PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Server wird zum senden von Spam mißbracht



capser
12.07.07, 10:30
Hallo liebe gemeinde,
bin neu hier und hoffe aber das ich die Regeln soweit ordentlich gelesen habe...

Wir haben ein Problem mit unserem Server, wir haben als System Gentoo im Einsatz und es ist ein ganz normaler Webserver mit LAMP. Da von dem Server selber aber auch Newsletter versendet werden sollen und auch die phpmail funktion auf einigen seiten genutzt wird haben wir noch Postfix installiert.

Haben den Server schon mehrfach neu installiert aber leider wird er nach kurzer Zeit immer wieder zum senden von Spam mißbraucht so das wir Postfix erstmal gestoppt haben. Leider bin ich in Postfix nicht so konform dachte aber ich habe an alles gedacht.
Deswegen hier mal die Ausgabe von postconf -n

alias_maps = hash:/etc/mail/aliases
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
html_directory = /usr/share/doc/postfix-2.3.6/html
mail_owner = postfix
mail_spool_directory = /var/spool/mail
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = foo.bar.net
myhostname = xyz.foo.bar.net
mynetworks = 192.168.0.0/24, 127.0.0.0/8
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.3.6/readme
sample_directory = /etc/postfix
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
unknown_local_recipient_reject_code = 550

Wenn es eine möglichkeit gibt den Spam einfach zu stoppen wäre ich wirklich dankbar für jede Hilfe, den als Mailserver soll er ja auch nicht benutzt werden, es soll halt nur sichergestellt sein das die Newsletter vom Server versendet werden können

Besten dank und gruß

Legolaus
12.07.07, 10:43
sicher das ihr nicht ne lücke in einem eurer php-scripte habt? Desweiteren könntest du auch ne iptables rule für eingehende smtp-regeln setzen usw.

poste auf jeden fall mal deine lösung

himbeere
12.07.07, 10:43
Das wird wohl eher an PHP als an Postfix liegen. Kannst ja Apache mal runterfahren und Postfix starten, dann siehst Du das.

t.

tschloss
12.07.07, 11:21
Das wird wohl eher an PHP als an Postfix liegen. Kannst ja Apache mal runterfahren und Postfix starten, dann siehst Du das.

t.

Warum meinst du das? Ich sehe keinerlei Restrictions oder Auth´s. Das wirkt auf mich ziemlich offen.
Soll der mynetworks-Parmater ausreichen?
@TE: wie hängt der Server denn im INet?

/edit:
ok ich lese gerade dass der Default
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
ist.

Die Logfiles und/oder die Apache-abschalten-Methode könnten bei der Analyse helfen.

capser
12.07.07, 11:57
Naja eigentlich gehe ich davon aus das es keine Lücke im PHP ist, da wir das ganze vorher auf einem Server hatten der nicht von uns betreut wurden und es dort wohl kein Spam aufkommen gab.

Und die Internetseiten sind ja die gleichengeblieben...

Das mit der iptables wäre mal ne maßname, alle einkommenden smtp pakte nicht zuzulassen. Dazu müßte ich doch eigentlich nur den Port 25 für eingehende verbindungen sperren oder?

Wenn das nicht hilf werde ich wohl mal den Apache abstellen und doch mal gucken ob es was damit zu tun hat, das werde ich aber wohl erst nachts machen können da es ja auch aktive Seiten sind.

Aber schonmal vielen dank für die Hinweise

zyrusthc
12.07.07, 14:26
Wir können ja noch ne Runde weiter spekulieren...
Aber ohne die Log Dateien die wir dir versuchen aus dem Kreuz zu leiern , kann dir keiner sagen was den Spam verursacht.

zb. Währe auch ein Ansatz einen Open-Relay Test durchzuführen um ein "Open-Relay" auszuschliessen.
http://www.spamhelp.org/shopenrelay/
http://www.abuse.net/relay.html

Greeez Oli

capser
12.07.07, 15:00
Ok den Test werde ich auch mal durchführen vielen dank dafür.

Und auch danke für den Dezenten Hinweis mit den Logs, soll ich dort mal die mail-logs posten oder werden da noch andere für benötigt?

zyrusthc
12.07.07, 15:02
Es reichen die Logs vom Mailserver , da steht ja der komplette Bounce drin welche User zb.www die Mails versendet , oder ob sie übers SMTP Relay von aussen kommen.

capser
12.07.07, 15:54
Ok ich kann leider in den Logs nichts passendes dazu finden zu dem ganzen Spam, aber wenn ich habe mal den Postfix gestoppt und die mailq gelöscht und kurz danach mal die mailq mir anzeigen lassen und dort waren nach kurzer zeit unzählige mails vom user apache zu sehen.

Ich hoffe ich folgere daraus nichts falsches aber ich würde sagen das es dann doch an einer schlecht programmierten seite in php liegt oder?

Den test mit dem offen Relay habe ich gemacht und es ist kein offenes Relay gewesen.

Ich weiß zwar nicht ob es was damit zu tun hat, aber in den Apache logs stehen viele folgender aufrufe drinne :

24.172.195.8 - - [10/Jul/2007:14:54:55 +0200] "POST http://lti-mail01.ltinetworks.com:25/ HTTP/1.0" 404 274
24.172.195.8 - - [10/Jul/2007:14:54:55 +0200] "CONNECT http://lti-mail01.ltinetworks.com:25 HTTP/1.0" 400 298
24.172.195.8 - - [10/Jul/2007:15:34:07 +0200] "POST http://lti-mail01.ltinetworks.com:25/ HTTP/1.0" 404 274
24.172.195.8 - - [10/Jul/2007:15:34:07 +0200] "CONNECT http://lti-mail01.ltinetworks.com:25 HTTP/1.0" 400 298
24.172.195.8 - - [10/Jul/2007:16:15:09 +0200] "POST http://lti-mail01.ltinetworks.com:25/ HTTP/1.0" 404 274
24.172.195.8 - - [10/Jul/2007:16:15:10 +0200] "CONNECT http://lti-mail01.ltinetworks.com:25 HTTP/1.0" 400 298
24.172.195.8 - - [10/Jul/2007:16:56:46 +0200] "POST http://lti-mail01.ltinetworks.com:25/ HTTP/1.0" 404 274
24.172.195.8 - - [10/Jul/2007:16:56:47 +0200] "CONNECT http://lti-mail01.ltinetworks.com:25 HTTP/1.0" 400 298
24.172.195.8 - - [10/Jul/2007:17:37:42 +0200] "POST http://lti-mail01.ltinetworks.com:25/ HTTP/1.0" 404 274
24.172.195.8 - - [10/Jul/2007:17:37:42 +0200] "CONNECT http://lti-mail01.ltinetworks.com:25 HTTP/1.0" 400 298

da sie ja alle irgendwie mit Port 25 zu tun habe weiß ich nicht ob vielleicht der Apache an sich unsicher konfiguriert ist?

zyrusthc
12.07.07, 16:14
Ok ich kann leider in den Logs nichts passendes dazu finden zu dem ganzen Spam, aber wenn ich habe mal den Postfix gestoppt und die mailq gelöscht und kurz danach mal die mailq mir anzeigen lassen und dort waren nach kurzer zeit unzählige mails vom user apache zu sehen.
[...]
Den test mit dem offen Relay habe ich gemacht und es ist kein offenes Relay gewesen.



Ich hoffe ich folgere daraus nichts falsches aber ich würde sagen das es dann doch an einer schlecht programmierten seite in php liegt oder?
Ja <zehnzeichen>

capser
12.07.07, 16:36
Heisst es das die Seiten schlecht Programmiert sind, oder das Apache oder die PHP config unsicher sind. Oder kann man es noch garnicht daraus schliessen?

Wenn wenns die Programmierung ist könnte ich immerhin die Fehlersuche weitergeben ;-)

Ansonsten fürchte ich muss ich mich mal weiter auf die Suche machen?

zyrusthc
12.07.07, 16:40
Es liegt definitiv an php Seiten!
Kannst ja mein findstring Script nutzen um mail() funktionen Aufzustöbern...
http://zyrusthc.homeip.net/dlmanager/download2.php?id=11

capser
12.07.07, 16:49
Super vielen dank für die Hilfe,
dann werde ich mich mal auf die Suche machen

gruß aus Hamburg

zyrusthc
12.07.07, 17:02
Zu deinen Edit in #9 : Die ganze Mails scheinen ja von einem Server mit der IP 24.172.195.8 zu kommen.
Fals iptables auf deinen Server installiert ist , kannst du diese IP aussperren.
Damit du Postfix wenigstens zum testen aktivieren kannst ohne das die Queue gleich wieder vollläuft!

iptables -A INPUT -s 24.172.195.8 -j DROP
iptables -A OUTPUT -d 24.172.195.8 -j DROP

Greeez Oli

Legolaus
17.07.07, 14:07
Also alle Fakten lassen ziemlich darauf schließen das mein erster Post in die richtige Richtung ging.

Euer PHP-Coder sollte dringenst mal nach nem PHP Mail Formular howto suchen.

Das war schon so oft bei heise und Co zu lesen. Falls ihr ein Community-Projekt nutzen solltet, prüft ob ihr damit auf dem neusten Stand seid. Auch hier hat sich einiges getan.

Gruss und viel Erfolg

Bitte an die Lösung denken ;-)