G
Gigi666
Grünschnabel
Hallo,
und HILFE (
mich hat's anscheinend erwischt, irgendwer jagt seit gestern Unmengen von SPAM über meinen Postfix in die Welt.
Vorgegangen beim Einrichten bin ich nach dieser Anleitung: http://workaround.org/articles/ispmail-sarge/index.shtml.de
/var/log/mail.log spuckte vor dem letzten "Angriff" folgendes aus:
in rauen mengen auch vorher.
los gings dann so:
und 1000e folgende
lsof | grep LISTEN spuckt folgendes aus:
und die /etc/postfix/main.cf sieht (auszugsweise) so aus:
Hab den postfix jetzt erst mal gestoppt.
Was kann ich tun?
Vielen Dank schon mal für die Mühen
Grüße
Gigi
und HILFE (
mich hat's anscheinend erwischt, irgendwer jagt seit gestern Unmengen von SPAM über meinen Postfix in die Welt.
Vorgegangen beim Einrichten bin ich nach dieser Anleitung: http://workaround.org/articles/ispmail-sarge/index.shtml.de
/var/log/mail.log spuckte vor dem letzten "Angriff" folgendes aus:
Code:
Aug 17 01:26:05 ipx11686 postfix/smtpd[2501]: disconnect from omr-m04.mx.aol.com[64.12.138.5]
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: connect from omr-m05.mx.aol.com[64.12.138.17]
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: NOQUEUE: reject: RCPT from omr-m05.mx.aol.com[64.12.138.17]: 554 <www-data@mail.weltraumvogel.de>
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: disconnect from omr-m05.mx.aol.com[64.12.138.17]
Aug 17 01:27:25 ipx11686 postfix/smtpd[2499]: connect from omr-m11.mx.aol.com[64.12.138.23]
los gings dann so:
Code:
Aug 17 01:32:04 ipx11686 postfix/pickup[2346]: CA2BFE601C4: uid=33 from=<www-data>
Aug 17 01:32:04 ipx11686 postfix/cleanup[2618]: CA2BFE601C4: message-id=<20060816233204.CA2BFE601C4@mail.weltraumvogel.de>
Aug 17 01:32:04 ipx11686 postfix/qmgr[2347]: CA2BFE601C4: from=<www-data@mail.weltraumvogel.de>, size=28603, nrcpt=322 (queue active)
Aug 17 01:32:05 ipx11686 postfix/smtpd[2625]: connect from localhost.localdomain[127.0.0.1]
Aug 17 01:32:05 ipx11686 postfix/smtpd[2625]: C8253E601B9: client=localhost.localdomain[127.0.0.1]
Aug 17 01:32:05 ipx11686 postfix/cleanup[2618]: C8253E601B9: message-id=<20060816233204.CA2BFE601C4@mail.weltraumvogel.de>
Aug 17 01:32:05 ipx11686 postfix/qmgr[2347]: C8253E601B9: from=<www-data@mail.weltraumvogel.de>, size=28719, nrcpt=50 (queue active)
Aug 17 01:32:05 ipx11686 amavis[2051]: (02051-02) Passed, <www-data@mail.weltraumvogel.de> -> <danielle.remko@12move.nl>,<daneizer@a0l.com>,<danielleb@aapt.net.au>,<danita.earby@ad.state.az.us>,<danj2241@adelphia.net>,<danvieira@adelphia.net>,<danilopasternak@andinanet.net>,<danger2others@aol.com>,<michi2709@aol.com>,<danbarb@athenet.net>,<dancnduo@attbi.com>,<dandyb12@bellsouth.net>,<dannyboo@bellsouth.net>,<danita.coker@blue-bird.com>,<danny.marzka@bmwmc.com>,<dandshegemann@bresnan.net>,<dana.gray@cemc.com>,<daniele@centurytel.net>,<daneldridge@charter.net>,<danrox1@charter.net>,<dam_fine_designs@comcast.net>,<dana.bates@comcast.net>,<danaearbogast@comcast.net>,<danrim2@comcast.net>,<dansnyder@comcast.net>,<darcy.mckenzie@comcast.net>,<daniel@cordas.net>,<damaris.valdez@coworxstaffing.com>,<dan.mikulic@cox.net>,<dani@cpmgroupinc.com>,<danandsherri@cros.net>,<dan123414@cs.com>,<danca19@cs.com>,<dancingurl1691@cs.com>,<dan@csos.com>,<dana@danabutcher.com>,<dan_campbell@dancoinc.com>,<danny@deltafounta...
Aug 17 01:32:05 ipx11686 amavis[2051]: (02051-02) ...ins.com>,<dansachs@dscproducts.com>,<danhap@earthlink.net>,<dandmwinters@elko.net>,<daniel620@email.com>,<daniel_flores@falconmail.dbcc.com>,<danddmerry@famvid.com>,<darcie@giltner.com>,<danel.stites@gm.com>,<damionhill@gmail.com>,<dar_hansen@highstream.net>,<dam2867@hotmail.com>,<dam_evil@hotmail.com>, Message-ID: <20060816233204.CA2BFE601C4@mail.weltraumvogel.de>, Hits: 3.071
Aug 17 01:32:05 ipx11686 postfix/smtp[2619]: CA2BFE601C4: to=<danielle.remko@12move.nl>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02051-02, from MTA: 250 Ok: queued as C8253E601B9)
Aug 17 01:32:05 ipx11686 postfix/smtp[2619]: CA2BFE601C4: to=<daneizer@a0l.com>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02051-02, from MTA: 250 Ok: queued as C8253E601B9)
lsof | grep LISTEN spuckt folgendes aus:
Code:
amavisd-n 2042 amavis 4u IPv4 2160 TCP localhost.localdomain:10024 (LISTEN)
amavisd-n 2051 amavis 4u IPv4 2160 TCP localhost.localdomain:10024 (LISTEN)
amavisd-n 2052 amavis 4u IPv4 2160 TCP localhost.localdomain:10024 (LISTEN)
couriertc 2111 root 5u IPv4 2278 TCP *:imap2 (LISTEN)
couriertc 2124 root 5u IPv4 2298 TCP *:imaps (LISTEN)
couriertc 2132 root 5u IPv4 2314 TCP *:pop3 (LISTEN)
couriertc 2145 root 5u IPv4 2333 TCP *:pop3s (LISTEN)
gidentd 2152 nobody 1u IPv4 2382 TCP *:auth (LISTEN)
mysqld 2209 mysql 3u IPv4 2436 TCP localhost.localdomain:mysql (LISTEN)
sshd 2359 root 3u IPv4 2956 TCP *:ssh (LISTEN)
proftpd 2370 nobody 0u IPv4 2998 TCP *:ftp (LISTEN)
apache2 2395 root 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2480 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2481 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2482 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2483 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2484 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2615 www-data 3u IPv4 3117 TCP *:www (LISTEN)
apache2 2746 www-data 3u IPv4 3117 TCP *:www (LISTEN)
und die /etc/postfix/main.cf sieht (auszugsweise) so aus:
Code:
myhostname = mail.weltraumvogel.de
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_forwardings.cf mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions =
permit_sasl_authenticated,
reject_unauth_destination
Hab den postfix jetzt erst mal gestoppt.
Was kann ich tun?
Vielen Dank schon mal für die Mühen
Grüße
Gigi
Zuletzt bearbeitet: