Wird mein Server von Spammern genutzt?

  • Thread starter Thread starter gummel
  • Start date Start date
G

gummel

Guest
Hallo!

Zufällig habe ich meinen VServer mal wieder in gang geschmissen und dann das:

Das ROOT-Postfach war riesig groß... Alle 15 Sekunden kam eine neue Mail.

Kann jemand mit diesen Mails etwas anfangen? Für mich sieht es so aus, das mein Server als Spamrechner genutzt wird....

Hier eine der letzten Mails:

Code: 
The original message was received at Sun, 20 Jun 2004 04:25:46 -0400 (EDT)
from v016.terions.de [80.190.104.16]


*** ATTENTION ***

Your e-mail is being returned to you because there was a problem with its
delivery.  The address which was undeliverable is listed in the section
labeled: "----- The following addresses had permanent fatal errors -----".

The reason your mail is being returned to you is listed in the section
labeled: "----- Transcript of Session Follows -----".

The line beginning with "<<<" describes the specific reason your e-mail could
not be delivered.  The next line contains a second error message which is a
general translation for other e-mail servers.

Please direct further questions regarding this message to your e-mail
administrator.

--AOL Postmaster



   ----- The following addresses had permanent fatal errors -----
<svlcnews@aol.com>
<eeyornpiglet@aol.com>

   ----- Transcript of session follows -----
... while talking to air-xj03.mail.aol.com.:
>>> RCPT To:<eeyornpiglet@aol.com>
<<< 550 eeyornpiglet IS NOT ACCEPTING MAIL FROM THIS SENDER
550 <eeyornpiglet@aol.com>... User unknown
>>> RCPT To:<svlcnews@aol.com>
<<< 550 MAILBOX NOT FOUND
550 <svlcnews@aol.com>... User unknown

Hier noch die Header...

text/rfc822-headers 1 Kb
-------------------------

Received: from  v019.terions.de (v016.terions.de [80.190.104.16]) by rly-xj01.mx.aol.com (v99_r4.3) with ESMTP id MAILRELAYINXJ15-4fb40d54a093a9; Sun, 20 Jun 2004 04:25:46 -0400
Received: from v019.terions.de (localhost [127.0.0.1] (may be forged))
	by v019.terions.de (8.12.8/8.12.8) with ESMTP id i5K8Pjrd021901;
	Sun, 20 Jun 2004 04:25:45 -0400
Received: (from apache@localhost)
	by v019.terions.de (8.12.8/8.12.8/Submit) id i5K8Pj2F021900;
	Sun, 20 Jun 2004 04:25:45 -0400
Date: Sun, 20 Jun 2004 04:25:45 -0400
Message-Id: <200406200825.i5K8Pj2F021900@v019.terions.de>
To: [email]eeyornme@aol.com[/email], [email]svlcmail@aol.com[/email], [email]svlcmconsultant@aol.com[/email],
        [email]eeyornpiglet@aol.com[/email], [email]svlcnews@aol.com[/email]
Subject: Need a D iploma?
From: [email]eeyornmeVzqCtg@156home.freeserve.co.uk.terions.de[/email]
X-AOL-IP: 80.190.104.16
X-AOL-SCOLL-SCORE: 0:XXX:XX
X-AOL-SCOLL-URL_COUNT: 0


File delivery-Status
-------------------------------
Reporting-MTA: dns; rly-xj01.mx.aol.com
Arrival-Date: Sun, 20 Jun 2004 04:25:46 -0400 (EDT)

Final-Recipient: RFC822; [email]svlcnews@aol.com[/email]
Action: failed
Status: 5.1.1
Remote-MTA: DNS; air-xj03.mail.aol.com
Diagnostic-Code: SMTP; 550 MAILBOX NOT FOUND
Last-Attempt-Date: Sun, 20 Jun 2004 04:26:05 -0400 (EDT)

Final-Recipient: RFC822; [email]eeyornpiglet@aol.com[/email]
Action: failed
Status: 5.1.1
Remote-MTA: DNS; air-xj03.mail.aol.com
Diagnostic-Code: SMTP; 550 eeyornpiglet IS NOT ACCEPTING MAIL FROM THIS SENDER
Last-Attempt-Date: Sun, 20 Jun 2004 04:26:04 -0400 (EDT)

Ich werde da einfach nicht schlau draus... Ich finde nichts in den Logs... (Vielleicht finde ich aber auch nicht die richtigen Logs... :-)
Vielleicht hat jemand eine Idee, Sendmail ist jedenfalls ausgeschaltet vorerst.

Lars
 
Sieht stark danach aus, als ob jemand eine Absendeadresse von dir zu Spamversand benutzt. Die bounces schlagen natürlich dann bei dir auf.
Hast du irgendwelche catch-all Adressen eingerichtet?
Sieh dir mal dein maillog einen Moment an. Entjeder /var/log/mail oder /var/log/maillog. Als ersten mal herausfinden an wen die E-Mails wirklich gehen.

mfG
Thorsten
 
Hallo!

Hab jetzt die Log-Datei gefunden.

Also es sind durchweg AOL Adresse.

Durch das abschalten von Sendmail scheint ROOT keine Mail mehr zu bekommen, aber die Log-Datei wächst weiter...

Letzte Einträge Log-Datei:
----------------------------
Jun 20 04:58:32 v019 sendmail[24263]: i5K8wWo8024263: from=apache, size=514, class=0, nrcpts=5, msgid=<200406200858.i
Jun 20 04:58:32 v019 sendmail[24263]: i5K8wWo8024263: to=efordneal@aol.com,lrbergmann@aol.com,jshfdbisrd14@aol.com,sw
Jun 20 04:59:15 v019 sendmail[24300]: i5K8xEmH024300: from=apache, size=502, class=0, nrcpts=5, msgid=<200406200859.i
Jun 20 04:59:15 v019 sendmail[24300]: i5K8xEmH024300: to=basketballngc@aol.com,heblacgmbh@aol.com,basketballnic023@ao
Jun 20 04:59:56 v019 sendmail[24319]: i5K8xu7B024319: from=apache, size=501, class=0, nrcpts=5, msgid=<200406200859.i
Jun 20 04:59:56 v019 sendmail[24319]: i5K8xu7B024319: to=hebowsertwo@aol.com,rugcut@aol.com,lrbsaturn@aol.com,efozia@
Jun 20 05:00:42 v019 sendmail[24485]: i5K90fRv024485: from=apache, size=511, class=0, nrcpts=5, msgid=<200406200900.i
Jun 20 05:00:42 v019 sendmail[24485]: i5K90fRv024485: to=jshirvo74@aol.com,clafer24@aol.com,ruger23908@aol.com,ruger2
Jun 20 05:01:22 v019 sendmail[24704]: i5K91MAQ024704: from=apache, size=492, class=0, nrcpts=5, msgid=<200406200901.i
Jun 20 05:01:22 v019 sendmail[24704]: i5K91MAQ024704: to=lrcarter@aol.com,hebu71@aol.com,winterbabe181@aol.co

Lars
 
Schick mir mal deinen Domainnamen oder deine IP Adresse als PN. Schein als ob das ein offenes Relay ist!

mfG
Thorsten
 
Also hast du einen vServer von Terions. Hast du die Konfiguration des MTA geändert oder hat dein Provider dies übernommen? Welcher MTA wird eingesetzt (Sendmail, Postfix, ...)?
Überprüfung auf offenes Relay kannst du http://ordb.org/submit/ testen.

mfG
Thorsten
 
Sendmail hatte ich bis gestern im Einsatz. An der Konfiguration habe ich nichts geändert.

Offen kann es nicht sein, es wird nach einer Authentifizierung verlangt, ansonsten wäre es doch problemlos möglich, eine Mailclient mit der IP zu konfigurieren und einfach Mails zu versenden... Oder?

Lars
 
Irgendwo ein Script im Einsatz das missbraucht wird? from apache lässt darauf schliessen.

mfG
Thorsten
 
Hab ich auch schon dran gedacht, ich kann aber nicht sehen, welches!!! In der Access-Log müßte das doch stehen...

Ist das alles ein Mist...

Immerhin wächst meine Log-Datei jetzt nicht mehr an... Immerhin etwas.

Sendmail ist natürlich noch immer ausgeschaltet.

ORDB hat sich noch nicht gemeldet...
 
gummel said:
ORDB hat sich noch nicht gemeldet...
Click to expand...
Hast du bei ORDB eine E-Mail Adresse angeben? Dann wartet ORDB auf eine Bestätigung. Und sendmail muss zum ORDB Test natürlich laufen...

mfG
Thorsten
 
So, nun geht alles seinen Weg...

dauert allerdings noch etwas länger... 5-10 Stunden.
 
Hast Du schon 'mal geschaut, ob irgendwlche cronjobs laufen ? Da wird ja alle 30..40 sec ein Sack voll Mails verschickt. Und wenn es von apache kommt, könnte da nicht ein script per cron aufgerufen werden, o.ä.... ?
 
@miko93
Hast du die Empfänger Adressen gesehen? Sieht doch stark nach Spam aus, oder?

mfG
Thorsten
 
Thorsten said:
@miko93
Hast du die Empfänger Adressen gesehen? Sieht doch stark nach Spam aus, oder?
Click to expand...
jo, absolut. Ich meinte auch, ob nicht irgendjemand da drinne war und... äh... irgendwelche Sachen gemacht hat...
 
OKOK...

Also: Die Annahme besteht, das jemand das Passwort geknackt hat, eingebrochen ist und irgend ein Programm installiert hat, das:

- An AOL-Adresse wahllos Mails versendet

OK... ich habe jetzt das PW geändert... Wie könnte so eine Veränderung aufgespürt werden?

BTW: Momentan wird nichts verschickt, der Spammer scheint zu schlafen...

Nehmen wir mal an, es wurde etwas verändert.
Was muß verändert werden, um automatisch irgendwelche Mails zu versenden...

Alles blöd, wenn einer das Root-PW geknackt hat, dann kann er machen was er will....
 
Last edited by a moderator:
gummel said:
Received: from v019.terions.de (v016.terions.de [80.190.104.16]) by rly-xj01.mx.aol.com (v99_r4.3) with ESMTP id MAILRELAYINXJ15-4fb40d54a093a9; Sun, 20 Jun 2004 04:25:46 -0400
Received: from v019.terions.de (localhost [127.0.0.1] (may be forged)) by v019.terions.de (8.12.8/8.12.8) with ESMTP id i5K8Pjrd021901; Sun, 20 Jun 2004 04:25:45 -0400
Received: (from apache@localhost) by v019.terions.de (8.12.8/8.12.8/Submit) id i5K8Pj2F021900; Sun, 20 Jun 2004 04:25:45 -0400
Click to expand...
Hier steht es doch drin: Es ist ein Web-Server-Script. Dies wird auch vom maillog bestätigt.
Den Script-Aufruf solltest Du in /var/log/httpd/access_log (o.ä.) zum Zeitpunkt 20 Jun 2004 04:25:45 -0400 finden. Achte auf eine evtl. Zeitverschiebung, denn die -0400 ist nicht die deutsche Zeit. Es kann auch sein, daß der Eintrag in access_log ein paar kurze Sekunden früher war.

Dieses Script aufspüren, ändern oder löschen!

huschi.
 
Wenn es das ist, dann ist (oder besser war) das ein ShoutScript gewesen.
Schleierhaft, wie jemand auf die Idee kommt damit einen Mailserver zu mißbrauchen. Das Ding versendet nichtmal Mails, sondern trägt alles ist einer Textdatei ein... Sollte der Code über die Eingabezeile eingegeben worden sein? Das funktioniert sicher auch automatisch mit einem Script...

Momentan ist Ruh... Wer weiß für wie lange. Schauen wir mal.

Danke an alle für die Hilfe!

Lars
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top