PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : mich hat's erwischt: Postfix als SPAM-Relay :(



Gigi666
17.08.2006, 02:03
Hallo,

und HILFE :((

mich hat's anscheinend erwischt, irgendwer jagt seit gestern Unmengen von SPAM über meinen Postfix in die Welt.

Vorgegangen beim Einrichten bin ich nach dieser Anleitung: http://workaround.org/articles/ispmail-sarge/index.shtml.de

/var/log/mail.log spuckte vor dem letzten "Angriff" folgendes aus:


Aug 17 01:26:05 ipx11686 postfix/smtpd[2501]: disconnect from omr-m04.mx.aol.com[64.12.138.5]
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: connect from omr-m05.mx.aol.com[64.12.138.17]
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: NOQUEUE: reject: RCPT from omr-m05.mx.aol.com[64.12.138.17]: 554 <www-data@mail.weltraumvogel.de>
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: disconnect from omr-m05.mx.aol.com[64.12.138.17]
Aug 17 01:27:25 ipx11686 postfix/smtpd[2499]: connect from omr-m11.mx.aol.com[64.12.138.23]

in rauen mengen auch vorher.
los gings dann so:


Aug 17 01:32:04 ipx11686 postfix/pickup[2346]: CA2BFE601C4: uid=33 from=<www-data>
Aug 17 01:32:04 ipx11686 postfix/cleanup[2618]: CA2BFE601C4: message-id=<20060816233204.CA2BFE601C4@mail.weltraumvogel.de>
Aug 17 01:32:04 ipx11686 postfix/qmgr[2347]: CA2BFE601C4: from=<www-data@mail.weltraumvogel.de>, size=28603, nrcpt=322 (queue active)
Aug 17 01:32:05 ipx11686 postfix/smtpd[2625]: connect from localhost.localdomain[127.0.0.1]
Aug 17 01:32:05 ipx11686 postfix/smtpd[2625]: C8253E601B9: client=localhost.localdomain[127.0.0.1]
Aug 17 01:32:05 ipx11686 postfix/cleanup[2618]: C8253E601B9: message-id=<20060816233204.CA2BFE601C4@mail.weltraumvogel.de>
Aug 17 01:32:05 ipx11686 postfix/qmgr[2347]: C8253E601B9: from=<www-data@mail.weltraumvogel.de>, size=28719, nrcpt=50 (queue active)
Aug 17 01:32:05 ipx11686 amavis[2051]: (02051-02) Passed, <www-data@mail.weltraumvogel.de> -> <danielle.remko@12move.nl>,<daneizer@a0l.com>,<danielleb@aapt.net.au>,<danita.earby@ad.state.az.us>,<danj2241@adelphia.net>,<danvieira@adelphia.net>,<danilopasternak@andinanet.net>,<danger2others@aol.com>,<michi2709@aol.com>,<danbarb@athenet.net>,<dancnduo@attbi.com>,<dandyb12@bellsouth.net>,<dannyboo@bellsouth.net>,<danita.coker@blue-bird.com>,<danny.marzka@bmwmc.com>,<dandshegemann@bresnan.net>,<dana.gray@cemc.com>,<daniele@centurytel.net>,<daneldridge@charter.net>,<danrox1@charter.net>,<dam_fine_designs@comcast.net>,<dana.bates@comcast.net>,<danaearbogast@comcast.net>,<danrim2@comcast.net>,<dansnyder@comcast.net>,<darcy.mckenzie@comcast.net>,<daniel@cordas.net>,<damaris.valdez@coworxstaffing.com>,<dan.mikulic@cox.net>,<dani@cpmgroupinc.com>,<danandsherri@cros.net>,<dan123414@cs.com>,<danca19@cs.com>,<dancingurl1691@cs.com>,<dan@csos.com>,<dana@danabutcher.com>,<dan_campbell@dancoinc.com>,<danny@deltafounta...
Aug 17 01:32:05 ipx11686 amavis[2051]: (02051-02) ...ins.com>,<dansachs@dscproducts.com>,<danhap@earthlink.net>,<dandmwinters@elko.net>,<daniel620@email.com>,<daniel_flores@falconmail.dbcc.com>,<danddmerry@famvid.com>,<darcie@giltner.com>,<danel.stites@gm.com>,<damionhill@gmail.com>,<dar_hansen@highstream.net>,<dam2867@hotmail.com>,<dam_evil@hotmail.com>, Message-ID: <20060816233204.CA2BFE601C4@mail.weltraumvogel.de>, Hits: 3.071
Aug 17 01:32:05 ipx11686 postfix/smtp[2619]: CA2BFE601C4: to=<danielle.remko@12move.nl>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02051-02, from MTA: 250 Ok: queued as C8253E601B9)
Aug 17 01:32:05 ipx11686 postfix/smtp[2619]: CA2BFE601C4: to=<daneizer@a0l.com>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02051-02, from MTA: 250 Ok: queued as C8253E601B9)

und 1000e folgende :(

lsof | grep LISTEN spuckt folgendes aus:


amavisd-n 2042 amavis 4u IPv4 2160 TCP localhost.localdomain:10024 (LISTEN)
amavisd-n 2051 amavis 4u IPv4 2160 TCP localhost.localdomain:10024 (LISTEN)
amavisd-n 2052 amavis 4u IPv4 2160 TCP localhost.localdomain:10024 (LISTEN)
couriertc 2111 root 5u IPv4 2278 TCP *:imap2 (LISTEN)
couriertc 2124 root 5u IPv4 2298 TCP *:imaps (LISTEN)
couriertc 2132 root 5u IPv4 2314 TCP *:pop3 (LISTEN)
couriertc 2145 root 5u IPv4 2333 TCP *:pop3s (LISTEN)
gidentd 2152 nobody 1u IPv4 2382 TCP *:auth (LISTEN)
mysqld 2209 mysql 3u IPv4 2436 TCP localhost.localdomain:mysql (LISTEN)
sshd 2359 root 3u IPv4 2956 TCP *:ssh (LISTEN)
proftpd 2370 nobody 0u IPv4 2998 TCP *:ftp (LISTEN)
apache2 2395 root 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2480 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2481 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2482 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2483 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2484 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2615 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2746 www-data 3u IPv4 3117 TCP *:www (LISTEN)


und die /etc/postfix/main.cf sieht (auszugsweise) so aus:


myhostname = mail.weltraumvogel.de
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_forwardings.cf mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions =
permit_sasl_authenticated,
reject_unauth_destination


Hab den postfix jetzt erst mal gestoppt.
Was kann ich tun? :(

Vielen Dank schon mal für die Mühen
Grüße
Gigi

bastitheone
17.08.2006, 07:30
ich gehe mal davon aus, dass du nicht [dode]omr-m05.mx.aol.com[64.12.138.17][/code] bist.... wenn ich recht hab mach en anzeige denn aufgrund der ip und datum + Uhrzeit kann man das nachvollziehen. Verlang Schadensersatz und dann würd ich mir über das Sichern gedanken machen.
MfG

Gigi666
17.08.2006, 08:00
sorry bastitheone, aber das ist nun absolut zweit- bzw. drittrangig.
in erster linie muss ich den mailserver wieder flott kriegen, ohne dass er das internet zumüllt.

die ips (bei jeder einwahl ne andere, und alles aol-kisten, sprich sicher auch nur gehackte windows-mühlen) bringen mir momentan gar nichts. aber danke trotzdem.
-----------------------------------------

Nachtrag zum eigentlichen Thema:

Habe vorhin mal versucht, das Problem in den Griff zu kriegen, indem ich
postqueue -f
postfix flush
und ähnliche Mittel versucht habe - natürlich ohne Erfolg.
Nach nem Reboot der Kiste (ein Mittel aus meinen früheren Windows-Zeiten) kam ich gar nicht schnell genug via ssh drauf, als dass unmittelbar nach dem Hochfahren schon wieder einige hundert Mails verschickt werden konnten.
Das Problem hat sich also anscheinend bereits auf dem Root eingenistet.

Das seltsame ist ja dass sich ständig www-data zum Postfix verbindet; kann das an der squirrelmail-version liegen, die derzeit installiert ist (apt-get update && apt-get upgrade zuletzt vor 5 minuten ausgeführt, System ist ein Debian Sarge mit "standard"-Quellen, also "non-us, non-free, stable")?

verzweifelnd
... Gigi

zyon
17.08.2006, 09:06
Wenn deine Kiste nicht sofort vom Netz ist, ist hier was los. Sag mal was soll der schei** ?

Server Online setzen -> Logs sicher -> Logs analysieren -> Fehler keine zweites Mal machen -> Server wieder neu aussetzen.

*sauer* Zyon!

lordlamer
17.08.2006, 09:19
also wenn du nen rescue system hast dann starte das und guck dir mal die logs an. wenn es nen fehler in eienr webapplikation sein sollte wirst du auch haufen einträge in der apachelog finden. solltest du mal checken.

auf jedenfall mal apache und postfix anhalten!

frank

theton
17.08.2006, 10:29
Wenn deine Kiste nicht sofort vom Netz ist, ist hier was los. Sag mal was soll der schei** ?

Server Online setzen -> Logs sicher -> Logs analysieren -> Fehler keine zweites Mal machen -> Server wieder neu aussetzen.

*sauer* Zyon!
Du meinst sicher "offline setzen". Und genau so sehe ich das auch.

Nimm den Server vom Netz und schaue dir dann alles in Ruhe an. Wenn du das ISP-Mail-Howto von Workaround zum Einrichten genutzt hast, wurde entweder einer der User-Accounts geknackt oder per MySQL-Injection ein neuer Mail-Account in der DB angelegt. Evtl. hat auch einfach jemand einen der System-Accounts geknackt (z.B. www-data), weil das Passwort schwach oder nicht vorhanden war. Ausserdem sind deine recipient_restrictions voellig falsch und nicht so wie im Howto und ich vermisse in deiner Konfiguration die sender_restrictions (ja, ich weiss, dass davon nichts im Howto steht, aber man kann nunmal Howtos nicht einfach stoisch abarbeiten ohne zu wissen, was man da tut).

Gigi666
17.08.2006, 14:27
Hallo theton :)
endlich eine vernünftige Antwort.
Hab den "Fehler" mittlerweile schon lokalisiert. Schuld war (den Anschein hat es jetzt zumindest) ein "php-form-mailer", der von einem der User genutzt wurde. Seit ich diesen in ein von außen nicht erreichbares Verzeichnis geschoben habe, und in /var/spool/postfix die Verzeichnisse active/ bounce/ defer/ deferred/ und incoming/ geleert habe, sind keine Attacken mehr aufgetreten (zumindest keine, die in /var/log/mail.log aufgetreten wären).
Nichts desto trotz werde ich mich ausgiebig um die restrictions (sender und recipient) kümmern. Kannst Du eine gute, verständlich kommentierte Anleitung empfehlen (abgesehen von den man-pages, postfix.org und dem Verweis auf Google)?

Vielen Dank
Gigi

passbreak2001
20.08.2006, 03:39
hallo, habe das gleiche problem aber bei mir ist es kein Formmailer mehr. Die benutzen eine andere Lücke X( (habe postfix abgeschaltet bis Sache geklärt ist)

Du kannst dich auf was gefasst machen :( Die Säcke kommen wieder, verlass sich drauf. Wenn die einmal erfolg bei einem haben kommen die Immer wieder! Ist bereits das zweite mal bei mir (vorher vor 6 Monaten) jetzt haben sie wieder eine Lücke gefunden. Könnte Kotzen. Mein Problem: habe einen Vserver und IPtables wird bei denen Kernelseitig nicht unterstützt. Macht es schwierig da Gegenmassnahmen zu machen.

Ausserdem stehst du warscheinlich jetzt auf allen scharzen Brettern der Anti-Spamorganisationen.

Gruss