vServer Mail Problem

[Timkom]

Hallo Leute,

hoffe es kann mir hier jemand helfen. Mein Server wurde erst gesperrt wegen dem Verdacht des Spammings. Nun habe ich das unsichere PHP Script gefunden und eleminiert.

Domainnamen wurden verändert. Wie kann ich am schnellsten und sichersten prüfen ob von meinem Server noch Aktivitäten ausgehen?

Folgende Ausgabe erhalte ich über putty nun:

[root@dkekdle root]# ps -aux|grep mail
root 15859 0.0 0.3 7072 3004 ? SN 12:20 0:00 sendmail: server 240.pool85-58-58.dynamic.kdkel.ru [85.58.58.240] cmd read
root 26089 0.0 0.3 7368 3064 ? SN 12:56 0:00 sendmail: m32AufCZ026089 homeuser77.43.202.100.ccl.fjeke.ru [77.43.202.100] (may be forged): DATA
root 26613 0.0 0.3 6476 2836 ? SN 12:57 0:00 sendmail: server mailgw1.dkel.ac.jp [192.218.161.40] cmd read
root 27655 0.0 0.3 6772 2932 ? SN 12:57 0:00 sendmail: server eforward1.dkel-dle.com [69.25.142.2] cmd read
root 27666 0.0 0.0 1424 436 pts/0 S 12:57 0:00 grep mail

 

[Thorsten]

Hallo!
Wenn das unsichere Script nur im Bezug auf den Mailversand unsicher war, also keine weiteren Sicherheitslöcher ausgenutzt wurden, sollte erst einmal geprüft werden, was für Mailaktivitäten noch von deinem Server ausgehen. Am einfachsten durch die Überprüfung der Logfiles (wer sendet das wem noch Emails). Wir tatsächlich sendmail auf deinem System eingesetzt?

mfG
Thorsten

 

[Timkom]

folgendes habe ich in der secure.log gefunden. was meint ihr dazu? die xx sind meine server id.

Apr 2 16:29:22 vsxxxxxxx xinetd[22396]: START: smtp pid=28440 from=64.7.81.57
Apr 2 16:29:38 vsxxxxxxx xinetd[22396]: START: smtp pid=29720 from=87.117.32.228
Apr 2 16:29:54 vsxxxxxxx xinetd[22396]: START: smtp pid=29994 from=65.54.246.165
Apr 2 16:30:23 vsxxxxxxx xinetd[22396]: START: smtp pid=32739 from=193.108.24.71
Apr 2 16:30:27 vsxxxxxxx xinetd[22396]: START: smtp pid=1385 from=201.222.157.239
Apr 2 16:30:28 vsxxxxxxx xinetd[22396]: START: smtp pid=1405 from=216.38.218.230
Apr 2 16:30:29 vsxxxxxxx xinetd[22396]: START: smtp pid=1412 from=201.232.140.122
Apr 2 16:30:34 vsxxxxxxx xinetd[22396]: START: smtp pid=1465 from=216.38.218.230
Apr 2 16:31:17 vsxxxxxxx xinetd[22396]: START: smtp pid=3471 from=87.242.134.184
Apr 2 16:31:23 vsxxxxxxx xinetd[22396]: START: smtp pid=3571 from=68.166.110.28
Apr 2 16:31:23 vsxxxxxxx xinetd[22396]: START: smtp pid=3577 from=82.72.113.132
Apr 2 16:31:33 vsxxxxxxx xinetd[22396]: START: smtp pid=3771 from=89.109.107.95
Apr 2 16:31:34 vsxxxxxxx xinetd[22396]: START: smtp pid=3785 from=218.6.169.93
Apr 2 16:31:34 vsxxxxxxx xinetd[22396]: START: smtp pid=3787 from=201.222.157.239
Apr 2 16:31:39 vsxxxxxxx xinetd[22396]: START: smtp pid=3912 from=78.179.158.245
Apr 2 16:32:36 vsxxxxxxx xinetd[22396]: START: smtp pid=7536 from=89.159.205.91
Apr 2 16:32:38 vsxxxxxxx xinetd[22396]: START: smtp pid=7552 from=63.239.46.231
Apr 2 16:32:44 vsxxxxxxx xinetd[22396]: START: smtp pid=7608 from=79.14.109.79
Apr 2 16:32:50 vsxxxxxxx xinetd[22396]: START: smtp pid=7699 from=82.76.175.84
Apr 2 16:32:50 vsxxxxxxx xinetd[22396]: START: smtp pid=7704 from=89.159.205.91
Apr 2 16:32:54 vsxxxxxxx xinetd[22396]: START: smtp pid=7751 from=65.54.246.165
Apr 2 16:33:06 vsxxxxxxx xinetd[22396]: START: smtp pid=7987 from=85.54.242.149
Apr 2 16:33:07 vsxxxxxxx xinetd[22396]: START: smtp pid=7991 from=216.129.90.117
Apr 2 16:33:07 vsxxxxxxx xinetd[22396]: START: smtp pid=7992 from=216.129.90.117
Apr 2 16:33:07 vsxxxxxxx xinetd[22396]: START: smtp pid=8004 from=216.129.90.117
Apr 2 16:33:08 vsxxxxxxx xinetd[22396]: START: smtp pid=8032 from=216.129.90.117
Apr 2 16:33:08 vsxxxxxxx xinetd[22396]: START: smtp pid=8034 from=216.129.90.117
Apr 2 16:33:08 vsxxxxxxx xinetd[22396]: START: smtp pid=8051 from=216.129.90.117
Apr 2 16:33:08 vsxxxxxxx xinetd[22396]: START: smtp pid=8052 from=216.129.90.117
Apr 2 16:33:09 vsxxxxxxx xinetd[22396]: START: smtp pid=8055 from=216.129.90.117
Apr 2 16:33:09 vsxxxxxxx xinetd[22396]: START: smtp pid=8060 from=216.129.90.117

 

[Thorsten]

Hallo!
Einige Hinweise vorweg: Bitte nochmals die Nutzungsbedingungen im Bezug auf Groß-/Kleinschreibung und die Verwendung von CODE Tags beachten. Vielen Dank.

Im secure.log steht lediglich, dass SMTP Verbindungen aufgebaut wurden / werden. Im mail.log solltest du nachforschen, mit wem kommuniziert wird.

mfG
Thorsten

 

[Cenic]

Das sind alles ankommende Verbindungen und solange die legitim sind oder der Spam nicht angenommen wird, gibt es erstmal kein Problem. Gesendete Mails hinterlassen in /var/log/mail.* Zeilen der Form:

Apr  2 18:15:37 stingray sm-mta[24050]: m32GFafZ024048: to=<user@example.net>, delay=00:00:00, xdelay=00:00:00, mailer=local, pri=34049, dsn=2.0.0, stat=Sent

grep 'to=<' /var/log/mail.* könnte mehr zeigen.