mich hat's erwischt: Postfix als SPAM-Relay :(

Dieses Thema im Forum "Security Talk" wurde erstellt von Gigi666, 17.08.2006.

  1. #1 Gigi666, 17.08.2006
    Zuletzt bearbeitet: 17.08.2006
    Gigi666

    Gigi666 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    3
    Zustimmungen:
    0
    Hallo,

    und HILFE :((

    mich hat's anscheinend erwischt, irgendwer jagt seit gestern Unmengen von SPAM über meinen Postfix in die Welt.

    Vorgegangen beim Einrichten bin ich nach dieser Anleitung: http://workaround.org/articles/ispmail-sarge/index.shtml.de

    /var/log/mail.log spuckte vor dem letzten "Angriff" folgendes aus:
    Code:
    Aug 17 01:26:05 ipx11686 postfix/smtpd[2501]: disconnect from omr-m04.mx.aol.com[64.12.138.5]
    Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: connect from omr-m05.mx.aol.com[64.12.138.17]
    Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: NOQUEUE: reject: RCPT from omr-m05.mx.aol.com[64.12.138.17]: 554 <www-data@mail.weltraumvogel.de>
    Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: disconnect from omr-m05.mx.aol.com[64.12.138.17]
    Aug 17 01:27:25 ipx11686 postfix/smtpd[2499]: connect from omr-m11.mx.aol.com[64.12.138.23]
    
    in rauen mengen auch vorher.
    los gings dann so:
    Code:
    Aug 17 01:32:04 ipx11686 postfix/pickup[2346]: CA2BFE601C4: uid=33 from=<www-data>
    Aug 17 01:32:04 ipx11686 postfix/cleanup[2618]: CA2BFE601C4: message-id=<20060816233204.CA2BFE601C4@mail.weltraumvogel.de>
    Aug 17 01:32:04 ipx11686 postfix/qmgr[2347]: CA2BFE601C4: from=<www-data@mail.weltraumvogel.de>, size=28603, nrcpt=322 (queue active)
    Aug 17 01:32:05 ipx11686 postfix/smtpd[2625]: connect from localhost.localdomain[127.0.0.1]
    Aug 17 01:32:05 ipx11686 postfix/smtpd[2625]: C8253E601B9: client=localhost.localdomain[127.0.0.1]
    Aug 17 01:32:05 ipx11686 postfix/cleanup[2618]: C8253E601B9: message-id=<20060816233204.CA2BFE601C4@mail.weltraumvogel.de>
    Aug 17 01:32:05 ipx11686 postfix/qmgr[2347]: C8253E601B9: from=<www-data@mail.weltraumvogel.de>, size=28719, nrcpt=50 (queue active)
    Aug 17 01:32:05 ipx11686 amavis[2051]: (02051-02) Passed, <www-data@mail.weltraumvogel.de> -> <danielle.remko@12move.nl>,<daneizer@a0l.com>,<danielleb@aapt.net.au>,<danita.earby@ad.state.az.us>,<danj2241@adelphia.net>,<danvieira@adelphia.net>,<danilopasternak@andinanet.net>,<danger2others@aol.com>,<michi2709@aol.com>,<danbarb@athenet.net>,<dancnduo@attbi.com>,<dandyb12@bellsouth.net>,<dannyboo@bellsouth.net>,<danita.coker@blue-bird.com>,<danny.marzka@bmwmc.com>,<dandshegemann@bresnan.net>,<dana.gray@cemc.com>,<daniele@centurytel.net>,<daneldridge@charter.net>,<danrox1@charter.net>,<dam_fine_designs@comcast.net>,<dana.bates@comcast.net>,<danaearbogast@comcast.net>,<danrim2@comcast.net>,<dansnyder@comcast.net>,<darcy.mckenzie@comcast.net>,<daniel@cordas.net>,<damaris.valdez@coworxstaffing.com>,<dan.mikulic@cox.net>,<dani@cpmgroupinc.com>,<danandsherri@cros.net>,<dan123414@cs.com>,<danca19@cs.com>,<dancingurl1691@cs.com>,<dan@csos.com>,<dana@danabutcher.com>,<dan_campbell@dancoinc.com>,<danny@deltafounta...
    Aug 17 01:32:05 ipx11686 amavis[2051]: (02051-02) ...ins.com>,<dansachs@dscproducts.com>,<danhap@earthlink.net>,<dandmwinters@elko.net>,<daniel620@email.com>,<daniel_flores@falconmail.dbcc.com>,<danddmerry@famvid.com>,<darcie@giltner.com>,<danel.stites@gm.com>,<damionhill@gmail.com>,<dar_hansen@highstream.net>,<dam2867@hotmail.com>,<dam_evil@hotmail.com>, Message-ID: <20060816233204.CA2BFE601C4@mail.weltraumvogel.de>, Hits: 3.071
    Aug 17 01:32:05 ipx11686 postfix/smtp[2619]: CA2BFE601C4: to=<danielle.remko@12move.nl>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02051-02, from MTA: 250 Ok: queued as C8253E601B9)
    Aug 17 01:32:05 ipx11686 postfix/smtp[2619]: CA2BFE601C4: to=<daneizer@a0l.com>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02051-02, from MTA: 250 Ok: queued as C8253E601B9)
    
    und 1000e folgende :(

    lsof | grep LISTEN spuckt folgendes aus:
    Code:
    amavisd-n 2042   amavis    4u     IPv4       2160                 TCP localhost.localdomain:10024 (LISTEN)
    amavisd-n 2051   amavis    4u     IPv4       2160                 TCP localhost.localdomain:10024 (LISTEN)
    amavisd-n 2052   amavis    4u     IPv4       2160                 TCP localhost.localdomain:10024 (LISTEN)
    couriertc 2111     root    5u     IPv4       2278                 TCP *:imap2 (LISTEN)
    couriertc 2124     root    5u     IPv4       2298                 TCP *:imaps (LISTEN)
    couriertc 2132     root    5u     IPv4       2314                 TCP *:pop3 (LISTEN)
    couriertc 2145     root    5u     IPv4       2333                 TCP *:pop3s (LISTEN)
    gidentd   2152   nobody    1u     IPv4       2382                 TCP *:auth (LISTEN)
    mysqld    2209    mysql    3u     IPv4       2436                 TCP localhost.localdomain:mysql (LISTEN)
    sshd      2359     root    3u     IPv4       2956                 TCP *:ssh (LISTEN)
    proftpd   2370   nobody    0u     IPv4       2998                 TCP *:ftp (LISTEN)
    apache2   2395     root    3u     IPv4       3117                 TCP *:www (LISTEN)
    apache2   2480 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
    apache2   2481 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
    apache2   2482 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
    apache2   2483 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
    apache2   2484 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
    apache2   2615 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
    apache2   2746 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
    
    und die /etc/postfix/main.cf sieht (auszugsweise) so aus:
    Code:
    myhostname = mail.weltraumvogel.de
    virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_forwardings.cf mysql:/etc/postfix/mysql-virtual_email2email.cf
    virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
    virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
    virtual_mailbox_base = /home/vmail
    virtual_uid_maps = static:5000
    virtual_gid_maps = static:5000
    
    smtpd_sasl_auth_enable = yes
    broken_sasl_auth_clients = yes
    smtpd_use_tls = yes
    smtpd_tls_cert_file = /etc/postfix/smtpd.cert
    smtpd_tls_key_file = /etc/postfix/smtpd.key
    smtpd_sasl_security_options = noanonymous
    smtpd_recipient_restrictions =
      permit_sasl_authenticated,
      reject_unauth_destination
    
    Hab den postfix jetzt erst mal gestoppt.
    Was kann ich tun? :(

    Vielen Dank schon mal für die Mühen
    Grüße
    Gigi
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bastitheone, 17.08.2006
    bastitheone

    bastitheone Mitglied

    Dabei seit:
    30.07.2006
    Beiträge:
    36
    Zustimmungen:
    0
    ich gehe mal davon aus, dass du nicht [dode]omr-m05.mx.aol.com[64.12.138.17][/code] bist.... wenn ich recht hab mach en anzeige denn aufgrund der ip und datum + Uhrzeit kann man das nachvollziehen. Verlang Schadensersatz und dann würd ich mir über das Sichern gedanken machen.
    MfG
     
  4. #3 Gigi666, 17.08.2006
    Gigi666

    Gigi666 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    3
    Zustimmungen:
    0
    sorry bastitheone, aber das ist nun absolut zweit- bzw. drittrangig.
    in erster linie muss ich den mailserver wieder flott kriegen, ohne dass er das internet zumüllt.

    die ips (bei jeder einwahl ne andere, und alles aol-kisten, sprich sicher auch nur gehackte windows-mühlen) bringen mir momentan gar nichts. aber danke trotzdem.
    -----------------------------------------

    Nachtrag zum eigentlichen Thema:

    Habe vorhin mal versucht, das Problem in den Griff zu kriegen, indem ich
    postqueue -f
    postfix flush
    und ähnliche Mittel versucht habe - natürlich ohne Erfolg.
    Nach nem Reboot der Kiste (ein Mittel aus meinen früheren Windows-Zeiten) kam ich gar nicht schnell genug via ssh drauf, als dass unmittelbar nach dem Hochfahren schon wieder einige hundert Mails verschickt werden konnten.
    Das Problem hat sich also anscheinend bereits auf dem Root eingenistet.

    Das seltsame ist ja dass sich ständig www-data zum Postfix verbindet; kann das an der squirrelmail-version liegen, die derzeit installiert ist (apt-get update && apt-get upgrade zuletzt vor 5 minuten ausgeführt, System ist ein Debian Sarge mit "standard"-Quellen, also "non-us, non-free, stable")?

    verzweifelnd
    ... Gigi
     
  5. zyon

    zyon undeadlyBSD

    Dabei seit:
    03.11.2005
    Beiträge:
    333
    Zustimmungen:
    0
    Ort:
    Göttingen
    Wenn deine Kiste nicht sofort vom Netz ist, ist hier was los. Sag mal was soll der schei** ?

    Server Online setzen -> Logs sicher -> Logs analysieren -> Fehler keine zweites Mal machen -> Server wieder neu aussetzen.

    *sauer* Zyon!
     
  6. #5 lordlamer, 17.08.2006
    lordlamer

    lordlamer Haudegen

    Dabei seit:
    15.05.2003
    Beiträge:
    703
    Zustimmungen:
    0
    Ort:
    hamburg
    also wenn du nen rescue system hast dann starte das und guck dir mal die logs an. wenn es nen fehler in eienr webapplikation sein sollte wirst du auch haufen einträge in der apachelog finden. solltest du mal checken.

    auf jedenfall mal apache und postfix anhalten!

    frank
     
  7. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Du meinst sicher "offline setzen". Und genau so sehe ich das auch.

    Nimm den Server vom Netz und schaue dir dann alles in Ruhe an. Wenn du das ISP-Mail-Howto von Workaround zum Einrichten genutzt hast, wurde entweder einer der User-Accounts geknackt oder per MySQL-Injection ein neuer Mail-Account in der DB angelegt. Evtl. hat auch einfach jemand einen der System-Accounts geknackt (z.B. www-data), weil das Passwort schwach oder nicht vorhanden war. Ausserdem sind deine recipient_restrictions voellig falsch und nicht so wie im Howto und ich vermisse in deiner Konfiguration die sender_restrictions (ja, ich weiss, dass davon nichts im Howto steht, aber man kann nunmal Howtos nicht einfach stoisch abarbeiten ohne zu wissen, was man da tut).
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  9. #7 Gigi666, 17.08.2006
    Gigi666

    Gigi666 Grünschnabel

    Dabei seit:
    17.08.2006
    Beiträge:
    3
    Zustimmungen:
    0
    Hallo theton :)
    endlich eine vernünftige Antwort.
    Hab den "Fehler" mittlerweile schon lokalisiert. Schuld war (den Anschein hat es jetzt zumindest) ein "php-form-mailer", der von einem der User genutzt wurde. Seit ich diesen in ein von außen nicht erreichbares Verzeichnis geschoben habe, und in /var/spool/postfix die Verzeichnisse active/ bounce/ defer/ deferred/ und incoming/ geleert habe, sind keine Attacken mehr aufgetreten (zumindest keine, die in /var/log/mail.log aufgetreten wären).
    Nichts desto trotz werde ich mich ausgiebig um die restrictions (sender und recipient) kümmern. Kannst Du eine gute, verständlich kommentierte Anleitung empfehlen (abgesehen von den man-pages, postfix.org und dem Verweis auf Google)?

    Vielen Dank
    Gigi
     
  10. #8 passbreak2001, 20.08.2006
    passbreak2001

    passbreak2001 Grünschnabel

    Dabei seit:
    20.08.2006
    Beiträge:
    6
    Zustimmungen:
    0
    Können wir uns fast die hand geben

    hallo, habe das gleiche problem aber bei mir ist es kein Formmailer mehr. Die benutzen eine andere Lücke X( (habe postfix abgeschaltet bis Sache geklärt ist)

    Du kannst dich auf was gefasst machen :( Die Säcke kommen wieder, verlass sich drauf. Wenn die einmal erfolg bei einem haben kommen die Immer wieder! Ist bereits das zweite mal bei mir (vorher vor 6 Monaten) jetzt haben sie wieder eine Lücke gefunden. Könnte Kotzen. Mein Problem: habe einen Vserver und IPtables wird bei denen Kernelseitig nicht unterstützt. Macht es schwierig da Gegenmassnahmen zu machen.

    Ausserdem stehst du warscheinlich jetzt auf allen scharzen Brettern der Anti-Spamorganisationen.

    Gruss
     
Thema:

mich hat's erwischt: Postfix als SPAM-Relay :(

Die Seite wird geladen...

mich hat's erwischt: Postfix als SPAM-Relay :( - Ähnliche Themen

  1. Kleinigkeiten für Euch, mich nicht :-) pkg_add ; DVD rw mounten

    Kleinigkeiten für Euch, mich nicht :-) pkg_add ; DVD rw mounten: Hallo, ich habe 2 Problemchen. Ich kann nichts mehr installieren. Ich brauche aber unbedingt ein Brenn-Programm. Ein schönen Partitionierer usw....
  2. Ist es sinnvol mich mit meinen Kenntnissen auf diese Stelle zu bewerben?

    Ist es sinnvol mich mit meinen Kenntnissen auf diese Stelle zu bewerben?: [...] Frage beantwortet...
  3. suche das richtige Unix/Linux Betriebsystem für mich

    suche das richtige Unix/Linux Betriebsystem für mich: Hallo, ich suche das richtige Unix/Linux Betriebsystem für mich. Ich hatte mal etwas Linux gemacht, aber bei den Dschungel an Distributoren,...
  4. Samba und Win 7 treiben mich in den Wahnsinn

    Samba und Win 7 treiben mich in den Wahnsinn: Hi, nachdem ich nun eine Woche lang Foren gewälzt und alles mögliche ausprobiert habe bin ich mit meinem Latein am Ende. Absolut kein Tipp hat...
  5. Mounted USB nicht und kann mich nicht abmelden

    Mounted USB nicht und kann mich nicht abmelden: Moin, ich habe mal wieder Arch aufgesetzt. Dieses mal mit XFCE und Slim. Nun habe ich so meine Probleme mit dem mounten von Festplatten und dem...