PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spamer hat meinen Mailserver gekapert; Hilfe !



hansschleidt
12.11.04, 21:27
Hallo

Ich habe gerade gemerkt, daß ein Spamer meinen Mailserver verwendet hat.

Ich weiß aber nicht, wie er das gemacht hat. Durch den Firewall hat sich keiner auf das System gehackt da ich jede Verbindung von aussen abgstellt habe und die Firewall auf Portscanning usw. auch nicht antwortet. Es ist so als wäre da gar kein Rechner.

Wie ich die Logdatei des Mailservers verstehe, hat er mir eine Email geschickt und die dann sozusagen von mir weiterleiten lassen. Sicher bin ich mir da allerdings nicht.

Ich muß unbedingt wissen, wie man das abschalten kann. Ich weiß nur das es geht aber nicht wie! Hier im Forum habe ich nichts gefunden. Und leider auch keine Doku wo dazu was für mich verständiliches drinstand.

Kann mir da bitte jemand helfen? Was müsstet ihr wissen um mir zu helfen?

Ich verwende Suse 9.1, Postfix / smtp und Cyrus Imap.

Gruß
Hans

Ich habe mal den Abschnitt der Mail Logdatei beigefügt:

Nov 12 02:18:26 server postfix/smtpd[6372]: connect from localhost[127.0.0.1]
Nov 12 02:18:26 server postfix/smtpd[6372]: 96DC3D9F3: client=localhost[127.0.0.1]
Nov 12 02:18:26 server postfix/cleanup[6375]: 96DC3D9F3: message-id=<355081009002.N05pj1uHb6e8g0@seznam.cz>
Nov 12 02:18:26 server postfix/qmgr[4830]: 96DC3D9F3: from=<ehhpkoan@seznam.cz>, size=3127, nrcpt=1 (queue active)
Nov 12 02:18:26 server postfix/smtp[6376]: connect to localhost[::1]: Connection refused (port 10024)
Nov 12 02:18:26 server amavis[4721]: (04721-08) ESMTP::10024 /var/spool/amavis/amavis-20041111T193122-04721: <ehhpkoan@seznam.cz> -> <hans@localhost.zuhause.loc> Received: SIZE=3127 BODY=7BIT from server.zuhause.loc ([127.0.0.1]) by localhost (server [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 04721-08 for <hans@localhost.zuhause.loc>; Fri, 12 Nov 2004 02:18:26 +0100 (CET)
Nov 12 02:18:26 server amavis[4721]: (04721-08) Checking: <ehhpkoan@seznam.cz> -> <hans@localhost.zuhause.loc>
Nov 12 02:18:26 server postfix/smtpd[6372]: EA59CDD72: client=localhost[127.0.0.1]
Nov 12 02:18:26 server amavis[4721]: (04721-08) spam_scan: hits=2.904 tests=DATE_IN_FUTURE_03_06
Nov 12 02:18:26 server amavis[4721]: (04721-08) FWD via SMTP: [127.0.0.1]:10025 <ehhpkoan@seznam.cz> -> <hans@localhost.zuhause.loc>
Nov 12 02:18:27 server postfix/smtpd[6378]: connect from localhost[127.0.0.1]
Nov 12 02:18:27 server postfix/cleanup[6375]: EA59CDD72: message-id=<E1CSQPh-0000Kx-00@mxnl01.web.de>
Nov 12 02:18:27 server postfix/smtpd[6378]: 0CD55287B3: client=localhost[127.0.0.1]
Nov 12 02:18:27 server postfix/cleanup[6379]: 0CD55287B3: message-id=<355081009002.N05pj1uHb6e8g0@seznam.cz>
Nov 12 02:18:27 server postfix/qmgr[4830]: 0CD55287B3: from=<ehhpkoan@seznam.cz>, size=3520, nrcpt=1 (queue active)
Nov 12 02:18:27 server postfix/smtpd[6378]: disconnect from localhost[127.0.0.1]
Nov 12 02:18:27 server amavis[4721]: (04721-08) Passed, <ehhpkoan@seznam.cz> -> <hans@localhost.zuhause.loc>, Message-ID: <355081009002.N05pj1uHb6e8g0@seznam.cz>, Hits: 2.904

Tiroler
13.11.04, 08:01
Vielleicht ist ein Windows Rechner in deinem Netzwerk betroffen?

der Tiroler

Tomek
13.11.04, 10:01
Prüfe, ob du ein offenes Relay hast. -> http://faq.1und1.de/server/root_server/daemons/5.html

hansschleidt
13.11.04, 11:04
Danke für die Antworten.

Im Netz hängt kein Windows Rechner.

Wenn ich wüsste wie ich ein offenes Relay prüfe bzw dann auch abschalte wäre mir mehr geholfen. Der Text bei 1und1 ist nicht sonderlich hilfreich.

Hat denn keiner einen Hinweis auf Dokus oder eine Tipp wie das ganze zu schließen ist? Von aussen braucht der Mailserver auf keinen Fall direkt Mails anzunehmen. Ich hole diese per Fetchmail vom Server des Providers ab.

Danke
Hans

Tiroler
13.11.04, 11:24
einfach: von einem Rechner der irgendwie anders mit dem Internet verbunden ist, beispielsweise
telnet deineIP 25
eintippen... wenn sich Postfix meldet, dann ist dein Server offen...

der Tiroler

hansschleidt
13.11.04, 11:41
Hallo.

Ne. Das kann nicht sein.

Ich habe ein Gateway mit IPCOP installiert. Erst dahinter ist der eigene MailServer. Der ist von aussen per Telnet usw. nicht zu erreichen.

Dieser verfluchte Spammer hat nach dem Log zu urteilen mir ein Mail geschickt und irgendwie veranlasst, daß der Mailserver die Mails unter meinem Namen wieder verschickt. Wie er das gemacht hat ist mir letztlich egal. Ich will nur wissen wie ich das abstellen kann.

Die Firewall habe ich testen lassen. Dort kommt nichts durch da ich alle Dienste nach drausen abgeschaltet habe.

Gruß
Hans

Roger Wilco
13.11.04, 12:29
einfach: von einem Rechner der irgendwie anders mit dem Internet verbunden ist, beispielsweise
telnet deineIP 25
eintippen... wenn sich Postfix meldet, dann ist dein Server offen...
Ähm, nein. Nur weil du den Dienst erreichen kannst, heißt das nicht, dass der MTA ein offenes Relay ist.

tomes
14.11.04, 20:05
Irgendwie kann ich nicht sehn, wo an welcher stelle eine Mail umgebogen wurde.
Ich sehe da eine Mail die rein kommt ( 96DC3D9F3 ), dann vom Spamfilter begutachtet wird und dann weiter local verarbeitete wird (0CD55287B3 ).

Dazwischen kam noch eine andere Mail an, von freeweb schaetze ich mal (EA59CDD72)
Da gibt es ja nur zwei Zeilen.

Oder ist da was, was ich uebersehe ???

tomes

hansschleidt
15.11.04, 12:26
Hallo.

Die Mail um die es geht ist die .cz. Es wurden jedenfalls ca. 2900 Mails mit meiner Adresse rausgeschickt.
Ein Empfänger hat eine Virenprüfung laufen lassen und mir eine automatische Mail zurückgeschickt, daß er Viren gefunden hätte.

Da ich keine Email mit einer .cz Kennung erhalten habe aber offensichtlich eine angekommen ist und da die 2900 Mails rausgeschickt wurden - und das war garantiert nicht ich - muß ein Spammer das ganz verwendet haben.

Ich bin nicht sehr bewandert in Sachen Mail Konfiguration. Ich denke mir aber, daß mein Server als Relay fungiert. Wie weis ich nicht. Deshalb möchte ich ja wissen, welche Einstellung mit dem Relay zusammenhängen damit ich das prüfen und ändern kann. Wie ich schon geschrieben habe, ist der Mailserver von aussen nicht sichtbar, da eine Firewall davor hängt die auch dicht ist. Das Ganze kann nur über eine empfangene Mail abgelaufen sein.
Ausserdem hat 1und1, mein Provider, mir eine Ermahnung geschickt daß ich nicht so viele Email in so kurzer Zeit schicken soll oder so ähnlich.

Ich kann gerne weitere Informationen posten, wenn ich weis welche.

Vielen, Vielen Dank

Hans

taylor
15.11.04, 12:32
Wie wäre es, den Mailserver einfach mal abzuschalten?

Wenn Du selbst sagst, Du hättest keine Ahnung davon, dann betreibe halt einfach keinen?

Warscheinlich krieg ich wegen Leuten wie Dir so viel Spam! *SCNR*

himbeere
15.11.04, 13:31
Moin.

Für doch mal:
telnet relay-test.mail-abuse.org
aus. Dann bist Du etwas schlauer.

t.

hansschleidt
15.11.04, 13:57
Danke. Werde ich versuchen.

Muß ich das vom Mailserver ausführen ? Nehme ich eigentlich an. Dann muß es leider bis zum Wochenende warten.

Geht das auch durch die Firewall hindurch?

Gruß
Hans

blauerpeti
15.11.04, 14:06
Es wurden jedenfalls ca. 2900 Mails mit meiner Adresse rausgeschickt ..

bedeutet überhaupt nicht, das die emails von deinem server kommen.

himbeere
15.11.04, 15:06
Muß ich das vom Mailserver ausführen ? Nehme ich eigentlich an. Dann muß es leider bis zum Wochenende warten

Du kannst Deinen Mailserver nicht remote administrieren? Vermutest das er ein offenes Relay ist und willst bis zum Wochenende warten? Junge Junge.

t.

Doh!
15.11.04, 15:18
Sorry, wenn ich etwas deutlich werde: Aber einen Mailserver im Netz betreibt man nur dann, wenn man Ahnung hat, vorher nicht. Mailserver sind nicht trivial und man benötigt ein angemessenes Verständnis von DNS, Mail usw. Besorge Dir bitte ein passendes Buch oder lese Dokumentation im Internet, aber schalte vor allen Dingen die Kiste ab.

Das Postfix Buch (http://www.amazon.de/exec/obidos/ASIN/3935922418/qid=1100528232/ref=sr_8_xs_ap_i1_xgl/302-8714904-9589631)
Postfix von O'Reilly (http://www.amazon.de/exec/obidos/ASIN/3897213729/qid=1100528287/sr=1-2/ref=sr_1_10_2/302-8714904-9589631)

himbeere
15.11.04, 16:41
Also ich könnte, wenn ich denn wollte, noch etwas deutlicher werden. :-)

t.

tomes
15.11.04, 19:07
Die Mail um die es geht ist die .cz. Es wurden jedenfalls ca. 2900 Mails mit meiner Adresse rausgeschickt.

Woher hast du den diese Zahl ? Und das koennte sozusagen jeder.
Das mit "meiner Adresse" hat ja ersteinmal nichts mit deinem Rechner/Server zu tun.


Ein Empfänger hat eine Virenprüfung laufen lassen und mir eine automatische Mail zurückgeschickt, daß er Viren gefunden hätte.

Davon kommen bei uns taeglich tausende an ^^
Ich kann dir garnatieren, das nicht einen Mail davon, von einem unserer Rechner/Kunden verschickt wurde ;)


Da ich keine Email mit einer .cz Kennung erhalten habe aber offensichtlich eine angekommen ist und da die 2900 Mails rausgeschickt wurden - und das war garantiert nicht ich - muß ein Spammer das ganz verwendet haben.

Also wenn es das Postfach hans@localhost.zuhause.loc bei dir gibt, dann ist dort eine Mail angekommen. So ein Mailserver ist nicht wie die normale Post, wo unergruendlich irgendwelche Mails verschwinden koennen. :D

Wenn du/dein Server so viele Mails verschickt haben, dann sollte davon etwas in deinem Maillog stehen. Wenn das so ist, dann lass mal ein paar Zeilen davon sehen.
Es gibt ein paar "Techniken", wie dein Server zu "versenden" von Mails ueberredet werden kann, ohne das dein Server ein openrelay ist.

Auch waehre eine Mailheader von einer der 2900 Mails interessant.

tomes

hansschleidt
16.11.04, 15:35
Hallo.

Der Mailserver ist abgeschaltet.

Aber so nebenbei. Wenn himbeere und doh nichts anderes können als so was zu schreiben dann verschont mich bitte künftig. Darauf kann ich gut verzichten - bevor ich deutlicher werde -.

Die Zahl habe ich aus dem Maillog.

Da ich erst wieder am Wochenende an meinen Rechner kann, kann ich auch erst dann nachsehen.

Nochmal Danke tomes für die Antworten.

phoenix22
16.11.04, 15:38
Hallo.

Der Mailserver ist abgeschaltet.

Aber so nebenbei. Wenn himbeere und doh nichts anderes können als so was zu schreiben dann verschont mich bitte künftig. Darauf kann ich gut verzichten - bevor ich deutlicher werde -.



Du wirst deutlicher? Jetzt reichts aber wirklich. Du besitzt einen mail-server. Dann bist du auch für die ordentliche Administration zuständig. Dazu gehört auch, zu kontrollieren, dass er nicht für SPAM missbraucht wird. Und genau deswegen, ist remote-Zugriff absolut erforderlich und es erstaunt mich schon sehr, dass DU dich jetzt aufregst.

taylor hat genau das Richtige gesagt



Wenn Du selbst sagst, Du hättest keine Ahnung davon, dann betreibe halt einfach keinen?

Warscheinlich krieg ich wegen Leuten wie Dir so viel Spam! *SCNR*

Tiroler
16.11.04, 16:09
Das gegenseitige Befetzen hilft doch nicht!

Die meisten Spam's werden von befallenen Windows Rechner versendet, welche eine eigene SMTP Engine mitbringen...


Zitat:

Wenn Du selbst sagst, Du hättest keine Ahnung davon, dann betreibe halt einfach keinen?

Warscheinlich krieg ich wegen Leuten wie Dir so viel Spam! *SCNR*

In dem Wort "Wahrscheinlich" steckt "wahr" und nicht "war"...

...außerdem wer hat denn wirklich Ahnung? Ich halte jemanden, der IP COP als Firewall einsetzt und sich mit der Materie auseinander setzt, für durchaus fähig einen eigenen "kleinen" Mailserver zu betreiben... zudem er ja offensichtlich auch Logs liest... Weiters wird das Ding ja mehr oder weniger nur für den eigenen Gebrauch sein...

...meint,
der Tiroler

hansschleidt
17.11.04, 09:00
Danke Tiroler.

Ich bin nähmlich nicht der Täter (Spamer) sondern das Opfer. Das wird hier wohl vergessen. Und deshalb habe ich mich um Hilfe an die gewendet, die evtl. mehr darüber wissen als ich. Aber wenn man hier dann von einigen b* nur auf die Mütze bekommt statt Hilfestellung, dann verzichte ich künftig lieber auf ein solches Forum. Foren sind ja dazu da sich gegenseitig zu unterstützen und zu informieren.

Tomek
17.11.04, 11:12
Jemand der einen Mailserver betreibt, der ans Internet angebunden ist, jedoch keine Ahnung davon hat, ist in solchen Fällen nicht das Opfer. Er handelt einfach nur grob fahrlässig.

Dieses Theater ist nicht neu. Jeder Fritze kann heute 'nen dedizierten Server mieten. Die meisten haben nur leider keine Ahnung davon und wissen nicht, welche Verantwortung sie tragen und welche Gefahren damit verbunden sind. Daraus entstehen dann Spamschleudern, FTP-Server mit Warez und schliesslich Traffic-Rechnungen die denjenigen dann erschlagen.

himbeere
17.11.04, 11:46
Aber so nebenbei. Wenn himbeere und doh nichts anderes können als so was zu schreiben dann verschont mich bitte künftig

Du übersiehst, das ich Dir vorgeschlagen habe einen Relay-Check durchzuführen. Da Du dann meintest, Du könntest das erst am Wochenende erledigen, bin ich davon ausgegangen, das Du keinen Remote Zugriff hast. Das wäre fatal. Und mit Remote Zugriff meine ich nicht Webmin oder son Schnickschnack. Anfänger hin oder her. Korrigier mich.

t.

hansschleidt
22.11.04, 17:11
Hallo.

Natürlich bin ich für mein Tun verantwortlich, also auch für den Mailserver. Natürlich habe ich einen Remotezugang, sonst hätte ich den Mailserver ja auch nicht ausschalten können.

Doch statt mir Vorwürfe zu machen, wäre Hilfestellung angesagt gewesen.

Ich war bisher der festen Überzeugung nur die Rechner aus meinem eigenen Netz zugelassen zu haben also alle anderen explizit ausgesperrt zu haben. Dem ist auch so. Ein Relaycheck ergab nichts. Es ist also nichts offen. Doch wie komme so ein Typ an meine Emailadresse dran?

So wie es sich für mich darstellt, und ich habe keine andere Erklärung, habe ich eine Email bekommen (wie im Log im ersten Posting dargestellt). Diese hat dann veranlasst, daß unter meiner offiziellen Emailadresse zumindest eine Email verschickt wurde an den Spamer. Sehr wahrscheinlich sind aber mehr als 2000 Mails unter meiner Adresse rausgegangen obwohl mein Mailserver nicht als Relay verwendet werden kann. Die bei mir eingegangen Spammail ist nicht in meinem Server aufgetaucht. Soviel ich auch gesucht habe. Ein Trojaner oder Virus ist nicht vorhanden, danach habe ich intensiv gesucht. Zudem habe ich eine Software installiert, die mir die Veränderungen im Dateisystem mitprotokoliert (Name habe ich gerade nicht parat). Dort steht auch keine Veränderung drin, die nicht normal wäre.

Es gibt aber noch eine andere Möglichkeit. Mein Frau arbeitet unter Windows XP und geht (zwar über den Firewall) aber doch direkt ins Internet um Emails usw. zu bearbeiten, Sie hat ihre Emails also nicht auf dem Mailserver im internen Netz. Den Rechner habe ich untersucht und dort Spyware entdeckt obwohl die Firewall von XP eingeschaltet war. Ich hatte allerdings einige Regeln verändert um im internen Netz auf den Rechner meiner Frau zugreifen zu können. Könnte es sein, daß darüber etwas passiert ist?

Tomek
22.11.04, 17:36
Den Rechner habe ich untersucht und dort Spyware entdeckt obwohl die Firewall von XP eingeschaltet war.
Lass mich raten, deine Frau surft mit dem Internet Explorer. Zu dem ist eine Firewall kein zwangsläufiger Schutz vor Spyware oder anderen Sicherheitsproblemen.


Ich hatte allerdings einige Regeln verändert um im internen Netz auf den Rechner meiner Frau zugreifen zu können. Könnte es sein, daß darüber etwas passiert ist?
Woher sollen wir das denn bitte wissen?

aushilfs Admin
22.11.04, 17:53
hi ich klink mich mal hier ein...

ich muss leider zugeben das ich auch nicht der Master of Disater in sachen E-Mail bin ... aber ich wollte nur mal zwischen werfen, das selbst durch google suchen email adressen rausgesucht gefunden und als SPAM(zieladressen) verwendet werden... genauso wie dann einige dieser mailadressen auf offene relays geteste werden von Spamern

ich will auch garnich viel zu eurem thema sagen da ich selbst fast garnicht bewandert bin mit MTA MTU und co KG das macht alles ein admin für mich ...

aber dieser hat mich darauf hingewiesen bei meiner website gestalltung darauf zu achten das das @ als (at) geschrieben wird um so ein SPAM-Bot am sammeln zu hindern....


vieleicht ist das mal ein tip in die richtige richtung / wenn das relay halt geschlossen sein sollte und doch spam ankommt ...
wie bei uns jeden tag 400Mails (die meisten von angeblichen AntiVirus dingern) was mir aber auffält und da frag ich mal so in de runde:
wir bekommen seit ca einem monat immer mehr kurillische mails ... da packt auch kein Spam-blocker ... zumindest keiner von denen die ich kenne ( Client-Seite / zb ANtiSpam/ Spamhilator )


gruß ausm Rheintal
Daniel


ps: rechtchreibereform hin oder her ich mach nit mit !

mr_anyone
22.11.04, 18:07
in den logs kommen immer wieder sachen wie
connect from localhost[127.0.0.1] vor. bedeutet as nicht, dass die e-mail(s) vom gleichen rechner kommen oder sind die logs bei postfix anders geschrieben?

(kann auch sein dass ich mich irre)