Hallo,

ich bin Suse Neuling & mehr Programmierer als Linux Administrator.
Nun habe ich vor kurzem festgestellt das sich unser gehosteter Server
mit Resellerfunktion inkl. mehreren Kunden Hosts in einer Blacklist befindet
mit folgender Meldung:
----------------------------------------------------------------------
This IP IS CURRENTLY LISTED in our Database.

Please note that this listing does not mean you are a spammer, it means your mailsystem is either poorly configured or it is using abusive techniques.
If you don't know what BACKSCATTER or Sender Callouts are, click the links above to get clue how to stop that kind of abuse.

To track down what happened investigate your smtplogs near 09.10.2009 14:20 CEST +/-10 minutes.
You will either find that your system tried to send bounces or autoresponders to claimed but in reality faked senders, or your system tried sender verify callouts against our members near that time.

So you should look for outgoing emails that have a NULL SENDER or POSTMASTER in MAIL FROM and which got rejected at remote systems.
Read the rejection texts carefully and it shouldn't be a big deal to figure out what caused or renewed your listing.

History:
09.02.2009 10:50 CET listed

A total of 423 Impacts were detected during this listing. Last was 09.10.2009 14:20 CEST +/- 10 minutes.
Earliest date this IP can expire is 06.11.2009 13:20 CET.
----------------------------------------------------------------------

Was hat dies zu bedeuten? Was kann ich tun um herauszufinden wo
das Problem liegt?

Unser Provider hat mir mitgeteilt das ich mal in folgendem Verzeichnis
suchen soll: /usr/local/psa/var/log/maillog

Nun müßte ich natürlich wissen nach was !!!

Folgende Problematiken in dieser Hinischt sind mir bekannt:
+ offene, unsichere Ports
+ gehackte FTP Accounts
+ gehackte Mail Accounts
+ unsichere / fehlerhaft Mail Skripte

System:
- Rootserver
- Suse Linux 10.1

Verwaltung
- SSH Zugang
- Plesk 8.3.

Wer hat eine Idee? Freu mich über verständliche & aussagekräftige
Antworten!

Mfg
Siggi

System:
- Rootserver
- Suse Linux 10.1
Da würde ich als erstes ansetzen, da:

http://en.opensuse.org/SUSE_Linux_Lifetime


Übirgens - wenn schon Multipostings, dann bitte auch selbst darauf hinweisen:
http://www.linux-forum.de/server-in-blacklist-hilfe-31045.html
http://serversupportforum.de/forum/mail/35533-linux-server-blacklist-hilfe.html

das sehe ich anders & glaube damit nicht das eigentlich

problem zu lösen.

Du verwendest ein System, welches seit 1 1/2 Jahren keine Updates mehr erfährt - und damit Lücken hat, die nicht gefixed sind.

Wenn das mal nicht ursächlich sein kann...

das sehe ich anders & glaube damit nicht das eigentlich

problem zu lösen.

Wenn das eigentliche Problem das ist, was der Provider Dir recht deutlich sagen will,


Unser Provider hat mir mitgeteilt das ich mal in folgendem Verzeichnis
suchen soll: /usr/local/psa/var/log/maillog

Folgende Problematiken in dieser Hinischt sind mir bekannt:
+ offene, unsichere Ports
+ gehackte FTP Accounts
+ gehackte Mail Accounts
+ unsichere / fehlerhaft Mail Skripte

dann ist die Verwendung einer Distribution, die seit über einem Jahr nicht mehr mit Sicherheitsupdates versorgt wird, der allererste Kardinalfehler.

Von einer Blacklist kommst Du mit einer noch laufenden (potentiellen) Spamschleuder sicher nicht so einfach runter.

jetzt hat er ja Zeit, das Problem zu finden:

Earliest date this IP can expire is 06.11.2009 13:20 CET.

sicher habt ihr in gewisser weise recht, bringt mir in meiner situation & meinen kenntnissen jedoch recht wenig.

wichtiger wäre es mir die ursachen schnell ausfindig zu machen und die
folgende problematiken zu überprüfen bzw. ausfindig zu machen, da diese
meiner meinung nach nichts mit einer alten version, sondern vielmehr
mit adminstrativen ursachen zu tun haben:

+ offene, unsichere Ports
+ gehackte FTP Accounts
+ gehackte Mail Accounts
+ unsichere / fehlerhaft Mail Skripte

eine konstruktive abarbeitung wie in diesem fall:

http://serversupportforum.de/forum/virtuelle-server/18579-1-1-root-server-auf-blacklist.html

entspricht da schon eher meinen vorstellung !!!

was sollen wir nun sagen? Ja, dann überprüfe doch derlei Dinge.

Wie sollen wir da helfen? Wir wissen weder, was wie auf dem System läuft noch wo und wie entsprechend konfiguriert oder was auch immer ist - das weiß und kann nur der Sysadmin des Systems.

-> also mach das Ding dicht und fange an.

(anders gesagt:


+ offene, unsichere Ports
mach einen Portscan von extern.


+ gehackte FTP Accounts
Blockiere die Accounts und vergib neue Passworte.


+ gehackte Mail Accounts
dto


+ unsichere / fehlerhaft Mail Skripte
finde sie und lösch sie.

Und dann? Bist Du dir sicher, daß Du dem System noch vertrauen kannst? Sind evtl. noch andere, bisher nicht erkannte Probleme vorhanden?)

also marce entweder verstehst du meine situation nicht, bzw. kannst oder
willst du mir nicht helfen.

solche antworten wie: "Blockiere die Accounts und vergib neue Passworte."
sind ja wohl etwas peinlich.

scheinbar weißt du selbst nicht wie man die genannten probleme lokalisiert.
antworte einfach auf meine fragen, stelle sinnvolle dergleichen
oder lass es einfach !!!

Wieso peinlich? Du vermutest, daß es gehackte Zugänge gibt. Wie bekommt man die wohl weg? Genau - sperren und neu vergeben. Ich wüßte, was ich zu tun hätte. Ich verdiene mein Geld damit.

_Du_ scheinst die Situation nicht zu verstehen. Aber na gut. _Dein_ Problem.


Viel Spaß noch.

4me: EOD.

...freut mich für dich das du damit geld verdienst.

aber als administrator sollte es immer 2 methoden geben:
eine schnelle / kurzfristige & ausführliche / dauerhafte lösung

das was du mir genannt hast trifft eher auf die zweite veriante zu.
macht aber bei über hundert kunden hosts / accounts
keinen sinn bzw. bedeutet enormen aufwand passwörter zu ändern.

zumal ich ja gar nicht weiß ob es sich dabei überhaupt
um solch ein problem handelt ;-o

Das ist die schnelle...
Die ausführliche wäre bei dem Antik-System eine komplette Neuinstallation und ein Überdenken des gesamten Sicherheits-Konzepts.

Wie kriegst Du am schnellsten einen Account zu, wo Login/Passwort bekannt sind? Richtig. Passwort (und ggf. Login) ändern.
Oder den kompletten Dienst beenden. Das ist aber wahrscheinlich noch viel weniger die 'Lösung', die Du suchst.

Wie du der E-Mail des ISPs problemlos entnehmen kannst, geht es um Backscatter (http://de.wikipedia.org/wiki/Backscatter_%28E-Mail%29). Einen entsprechenden Hinweis zur Lösung hast du unter http://serversupportforum.de/forum/224678-post2.html schon erhalten.


aber als administrator sollte es immer 2 methoden geben:
eine schnelle / kurzfristige & ausführliche / dauerhafte lösung
Das ist, gelinde gesagt, Bullshit.


keinen sinn bzw. bedeutet enormen aufwand passwörter zu ändern.
No pain, no gain. Du wolltest unbedingt "Kunden" hosten, also musst du bei deinem Wissensstand eben mit entsprechenden Unannehmlichkeiten rechnen.

sorry, aber ich weiß echt nicht was ihr für ein problem habt.
ich weiß schon warum ich in mehrere foren poste.

ständig bekommt man posts von leuten die alles besser wissen wollen
aber zum eigentlich thema keine wirkliche lösung haben.

ich habe eine gewisse nachvollziehbare, vorgehensweise & kenne diese
auch von anderen administroren, leider gibt es davon nur sehr wenige & gute.

alles andere macht in meiner jetzigen situation "vorerst" (!!!!) keinen sinn sondern
nur unnötige arbeit.
und wie schon gesagt längfristig hat der ein oder andere von euch sicher recht !!!!

also entweder geht ihr auf den inhalt meiner posts ein oder lasst es.
ein gutes beispiel wurde hier schon genannt:
http://serversupportforum.de/forum/mail/35533-linux-server-blacklist-hilfe.html

Du sollst nicht an den Auswirkunden dieses unter Missachtung jedes Verstands und rechtlich sicher als grob fahrlässig aufgesetzten und gewarteten Servers rumdoktorn sondern die Ursachen beämpfen:

1) Poste welche Ports von außen offen sind.
2) Beende alle Dienste die von außen erreichbar sind
3) Ändere alle Passwörter aller Zugänge

Dann kannst Du in Ruhe weitersehen, vorher nicht!

mfg
cane

Da es um BACKSCATTER geht, steht deine Maschine _nicht_ wegen des Versendens von Spam, sondern wegen Antworten auf selbigem auf der Liste.

Dein Mailserver scheint erst einmal jede E-Mail an zu nehmen, und dann zu schauen, ob eine E-Mail auch wirklich in einer Mailbox ankommen soll. Soll sie dies nicht, schickt dein Server eine Nachricht über die Nichtzustellbarkeit an die Absenderadresse, welche bei Spam und Viren zu 99% gefälscht sind.

Und genau deswegen stehst du auf der Liste. DAS musst du ändern, wenn du DIESES Problem lösen willst (deine Distribution wird dir aber noch ganz andere Probleme bescheren...).

Welchem MTA verwendest du?
Konfiguration?

Gruß,

Oli

Hi,

danke für eure Hilfe & Antworten. Leider bin ich noch ein rookie in sachen linux.
Ich kenne derartige Probleme hatte jedoch bisher noch nie mit der Lösung zu tun.

habe gemacht:
Habe die Problematik der fehlerhaften Zustellung erkannt & die Maßnahme ergriffen das keine Emails
mehr an gefälschte absender geschickt werden.

Das Problem scheint jeodch trotzdem noch zu bestehen.

Dazu wollte ich mir mal die smtp logs ansehen um festzustellen wer, wann & was zu dem vom backscatter
genannten zeitpunkt verschickt.
wonach müßte ich denn dort suchen ????

außerdem:
In der firewall (plesk 8.3.0) habe ich zudem gesehen das die meisten regeln
für alle erlaubt sind. u.a.: SMTP (Mailversand), nenne gern weitere!

was meinst du / ihr damit:
1.) deine Distribution wird dir aber noch ganz andere Probleme bescheren...
2.) Welchem MTA verwendest du?
3.) Konfiguration?

4.) Poste welche Ports von außen offen sind.
> wo sehe ich das

5.) Beende alle Dienste die von außen erreichbar sind
> siehe Firewall ?! oder wo sehe ich das

zum Verständnis:
Sorry, aber ich habe ursprünglich gar nix mit diesem Server, Administration sowie der Distribution etc. zu tun
und mein neuer arbeitgeber kannte sich da (leider) ebenso wenig aus!!!

gruß
siggi

Einen Freiberufler anheuern der sich auskennt und das Ding erstmal sicher aufsetzt ?


Deine Distri ist so alt dass es keine Sicherheitspatches mehr gibt. (OpenSuse 10.1, aktuell ist 11.1, die 11.2 kommt bald raus....) Das heißt dein Server enthält bekannte veröffentlichte Sicherheitslücken die du so ohne weiteres mit dieser alten Distribution nicht dichtbekommst.

Kann also gut sein dass der Server längst "gekapert" wurde. Straf- und Zivilrechtlich bist du verantwortlich dafür was der "Freibeuter" (sofern vorhanden) damit tut. :D

MTA = mail transfer agent .. sendmail ist ein Beispiel, Postfix evtl. ein Anderes.


=> offene Ports: von außen mal mit nmap scannen, gibt nen ganz guten Überblick falls nicht gerade fail2ban etc. installiert ist.

=> xinet.d .. wenn ich mich richtig erinnere: welche Dienste fürs Internet gestartet werden.

Als Anhalt mal als root ps -aux eingeben und in der Liste nach üblichen Diensten (Apache, vsftp , proftp, ssd etc...) suchen.



=> Hol dir nen Profi, vor allem wenn du mit den Tipps die dir gegeben wurden nichts anfangen kannst.

MfG
Newbie der nicht auf die Idee käme mit seinen Kenntnissen einen Server zu administrieren.

hi,

und danke für die tipp's. ohne weiteres läßt sich die problematik
wohl nun doch nicht beheben, so das wir uns wirklich um
die administration bzw. sicherheit des servers gedanken
machen müssen.

was haltet ihr denn von managed servern?

gruß
siggi

was haltet ihr denn von managed servern?

Wäre wohl die beste Lösung, wenn Euch selbst die Zeit/das Know How fehlt.

Billiger als Ärger wegen aufgemachter Kiste mangels Erfahrung (ja, kann auch einem erfahrenen Admin passieren, nur eben seltener und er weiß eher damit umzugehen) wird das allemal, von eventuellen Verlusten wegen Ausfallzeiten mal ganz zu schweigen.

Was läuft denn genau alles auf dem Server?

Reicht kein Webspace?

mfg
cane

hi,

wir sind dabei eine Lösung für diese problematik auszuarbeiten.
Bis dahin möchte jedoch selbst aktiv werden, schauen
ob ich das ein oder andere sicherheitsleck finde und stopfen kann.

dazu liste ich euch mal folgende logs aus der maillog auf:

Oct 22 00:51:33 unserserver qmail-queue-handlers[32733]: Handlers Filter before-queue for qmail started ...
Oct 22 00:51:33 unserserver qmail: 1256165493.732713 warning: unable to stat mess/2/17591644
Oct 22 00:51:34 unserserver qmail-queue-handlers[32733]: from=
Oct 22 00:51:34 unserserver qmail: 1256165494.305606 warning: unable to stat mess/3/17581939
Oct 22 00:51:34 unserserver qmail-queue-handlers[32733]: to=profligatecwistful@talkorigins.org
Oct 22 00:51:34 unserserver qmail: 1256165494.637557 warning: unable to stat mess/3/17589138
Oct 22 00:51:34 unserserver qmail-queue-handlers[32733]: hook_dir = '/var/qmail//handlers/before-queue'
Oct 22 00:51:34 unserserver qmail: 1256165494.844948 warning: unable to stat mess/3/17589161
Oct 22 00:51:34 unserserver qmail-queue-handlers[32733]: recipient[3] = 'profligatecwistful@talkorigins.org'
Oct 22 00:51:34 unserserver qmail: 1256165494.846374 warning: unable to stat mess/3/18372403
Oct 22 00:51:34 unserserver qmail-queue-handlers[32733]: handlers dir = '/var/qmail//handlers/before-queue/recipient/profligatecwistful@talkorigins.org'
Oct 22 00:51:35 unserserver qmail: 1256165495.019204 warning: unable to stat mess/3/17592473
Oct 22 00:51:35 unserserver qmail: 1256165495.020247 warning: unable to stat mess/4/17591600
Oct 22 00:51:35 unserserver qmail: 1256165495.020306 warning: unable to stat mess/4/17592336
Oct 22 00:51:35 unserserver qmail: 1256165495.136908 warning: unable to stat mess/4/17592382
Oct 22 00:51:35 unserserver qmail: 1256165495.139624 warning: unable to stat mess/9/19417115
Oct 22 00:51:35 unserserver qmail-queue-handlers[32733]: starter: submitter[32738] exited normally

Fragen:

1.) Fällt euch dabei evtl. etwas ungewöhnliches auf ?
2.) Kann mir jmd. etwas zu folgenden Meldungen / Begriffen etwas sagen?

Handlers Filter before-queue for qmail started ...

qmail-queue-handlers
qmail-remote-handlers

handlers dir = '/var/qmail//handlers/before-queue/recipient/xyz@yahoo.de'
hook_dir = '/var/qmail//handlers/before-queue'
warning: unable to stat mess

gruß
siggi

http://www.google.de/search?hl=de&client=firefox-a&rls=com.ubuntu%3Aen-US%3Aunofficial&hs=ohE&q=qmail+%22warning%3A+unable+to+stat%22&btnG=Suche&meta=&aq=f&oq=