Hallo Spezialisten.

Ich habe begründeten Verdacht, daß auf meinem Server irgend etwas läuft, das da nicht hingehört. So habe ich von SpamCop eine Warnung erhalten.
Die folgenden Zeilen aus der var/log/mail scheinen das zu bestätigen. Es gibt viele davon :ugly:
Hat jemand eine Idee wie ich das script o.ä. finden kann?



Jun 3 05:45:31 Server27 postfix/smtpd[28928]: connect from localhost[127.0.0.1]
Jun 3 05:45:31 Server27 postfix/smtpd[28928]: B876B1800B6: client=localhost[127.0.0.1]
Jun 3 05:45:31 Server27 postfix/smtpd[28928]: B876B1800B6: reject: RCPT from localhost[127.0.0.1]: 554 <kof@comstar.com>: Relay access denied; from=<milindafarm2@yahoo.co.uk> to=<kof@comstar.com> proto=SMTP helo=<mx2.mail.ukl.yahoo.com>
Jun 3 05:45:32 Server27 postfix/smtpd[28928]: lost connection after RCPT from localhost[127.0.0.1]
Jun 3 05:45:32 Server27 postfix/smtpd[28928]: disconnect from localhost[127.0.0.1]

kleine Ergänzung:
ein offenes Relay gibt es nicht und chkrootkit gibt auch nichts verdächtiges von sich.

Gruß Roreh :-)

die meldung is eigentlich ganz normal, postfix macht da genau das richtige und zwar nicht authorisierte user rejecten.

mag sein, aber ich erhalte ja nicht umsonst von SpamCop folgende Mail:



> [ SpamCop V1.322 ]
> This message is brief for your comfort. Please use links below for
> details.
>
> Email from XXX.XXX.243.188 / Thu, 3 Jun 2004 00:06:02 -0500
>
http://www.spamcop.net/w3m?i=z1051883769z4cc919058a41552281XXXXXXXXXX
>
> [ Offending message ]
> Return-Path: <milindafarm2@yahoo.co.uk>
> Received: from mx2.mail.ukl.yahoo.com (mail.XXX.de [XXX.XXX.243.188])
> by mxin1.lsn.net (8.12.8/8.12.8) with SMTP id i53561IF032612
> for <x>; Thu, 3 Jun 2004 00:06:02 -0500
> Date: Thu, 3 Jun 2004 00:06:01 -0500
> Message-Id: <2004___________________2612@mxin1.lsn.net>
> To: x
> From: Laura <milindafarm2@yahoo.co.uk>
> Subject: This amazing young thing was everything we expected. She had
> the beautiful tan and great ...Well see how the story ends. and Bonus
> private live video chat
> x-sender: milindafarm2@yahoo.co.uk
> x-mailer: Microsoft Outlook Express
> Mime-Version: 1.0
> Content-type: text/html
> X-AntiVirus: checked by Vexira Milter 1.0.6; VAE 6.25.0.60; VDF
> 6.25.0.82
> ...

ich denke mal das is ne ganz normale spam-meldung.

Das ist es nur, solange dir Dein Houser nicht die IP sperren möchte.


Sehr geehrte Damen und Herren,

wir weisen Sie darauf hin, dass entweder
- SPAM über einen Ihrer Server verschickt wurde
oder
- eine Ihrer Websites mit SPAM beworben wurde.

Betroffen ist Ihre IP-Adresse XXX.XXX.243.188 -
Ihr Server27 (s. Anhang SpamCop).

Wir weisen Sie hiermit ausdrücklich darauf hin, dass
wir weder SPAM, UCE noch SPAM-Advertising tolerieren.

Sollte 12 Stunden nach dieser Mitteilung weiterhin SPAM
über/oder für den oben genannten Server verschickt
werden, werden wir gemäß unseren AGB die betroffenen
IP Adressen dauerhaft sperren. Eine Reaktivierung dieser
IP Adressen wird es auch in Ausnahmefällen nicht geben.

Mit freundlichen Grüßen,...

die meldung is eigentlich ganz normal, postfix macht da genau das richtige und zwar nicht authorisierte user rejecten.

ein connect auf den smtpd von localhost von dem der admin nichts weiss erscheint mir nicht normal.

an OP: läuft da irgendwelcher php-kram?


-j

an OP: läuft da irgendwelcher php-kram?

thx, endlich versucht mir einer nix auszureden :D
was meinst du mit "irgendwelchem PHP-Kram"?

Er meint nen Apache mit PHP, wo natürlich auch Skripte laufen.
Schlecht programmierte Skripte sind nicht der Hit, wodurch auch Sicherheitslücken entstehen können, die dann zB zum Mails versenden dienen könnten.

Allerdings ist es tatsächlich komisch, dass die verbindungen abgewiesen werden und die Mail trotzdem durchkommt und gesendet wird....

Das übliche, neueste Versionen, vor allem von Postfix installiert, vielleicht auch mal Verbindungen checken die auf dem Server laufen, einen etwaigen Apachen mal stoppen?

Gruss Robert

thx bsm :rolleyes:

kannst du mir evtl auch konkrete tipps geben?
bin nicht so der kommandozeilen-guru :o

gruß roreh :p

Hi,

sorry, konkrete tipps ist eher dürftig weil ich von deinem server keinen plan hab und selber ebenfalls net sonn teil stehen hab...eine Schritt für schritt anleitung wie du deinen Server auf Sicherheit überprüfst werden dir nur wenige geben können.

Und nimms mir net übel, aber ich würde mich über sicherheit informieren BEVOR ich mir nen server hole. :rolleyes:

Gruss Robert

thx bsm :rolleyes:

kannst du mir evtl auch konkrete tipps geben?
bin nicht so der kommandozeilen-guru :o

gruß roreh :p

Fahr dein apache runter und schau mal ob die rejects aufhören/weniger werden.

Gruß