txt"

huschi.
 
Hallo,

ich war fleissig am Suchen, doch so recht konnte ich nichts finden. Der Begriff "param" war nicht vorhanden. Textdateien nur die robots.text, die von irgendwelchen Spidern abgerufen wurde. Auch keine .csv o.ä.

Was ist hiermit?

PHP:
194.8.75.251 - - [31/Dec/2008:17:59:10 +0000] "HEAD /roundcube/bin/html2text.php HTTP/1.0" 404 - "-" "-"
194.8.75.251 - - [31/Dec/2008:17:59:10 +0000] "HEAD /bin/html2text.php HTTP/1.0" 404 - "-" "-"

92.51.147.90 - - [31/Dec/2008:22:35:05 +0000] "HEAD / HTTP/1.1" 200 - "-" "BotOnParade, http://www.bots-on-para.de/"

oder

PHP:
[15/Jan/2009:11:06:18 +0000] "GET / HTTP/1.1" 301 330 "http://de.mc232.mail.yahoo.com/mc/showMessage?fid=Inbox&sort=date&order=down&startMid=0&.rand=430983966&da=0&midIndex=7&mid=1_250893_AD29ktkAAIscSWxnCwh1l3PtpzU&prevMid=1_251532_AD29ktkAATFUSWx0qgs6%2BEYu6Yg&nextMid=1_246998_ADu9ktkAAW1eSWsXHAD6%2FzjFnSo&m=1_261685_AD69ktkAAFjfSW7A4gxbWVB9zwI,1_260330_ADy9ktkAAQn1SW4K2QJOTgzIikg,1_255028_ADy9ktkAAF1GSW1yPgRFLyyFE0M,1_252133_ADm9ktkAAYBiSWyFGgvBuW%2Fz6Co,1_251532_AD29ktkAATFUSWx0qgs6%2BEYu6Yg,1_250893_AD29ktkAAIscSWxnCwh1l3PtpzU,1_246998_ADu9ktkAAW1eSWsXHAD6%2FzjFnSo,1_4201_AD%2B9ktkAAG1ASWdOEAewuUyd%2BIQ,1_6056_AD69ktkAAQpqSWXwbwKE%2B2uiLEA,1_6709_ADu9ktkAAOuYSWKv4grCSB7C4z8,1_7371_AD69ktkAAK6cSWIbLAwRkDftC48," "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"

Ansonsten konnte ich keine Anzeichen erkennen...
Sind hierbei auch die GET Positionen interessant? Ich habe diese auch durchsucht.

Vielleicht sit auch Horde die Ursache ?

PHP:
91.62.130.23 - - [14/Jan/2009:13:22:36 +0000] "GET /horde/util/go.php?url=http%3A%2F%2Fwww.studivz.net&Horde=ff439a6a47a5a817e04c46bdb8b8485e HTTP/1.0" 200 -

"GET /horde/util/go.php?url=http%3A%2F%2Fwww.amazon.de%2Fgp%2Fbestsellers%2Fdvd-de%2F588837011%2Fref%3Dpe_03%2F
%2F&Horde=ff439a6a47a5a817e04c46bdb8b8485e HTTP/1.0" 200 -

Was kann noch die Ursache sein ? Viele Grüße
 
Ich sagte ja, dass es jetzt etwas schwieriger wird. :D
Aber alle 3 nicht.
Der Horde-Aufruf ist normal und resultiert aus Klicks auf Links in einer Email, die ein User in Horde aufruft. (Klingt komisch, ist aber so.)

Dumme Frage, aber wie weit in die Vergangenheit suchst Du denn?
Ich würde vermuten, dass der Spam-Versand bereits einige Zeit ging. Die beiden o.g. Bounces sind schließlich vom 13.01 und 14.01.
Evlt. versuchst Du einen Anfang im Maillog zu suchen. Stichwort "uid 33" (oder "uid 30" je nach Apache-User) . Wenn Du mal einen Zeitpunkt hast, kannst Du danach die access_log's durchforsten.

huschi.
 
Back
Top