mich hat's erwischt: Postfix als SPAM-Relay :(

G

Gigi666

Grünschnabel
Hallo,

und HILFE :((

mich hat's anscheinend erwischt, irgendwer jagt seit gestern Unmengen von SPAM über meinen Postfix in die Welt.

Vorgegangen beim Einrichten bin ich nach dieser Anleitung: http://workaround.org/articles/ispmail-sarge/index.shtml.de

/var/log/mail.log spuckte vor dem letzten "Angriff" folgendes aus:
Code:
Aug 17 01:26:05 ipx11686 postfix/smtpd[2501]: disconnect from omr-m04.mx.aol.com[64.12.138.5]
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: connect from omr-m05.mx.aol.com[64.12.138.17]
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: NOQUEUE: reject: RCPT from omr-m05.mx.aol.com[64.12.138.17]: 554 <www-data@mail.weltraumvogel.de>
Aug 17 01:26:12 ipx11686 postfix/smtpd[2523]: disconnect from omr-m05.mx.aol.com[64.12.138.17]
Aug 17 01:27:25 ipx11686 postfix/smtpd[2499]: connect from omr-m11.mx.aol.com[64.12.138.23]
in rauen mengen auch vorher.
los gings dann so:
Code:
Aug 17 01:32:04 ipx11686 postfix/pickup[2346]: CA2BFE601C4: uid=33 from=<www-data>
Aug 17 01:32:04 ipx11686 postfix/cleanup[2618]: CA2BFE601C4: message-id=<20060816233204.CA2BFE601C4@mail.weltraumvogel.de>
Aug 17 01:32:04 ipx11686 postfix/qmgr[2347]: CA2BFE601C4: from=<www-data@mail.weltraumvogel.de>, size=28603, nrcpt=322 (queue active)
Aug 17 01:32:05 ipx11686 postfix/smtpd[2625]: connect from localhost.localdomain[127.0.0.1]
Aug 17 01:32:05 ipx11686 postfix/smtpd[2625]: C8253E601B9: client=localhost.localdomain[127.0.0.1]
Aug 17 01:32:05 ipx11686 postfix/cleanup[2618]: C8253E601B9: message-id=<20060816233204.CA2BFE601C4@mail.weltraumvogel.de>
Aug 17 01:32:05 ipx11686 postfix/qmgr[2347]: C8253E601B9: from=<www-data@mail.weltraumvogel.de>, size=28719, nrcpt=50 (queue active)
Aug 17 01:32:05 ipx11686 amavis[2051]: (02051-02) Passed, <www-data@mail.weltraumvogel.de> -> <danielle.remko@12move.nl>,<daneizer@a0l.com>,<danielleb@aapt.net.au>,<danita.earby@ad.state.az.us>,<danj2241@adelphia.net>,<danvieira@adelphia.net>,<danilopasternak@andinanet.net>,<danger2others@aol.com>,<michi2709@aol.com>,<danbarb@athenet.net>,<dancnduo@attbi.com>,<dandyb12@bellsouth.net>,<dannyboo@bellsouth.net>,<danita.coker@blue-bird.com>,<danny.marzka@bmwmc.com>,<dandshegemann@bresnan.net>,<dana.gray@cemc.com>,<daniele@centurytel.net>,<daneldridge@charter.net>,<danrox1@charter.net>,<dam_fine_designs@comcast.net>,<dana.bates@comcast.net>,<danaearbogast@comcast.net>,<danrim2@comcast.net>,<dansnyder@comcast.net>,<darcy.mckenzie@comcast.net>,<daniel@cordas.net>,<damaris.valdez@coworxstaffing.com>,<dan.mikulic@cox.net>,<dani@cpmgroupinc.com>,<danandsherri@cros.net>,<dan123414@cs.com>,<danca19@cs.com>,<dancingurl1691@cs.com>,<dan@csos.com>,<dana@danabutcher.com>,<dan_campbell@dancoinc.com>,<danny@deltafounta...
Aug 17 01:32:05 ipx11686 amavis[2051]: (02051-02) ...ins.com>,<dansachs@dscproducts.com>,<danhap@earthlink.net>,<dandmwinters@elko.net>,<daniel620@email.com>,<daniel_flores@falconmail.dbcc.com>,<danddmerry@famvid.com>,<darcie@giltner.com>,<danel.stites@gm.com>,<damionhill@gmail.com>,<dar_hansen@highstream.net>,<dam2867@hotmail.com>,<dam_evil@hotmail.com>, Message-ID: <20060816233204.CA2BFE601C4@mail.weltraumvogel.de>, Hits: 3.071
Aug 17 01:32:05 ipx11686 postfix/smtp[2619]: CA2BFE601C4: to=<danielle.remko@12move.nl>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02051-02, from MTA: 250 Ok: queued as C8253E601B9)
Aug 17 01:32:05 ipx11686 postfix/smtp[2619]: CA2BFE601C4: to=<daneizer@a0l.com>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02051-02, from MTA: 250 Ok: queued as C8253E601B9)
und 1000e folgende :(

lsof | grep LISTEN spuckt folgendes aus:
Code:
amavisd-n 2042   amavis    4u     IPv4       2160                 TCP localhost.localdomain:10024 (LISTEN)
amavisd-n 2051   amavis    4u     IPv4       2160                 TCP localhost.localdomain:10024 (LISTEN)
amavisd-n 2052   amavis    4u     IPv4       2160                 TCP localhost.localdomain:10024 (LISTEN)
couriertc 2111     root    5u     IPv4       2278                 TCP *:imap2 (LISTEN)
couriertc 2124     root    5u     IPv4       2298                 TCP *:imaps (LISTEN)
couriertc 2132     root    5u     IPv4       2314                 TCP *:pop3 (LISTEN)
couriertc 2145     root    5u     IPv4       2333                 TCP *:pop3s (LISTEN)
gidentd   2152   nobody    1u     IPv4       2382                 TCP *:auth (LISTEN)
mysqld    2209    mysql    3u     IPv4       2436                 TCP localhost.localdomain:mysql (LISTEN)
sshd      2359     root    3u     IPv4       2956                 TCP *:ssh (LISTEN)
proftpd   2370   nobody    0u     IPv4       2998                 TCP *:ftp (LISTEN)
apache2   2395     root    3u     IPv4       3117                 TCP *:www (LISTEN)
apache2   2480 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
apache2   2481 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
apache2   2482 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
apache2   2483 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
apache2   2484 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
apache2   2615 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)
apache2   2746 www-data    3u     IPv4       3117                 TCP *:www (LISTEN)

und die /etc/postfix/main.cf sieht (auszugsweise) so aus:
Code:
myhostname = mail.weltraumvogel.de
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_forwardings.cf mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions =
  permit_sasl_authenticated,
  reject_unauth_destination

Hab den postfix jetzt erst mal gestoppt.
Was kann ich tun? :(

Vielen Dank schon mal für die Mühen
Grüße
Gigi
 
Zuletzt bearbeitet:
ich gehe mal davon aus, dass du nicht [dode]omr-m05.mx.aol.com[64.12.138.17][/code] bist.... wenn ich recht hab mach en anzeige denn aufgrund der ip und datum + Uhrzeit kann man das nachvollziehen. Verlang Schadensersatz und dann würd ich mir über das Sichern gedanken machen.
MfG
 
sorry bastitheone, aber das ist nun absolut zweit- bzw. drittrangig.
in erster linie muss ich den mailserver wieder flott kriegen, ohne dass er das internet zumüllt.

die ips (bei jeder einwahl ne andere, und alles aol-kisten, sprich sicher auch nur gehackte windows-mühlen) bringen mir momentan gar nichts. aber danke trotzdem.
-----------------------------------------

Nachtrag zum eigentlichen Thema:

Habe vorhin mal versucht, das Problem in den Griff zu kriegen, indem ich
postqueue -f
postfix flush
und ähnliche Mittel versucht habe - natürlich ohne Erfolg.
Nach nem Reboot der Kiste (ein Mittel aus meinen früheren Windows-Zeiten) kam ich gar nicht schnell genug via ssh drauf, als dass unmittelbar nach dem Hochfahren schon wieder einige hundert Mails verschickt werden konnten.
Das Problem hat sich also anscheinend bereits auf dem Root eingenistet.

Das seltsame ist ja dass sich ständig www-data zum Postfix verbindet; kann das an der squirrelmail-version liegen, die derzeit installiert ist (apt-get update && apt-get upgrade zuletzt vor 5 minuten ausgeführt, System ist ein Debian Sarge mit "standard"-Quellen, also "non-us, non-free, stable")?

verzweifelnd
... Gigi
 
Wenn deine Kiste nicht sofort vom Netz ist, ist hier was los. Sag mal was soll der schei** ?

Server Online setzen -> Logs sicher -> Logs analysieren -> Fehler keine zweites Mal machen -> Server wieder neu aussetzen.

*sauer* Zyon!
 
also wenn du nen rescue system hast dann starte das und guck dir mal die logs an. wenn es nen fehler in eienr webapplikation sein sollte wirst du auch haufen einträge in der apachelog finden. solltest du mal checken.

auf jedenfall mal apache und postfix anhalten!

frank
 
zyon schrieb:
Wenn deine Kiste nicht sofort vom Netz ist, ist hier was los. Sag mal was soll der schei** ?

Server Online setzen -> Logs sicher -> Logs analysieren -> Fehler keine zweites Mal machen -> Server wieder neu aussetzen.

*sauer* Zyon!
Du meinst sicher "offline setzen". Und genau so sehe ich das auch.

Nimm den Server vom Netz und schaue dir dann alles in Ruhe an. Wenn du das ISP-Mail-Howto von Workaround zum Einrichten genutzt hast, wurde entweder einer der User-Accounts geknackt oder per MySQL-Injection ein neuer Mail-Account in der DB angelegt. Evtl. hat auch einfach jemand einen der System-Accounts geknackt (z.B. www-data), weil das Passwort schwach oder nicht vorhanden war. Ausserdem sind deine recipient_restrictions voellig falsch und nicht so wie im Howto und ich vermisse in deiner Konfiguration die sender_restrictions (ja, ich weiss, dass davon nichts im Howto steht, aber man kann nunmal Howtos nicht einfach stoisch abarbeiten ohne zu wissen, was man da tut).
 
Hallo theton :)
endlich eine vernünftige Antwort.
Hab den "Fehler" mittlerweile schon lokalisiert. Schuld war (den Anschein hat es jetzt zumindest) ein "php-form-mailer", der von einem der User genutzt wurde. Seit ich diesen in ein von außen nicht erreichbares Verzeichnis geschoben habe, und in /var/spool/postfix die Verzeichnisse active/ bounce/ defer/ deferred/ und incoming/ geleert habe, sind keine Attacken mehr aufgetreten (zumindest keine, die in /var/log/mail.log aufgetreten wären).
Nichts desto trotz werde ich mich ausgiebig um die restrictions (sender und recipient) kümmern. Kannst Du eine gute, verständlich kommentierte Anleitung empfehlen (abgesehen von den man-pages, postfix.org und dem Verweis auf Google)?

Vielen Dank
Gigi
 
Können wir uns fast die hand geben

hallo, habe das gleiche problem aber bei mir ist es kein Formmailer mehr. Die benutzen eine andere Lücke X( (habe postfix abgeschaltet bis Sache geklärt ist)

Du kannst dich auf was gefasst machen :( Die Säcke kommen wieder, verlass sich drauf. Wenn die einmal erfolg bei einem haben kommen die Immer wieder! Ist bereits das zweite mal bei mir (vorher vor 6 Monaten) jetzt haben sie wieder eine Lücke gefunden. Könnte Kotzen. Mein Problem: habe einen Vserver und IPtables wird bei denen Kernelseitig nicht unterstützt. Macht es schwierig da Gegenmassnahmen zu machen.

Ausserdem stehst du warscheinlich jetzt auf allen scharzen Brettern der Anti-Spamorganisationen.

Gruss
 

Ähnliche Themen

Debian Routing Problem

dovecot und postfix Konfiguration Problem

JBidWatcher: Problem bei loading Auctions in Verbindung mit mySQL

Router crash bei Fedora 15!?

Mysteriöser 11.4 Absturz - Maschine läuft, SSH und vor Ort Login unmöglich

Zurück
Oben