Hallo Leute,

ich nutze postfix als Mailserver.
Mir kam in letzter Zeit einiges komisch vor (z.B. Spam an E-Mail Adressen die nur ich kenne und die ich bis jetzt nur gebraucht habe um mir selbst auf andere Adressen Daten zu schicken).

Also hab ich mal die Logs gecheckt und da is mir aufgefallen, dass das mail.log über 700MB groß ist.

Es ist voll mit Einträgen wie:



Jun 29 08:28:17 h1825122 postfix/smtp[18015]: 3B9F960B4A4B: to=<lannykimo@yahoo.com.tw>, relay=mx1.mail.tw.yahoo.com[203.188.197.119]:25, delay=338, delays=337/0.07/0.$
Jun 29 08:28:17 h1825122 postfix/smtp[18015]: 3B9F960B4A4B: to=<mase88888@yahoo.com.tw>, relay=mx1.mail.tw.yahoo.com[203.188.197.119]:25, delay=338, delays=337/0.07/0.$


oder


Jul 8 22:36:36 h1825122 postfix/smtp[24439]: EDB2E26E04C7: to=<eatso@go.com>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=4, delay=21, delays=15/4.9/0.01/1.4, dsn=2.0.$
Jul 8 22:36:36 h1825122 postfix/smtp[24439]: EDB2E26E04C7: to=<eb@gte.net>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=4, delay=21, delays=15/4.9/0.01/1.4, dsn=2.0.0,$


Ich hatte durch einen fehler für max 1-2 Tage ein offenes Relay.
Das ist aber schon länger wieder zu.

Chrootkit und rkhunter finden nichts auffälliges bis auf einen offenen port 1524. Ich kann aber keinen Dienst finden der an diesem Port lauscht.

Bin jetzt etwas ratlos.
Habt ihr vielleicht eine Idee wie ich das Problem noch weiter eingrenzen könnte?

Locutus;1778457']
Bin jetzt etwas ratlos.
Habt ihr vielleicht eine Idee wie ich das Problem noch weiter eingrenzen könnte?

server abschalten und nachschauen was da los ist...

was sagt netstat?

hab den mail-server schon länger offline.
im moment laufen nur noch Apache2 und MySQL


netstat sagt


Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 h1825122.stratoserv:www p54808786.dip0.t-i:4257 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www p54808786.dip0.t-i:4276 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www xdsl-78-35-130-12:49722 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www xdsl-78-35-130-12:49723 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www xdsl-78-35-130-12:49721 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www dslb-188-105-048-:50429 FIN_WAIT2
tcp 0 0 h1825122.stratoserv:www p5497D323.dip.t-d:50344 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www p4FCFF71F.dip.t-d:57816 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www p54819329.dip0.t-i:4302 VERBUNDEN
tcp 1 0 localhost.localdo:41568 localhost.localdo:10025 CLOSE_WAIT
tcp 0 0 h1825122.stratoserv:www p5B26BBC1.dip.t-d:52493 VERBUNDEN
tcp 0 0 h1825122.stratoserv:www p4FF44444.dip.t-di:2392 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www p4FD13872.dip.t-d:63690 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www 217-68-170-216.dy:49550 VERBUNDEN
tcp 0 268 h1825122.stratoserv:ssh p5DD3BA7E.dip.t-d:50000 VERBUNDEN
tcp 0 0 h1825122.stratoserv:www dslb-088-069-001-:49494 TIME_WAIT
tcp 0 0 h1825122.stratoserv:www dslb-088-069-001-:49496 VERBUNDEN
udp 0 0 h1825122.stratose:49507 hardy.teamspeak.4p:2010 VERBUNDEN
udp 0 0 h1825122.stratoser:2011 hardy.teamspeak.4p:2010 VERBUNDEN
Aktive Sockets in der UNIX-Domäne (ohne Server)
Proto RefCnt Flags Type State I-Node Pfad
unix 16 [ ] DGRAM 6224765 /dev/log
unix 3 [ ] STREAM VERBUNDEN 10937860 /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM VERBUNDEN 10937859
unix 2 [ ] DGRAM 10937846
unix 3 [ ] STREAM VERBUNDEN 10474774 /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM VERBUNDEN 10474773
unix 2 [ ] DGRAM 10416400
unix 3 [ ] STREAM VERBUNDEN 9686784 /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM VERBUNDEN 9686783
unix 3 [ ] STREAM VERBUNDEN 9405852 /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM VERBUNDEN 9405851
unix 2 [ ] DGRAM 8022749
unix 2 [ ] DGRAM 8019438
unix 2 [ ] DGRAM 6230014
unix 3 [ ] STREAM VERBUNDEN 6229588 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM VERBUNDEN 6229587
unix 3 [ ] STREAM VERBUNDEN 6229550 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM VERBUNDEN 6229549
unix 3 [ ] STREAM VERBUNDEN 6229538 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM VERBUNDEN 6229537
unix 2 [ ] DGRAM 6229533
unix 3 [ ] STREAM VERBUNDEN 6229506 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM VERBUNDEN 6229505
unix 2 [ ] DGRAM 6229504
unix 2 [ ] DGRAM 6229485
unix 2 [ ] DGRAM 6229170
unix 2 [ ] DGRAM 6227442
unix 3 [ ] STREAM VERBUNDEN 6225805
unix 3 [ ] STREAM VERBUNDEN 6225804
unix 3 [ ] STREAM VERBUNDEN 6225802
unix 3 [ ] STREAM VERBUNDEN 6225801
unix 2 [ ] DGRAM 6225481
unix 2 [ ] DGRAM 6225333
unix 2 [ ] DGRAM 6225120
unix 3 [ ] STREAM VERBUNDEN 6224809 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM VERBUNDEN 6224808
unix 3 [ ] STREAM VERBUNDEN 6224803
unix 3 [ ] STREAM VERBUNDEN 6224802
unix 2 [ ] DGRAM 6224800
unix 3 [ ] STREAM VERBUNDEN 6224787
unix 3 [ ] STREAM VERBUNDEN 6224786

ich denke hier ist


netstat -tulpen

gemeint...

netstat -tulpen



Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:10024 0.0.0.0:* LISTEN 110 6225211 1949/amavisd (ch3-a
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 107 6225332 19486/mysqld
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 0 6225483 19540/spamd.pid
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 0 6229654 3904/apache2
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 6229646 3904/apache2
tcp 0 0 85.214.214.28:30033 0.0.0.0:* LISTEN 1001 6240840 26088/ts3server_lin
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN 0 6229650 3904/apache2
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 6228598 21667/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 6227624 20329/cupsd
tcp 0 0 85.214.214.28:10011 0.0.0.0:* LISTEN 1001 6241444 26088/ts3server_lin
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 0 6229648 3904/apache2
tcp6 0 0 :::22 :::* LISTEN 0 6228596 21667/sshd
udp 0 0 0.0.0.0:53430 0.0.0.0:* 112 6224813 18346/avahi-daemon:
udp 0 0 85.214.214.28:123 0.0.0.0:* 0 6229493 21917/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 0 6229492 21917/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 0 6229488 21917/ntpd
udp 0 0 0.0.0.0:517 0.0.0.0:* 0 6228635 21685/inetd
udp 0 0 0.0.0.0:518 0.0.0.0:* 0 6228638 21685/inetd
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 6227627 20329/cupsd
udp 0 0 85.214.214.28:1337 0.0.0.0:* 1001 6241434 26088/ts3server_lin
udp 0 0 85.214.214.28:2003 0.0.0.0:* 1001 6241326 26088/ts3server_lin
udp 0 0 85.214.214.28:4242 0.0.0.0:* 1001 6241381 26088/ts3server_lin
udp 0 0 0.0.0.0:5353 0.0.0.0:* 112 6224811 18346/avahi-daemon:
udp6 0 0 :::37298 :::* 112 6224814 18346/avahi-daemon:
udp6 0 0 ::1:123 :::* 0 6229491 21917/ntpd
udp6 0 0 :::123 :::* 0 6229489 21917/ntpd
udp6 0 0 :::5353 :::* 112 6224812 18346/avahi-daemon:

Schau in deinem Mail Log anhand der Message-Ids (etwa "3B9F960B4A4B") nach, wie die einzelnen Mails bei deinem MTA eingeliefert wurden.

Wenn du eine Zeit lang ein offenes Relay betrieben hast, befreie deine Mail-Queue von evtl. noch wartenden Nachrichten (siehe postsuper(1) (http://www.postfix.org/postsuper.1.html)).

postsuper: Deleted: 3789 messages

:D

ok, dann lasse ich den mail-server mal wieder anlaufen und halte die logs mal im Auge.

was ich aber immer noch nicht so ganz verstehe ist: wie kommt ein Spam-Bot an meine eMail-Adresse obwohl ich nirgendwo veröffentlicht habe?
Ich hatte sie nur im IMAP-Inbox Ordner aufm Server und auf meinem privat Rechner im Posteingang. Meinen Privatrechner habe ich schon ausgiebig nach Schädlingen untersucht und nichts gefunden (Desinfec't Boot-CD der c't).