PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mein Server wird als Spambot missbraucht!?



lynix
25.04.07, 21:50
Hi @ all!

Auf der Suche nach einer verloren gegangenen eMail auf meinem Rootserver (SuSE 10.0, qmail, Plesk 8) habe ich mal die /var/log/mail.info live verfolgt (tail -f /var/log/mail.info).

Dabei musste ich feststellen, dass fast sekündlich eine Zeile wie

Apr 25 21:43:54 lds88-86-91-159 qmail: 1177530234.210855 starting delivery 99294: msg 236387240 to remote [zensiert]@yahoo.com

hinzukommt, sprich dass fast sekündlich eMails von meinem qmail versandt werden.

Da ich nicht davon ausgehe, dass einer meiner User rund um die Uhr eMails versendet, vermute ich einen Angriff bzw. einen Missbrauch.
Eventuell hat ja ein User einen Virus/Wurm auf dem Rechner, der seinen Mailaccount missbraucht.

Daher: Weiß jemand wie ich Genaueres über die versendeten bzw. gerade sendenden eMails in Erfahrung bringen kann? Zum Beispiel über welchen Account sie gesendet werden?


Gruß,

lynix

bla!zilla
25.04.07, 21:53
Stoppe den MTA mit rcpostfix stop, Apache stoppen mit rcapache stop. Anschließend Kiste neu installieren. Möglicherweise ist die Kiste kompromittiert.

Der Ring ist freigegeben.

lynix
25.04.07, 21:55
Der Ring ist freigegeben.

Ähm was genau meinst du damit bitte? :)


Gruß,

lynix

bla!zilla
25.04.07, 21:58
Das es hier gleich richtig rund gehen wird. Dir fehlen scheinbar die Kenntnisse einen Rootserver sicher und stabil zu betreiben. Rootserver-Betreiber ohne tiefgreifende Kenntnisse (die man in dieser Position haben sollte!) werden hier nicht gerne gesehen, da sie unmittelbar an dem hohen Spamaufkommen mit Schuld tragen - sieht man ja bei dir.

lynix
25.04.07, 22:14
Ich finde du urteilst ein wenig vorschnell. Ein absolut einbruchssicheres System gibt es nicht und wird es nie geben, das solltest du in deinem Job wissen.

Ich sehe mich durchaus in der Lage, einen Server zu administrieren und glaube mir wenn ich dir sage, dass ich durchaus Sicherheitsmaßnahmen ergriffen habe.
Wenn jetzt anscheinend doch jemand durchkam ist das bedauerlich, aber erstens noch nicht erwiesen und zweitens kann dies auch auf dem noch so toll gesicherten System passieren.

Deine Äußerungen bezüglich des Kenntnisstandes meiner Person beruhen vermutlich auf meiner recht simplen Formulierung und der Frage nach einer doch wahrscheinlich recht trivialen Vorgehensweise. Da ich mich vor dir nicht beweisen oder rechtfertigen muss danke ich dir einfach für den Hinweis auf die Neuinstallation und wünsche dir noch einen schönen Abend.

lynix

drcux
25.04.07, 22:21
Ich finde du urteilst ein wenig vorschnell. Ein absolut einbruchssicheres System gibt es nicht und wird es nie geben, das solltest du in deinem Job wissen.

da hast du recht.....

Schau in den Logs nach, von wo die Mail kommt, wohl von wwwrun, suche in deinem wwwordner nach dateien, die wwwrun gehören, suche nach ....
ach, weiß der Geier, wenn "sie" erstmal drinne sind, ist es schwierig.... :(

zyrusthc
25.04.07, 22:22
Ich sehe mich durchaus in der Lage, einen Server zu administrieren und glaube mir wenn ich dir sage, dass ich durchaus Sicherheitsmaßnahmen ergriffen habe.

Sicherheitsmaßnahmen?
Anscheinend liesst du dein Logs nicht täglich!

Ich kann da nur sagen selber schuld. Eventuell hat dich ja schon wer angezeigt!

kreol
25.04.07, 22:29
Ist die Schleuder jetzt wenigstens schon vom Netz? Wenn nicht, dann sieh zu. Analysieren lässt sich später.


Kreol

lynix
25.04.07, 22:36
Das Ding ist selbstverständlich vom Netz, ich weiß auch was Spam für Probleme verursacht.

Hab inzwischen mal nen Watchdog und ein paar rootkitfinder drübergejagt, mir alle Logs durchgeschaut und user, Gruppen und einige Configs gecheckt. Sieht bisher alles sauber aus, mir schwebt immer noch der Befall des PCs eines regulären Users auf dem System vor... naja, trotzdem sicher ist sicher und es liegt vorerst am server.

Gruß,

lynix

marce
26.04.07, 07:20
und dann evtl. einfach mal überprüfen, ob der MTA als relay missbraucht werden kann.

bla!zilla
26.04.07, 09:56
Ich finde du urteilst ein wenig vorschnell. Ein absolut einbruchssicheres System gibt es nicht und wird es nie geben, das solltest du in deinem Job wissen.

Stimmt, Systemsicherheit steigt und fällt mit dem Administrator und der Komplexität des Systems.



Deine Äußerungen bezüglich des Kenntnisstandes meiner Person beruhen vermutlich auf meiner recht simplen Formulierung und der Frage nach einer doch wahrscheinlich recht trivialen Vorgehensweise.


Dieses Vorgehen beruht auf Erfahrung und der erstaunlich hohen Trefferquote bei vergleichbaren "Hilferufen" hier im Forum.

lynix
26.04.07, 12:46
Moin!

Also, Entwarnung:


der Server wurde nicht durch serverseitige Malware als Spamrelay genutzt
das sekündliche Senden der Mails war das Abarbeiten einer gestern Abend noch ca. 5000 Mails umfassenden Queuelist
wie vermutet war die Ursache der Virenbefall eines Users, von dessen Account die ganzen Mails gesendet wurden


Also ist ja alles nochmal gut gegangen und es lag nicht an mangelhafter Administration :)

Bleibt mir nurnoch ein Mechanismus einzubauen, der derartige Queue-Längen von einem einzigen Account erkennt und entsprechend reagiert.

THX für eure Tips!

Gruß,

lynix

bla!zilla
26.04.07, 13:52
Im einfachsten Fall reicht ein Skript, welches beim einem festgelegten Schwellwert eine Mail absetzt.

PierreS
26.04.07, 15:35
evtl. hilft es auch clamav und spamassassin auch für ausgehende Mails zu nutzen. Das habe ich allerdings noch nicht selbst probiert.

Denn das Problem liegt dann doch bei Dir, wenn Dein Server auf eine Blacklist kommt, oder Beschwerden wegen Spam-Versandt eintrudeln.