G
GuN$LiNGER
Grünschnabel
hallo,
mein rootserver scheint ziel diverser angriffe geworden zu sein...
betroffen ist der mailserver, über den versucht wird spam zu versenden...
aufegfallen in den logs ist mir einiges. hier ein paar auszüge:
/etc/log/exim4/mainlog:
anmerkung: die domain gehört mir und wurde früher, als sie auf einen anderen server gezeigt hat bereits erfolgreich zum versenden von spam "gekapert"...
leider weiß ich nicht genau wie ich am besten gegen so etwas vorgehen sollte...
mir ist außerdem aufgefallen, dass mein server ziemlich laggt, was evtl ja auch dadurch erklärt werden könnte?
im paniclog befinden sich zahllose einträge nach folgendem muster:
rejectlog:
--> anscheinend funktioniert spamassassin, jedoch bin cih mir eben nciht so ganz sicher...
p.s. habe im meinen mailserver nach diesme howto installiert:
http://debianhowto.de/doku.php/de:howtos:sarge:exim4_vexim2_courier_mailman
wenn mir jemand jetzt vorwerfen möchte, dass ich 2 beiträge zu einem ähnlichen thema geschrieben habe, dann verweise ich hiermit auf meinen anderen beitrag und frage mich antürlich auch, was die beiden problem miteinander zu tun haben könnten..: http://www.unixboard.de/vb3/showthread.php?t=27137
Ich freue mich über jede hilfreiche antwort!!!!
mfg,
Joel
mein rootserver scheint ziel diverser angriffe geworden zu sein...
betroffen ist der mailserver, über den versucht wird spam zu versenden...
aufegfallen in den logs ist mir einiges. hier ein paar auszüge:
/etc/log/exim4/mainlog:
Code:
2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 06:56:32 H=218-161-9-202.dynamic.hinet.net (cabletimeusa.com) [218.161.9.202] F=<bedwyriren@cabletimeusa.com> rejected RCPT <bigtime.org@>: DNSBL listed at dynablock.njabl.org
2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 11:58:58 H=(mail.ybkendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
2007-02-12 15:13:10 H=([192.168.0.102]) [80.71.144.222] F=<magic@> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 17:31:39 no host name found for IP address 219.138.0.109
2007-02-12 17:31:47 H=(mail.zeqe.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
anmerkung: die domain gehört mir und wurde früher, als sie auf einen anderen server gezeigt hat bereits erfolgreich zum versenden von spam "gekapert"...
leider weiß ich nicht genau wie ich am besten gegen so etwas vorgehen sollte...
mir ist außerdem aufgefallen, dass mein server ziemlich laggt, was evtl ja auch dadurch erklärt werden könnte?
im paniclog befinden sich zahllose einträge nach folgendem muster:
Code:
2007-02-12 22:15:01 1HGiVp-0005rw-9y User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:15:01 1HGiVp-0005s1-Dg User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:30:01 1HGikL-0005sH-Ew User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:30:06 1HGikL-0005sM-K8 User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:45:10 1HGiyw-0005tX-M5 User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:45:10 1HGiz0-0005te-4f User 0 set for local_delivery transport is on the never_users list
rejectlog:
Code:
2007-02-12 06:56:32 H=218-161-9-202.dynamic.hinet.net (cabletimeusa.com) [218.161.9.202] F=<bedwyriren@cabletimeusa.com> rejected RCPT <bigtime.org@>: DNSBL listed at dynablock.njabl.org
2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 10:07:39 H=) [80.71.144.222] F=<zdtito@dynamac.com> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 10:07:42 H=() [80.71.144.222] F=<edo.numic@violeta.ba> rejected RCPT <008431@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 10:07:45 H=() [80.71.144.222] F=<iwoflvshlmfmnsegkst@nuic.ba> rejected RCPT <2qcmm001893@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 11:33:11 H=(mail.xphendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
2007-02-12 11:49:37 H=smtp108.mail.mud.yahoo.com [209.191.85.218] F=<hdbiiwjtjww@yahoo.com.hk> rejected RCPT <tico@>: relay not permitted
2007-02-12 11:58:58 H=(mail.ybkendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
2007-02-12 12:12:03 H=(mail.bkjc.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 12:16:26 H=(mail.domendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
2007-02-12 13:56:55 H=(mail.dded.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 15:13:10 H=([192.168.0.102]) [80.71.144.222] F=<magic@> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 15:43:52 H=(mail.nwwd.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 17:23:41 H=() [80.71.144.222] F=<18710391825.20061024111350@nuic.ba> rejected RCPT <008431@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 17:31:47 H=(mail.zeqe.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 19:13:58 H=(mail.dnhf.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 20:54:03 H=(mail.ljag.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 21:22:33 H=c-68-45-204-54.hsd1.nj.comcast.net (secretcult) [68.45.204.54] F=<mugureject@yahoo.ca> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at dynablock.njabl.org
2007-02-12 22:24:21 H=(mail.dirg.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 23:44:18 H=(mail.chmh.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
--> anscheinend funktioniert spamassassin, jedoch bin cih mir eben nciht so ganz sicher...
p.s. habe im meinen mailserver nach diesme howto installiert:
http://debianhowto.de/doku.php/de:howtos:sarge:exim4_vexim2_courier_mailman
wenn mir jemand jetzt vorwerfen möchte, dass ich 2 beiträge zu einem ähnlichen thema geschrieben habe, dann verweise ich hiermit auf meinen anderen beitrag und frage mich antürlich auch, was die beiden problem miteinander zu tun haben könnten..: http://www.unixboard.de/vb3/showthread.php?t=27137
Ich freue mich über jede hilfreiche antwort!!!!
mfg,
Joel
Zuletzt bearbeitet: