qmail missbrauch

R

RATMASTER

Grünschnabel
Hallo zusammen,

ich habe folgendes Problem:

Ich bin Admin eines Webservers, kenne mich nur ein bisschen mit Linux aus, bzw. fast gar nicht, benutze Webmin und pd-Admin und zu meinem Nachteil vergewaltigen irgendwelche Spammer mein qmail und leiten per qmail-remote in mehreren Prozessen (alle vom benutzer qmailr) Nachrichten mit chaotischen Emailadressen an das taiwanesische yahoo und sonst wo hin. Ich bin da echt überfragt, weil auch wenn ich qmail stoppe und neustarte direkt qmailr-qmail-remote prozesse starten :hilfe2:

So sieht das aus:
Code: 
15758 	qmailr 	0.0 % 	qmail-remote sinamail.com kjdadwvme.gtunqdbrm@msa.hinet.net 27014@sinamail.com
15776 	qmailr 	0.0 % 	qmail-remote aptg.net udpdkyyvf.gjthpgfaw@msa.hinet.net cardon@aptg.net
15808 	qmailr 	0.0 % 	qmail-remote stock168.com.tw uakem@weekmail.com franklin@stock168.com.tw
15832 	qmailr 	0.0 % 	qmail-remote bes.com.tw gakopghhb.ofknsczmu@msa.hinet.net jho@bes.com.tw
15858 	qmailr 	0.0 % 	qmail-remote yahoo.com.tw hcojdciqn.ppcxfueie@msa.hinet.net blue5564@yahoo.com.t ...
15861 	qmailr 	0.0 % 	qmail-remote xyz.com gcevningp.aaxybynbx@msa.hinet.net xyz1082c@xyz.com
15864 	qmailr 	0.0 % 	qmail-remote xyz.com gcevningp.aaxybynbx@msa.hinet.net xyz1082d@xyz.com
15867 	qmailr 	0.0 % 	qmail-remote xyz.com gcevningp.aaxybynbx@msa.hinet.net xyz1082e@xyz.com
15869 	qmailr 	0.0 % 	qmail-remote xyz.com gcevningp.aaxybynbx@msa.hinet.net xyz1082f@xyz.com
15873 	qmailr 	0.0 % 	qmail-remote xyz.com gcevningp.aaxybynbx@msa.hinet.net xyz1082g@xyz.com

Davon gibts noch ein paar mehr. ^^ Dummerweise kommt dieses Problem bevor ich wirklich anfangen kann, mich wirklich mit unix zu beschäftigen.
Ich hoffe, hier weiß jemand Rat, in wie weit ich mein System sichern kann. :)

Frohe Weihnachten,

der RAT
 
[nebenbei] Ich denke das gehört eher nach Sicherheit.

Dann: Herzlichen Willkommen im Forum.

Danach: Qmail sofort abschalten. Ich kenne qmail zwar nicht und ich weiss auch nicht wie wichtig der Server für dein Unternehmen ist - aber auch wenn du von dem Spam nicht betroff bist, sollte der server erst wieder online gehen, wenn die Sicherheitslücke behoben ist.

Du sollte Firewall-Technisch erst gar keine möglichkeit bieten von aussen per qmail-remote (ich denke er verwendet einen eigenen Port) e-mails zu versenden. Dahingehende wären natürlich ein paar Informationen zu deinem Netzwerk (Netzstruktur) und deiner Distribution nötig.

[nebenbei2] Wenn du dich mit Linux/Unix nicht auskennst, solltest du keinen derartigen Server produktiv betreiben. Denn gerade diese unwissenheit verhilft der aktuellen Spamflut mehr und mehr sich zu verbreiten.

Havoc][
 
Hallo Havoc,

vielen Dank für die schnelle Antwort, das Willkommen und Entschuldigung für meine Verspätung, aber ich musste für fünf Tage technisch-bedingt ausfallen..

Ich habe qmail schon seit ich es bemerkt habe deaktiviert und vielleicht kennt ja jemand eine alternative zu qmail mit konfigurationsprogramm (so was wie webmin als beispiel).
Auf dem Webserver läuft Debian Sarge.

Ich versuche nun erstmal komplett auf Linux umzusteigen und denke, dass ich dafür ubuntu nehme, wobei ich mich nochmal über gentoo und die vor- und nachteile von suse informieren muss.

Grüße,
rat
 
hi

schau dir mal syscp an. das liefert dir auch gleich sicherere configs mit für postfix!

mfg frank
 
Hi lordlamer,

Danke für den Tipp, nur durch die Installation ist folgendes Problem wieder aufgetreten:

Scheinbar habe ich kein Passwort für root bei mysql gesetzt und kann es auch nicht setzen, zumindest weiß ich nicht wie......

Access denied for user: 'root@localhost' (Using password: NO)



########
Nachtrag:

Ich habe syscp wieder entfernt und konnte erfolgreich das System reparieren.
Die Lösung sieht so aus: Annahme von Relay-Weiterleitungen begrenzen auf Basisdomänen und die Queue von qmail löschen.. da waren ein wenig mehr als 500.000 weiterleitungsanforderungen drin ^^
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Neueste Themen

Zurück
Oben