shadowcast
Member
Hallo,
ich leider schon wieder.
Gestern gegen halb 9 morgens bekam ich plötzlich Mails von einem meiner Server, auf welchem die Mail-Warteschlange plötzlich auf über 20-30 anstieg. Die Kundenadresse war schnell ermittelt, er meinte er hat einen Clienten mit POP3 der sicher ausgeschaltet ist und auch noch bis zu dem Zeitpunkt auch noch nicht ein war. Der Andere Client mit IMAP war sein iPhone.
Nachdem wir ca. eine halbe Stunde mehr oder weniger blind herumsuchten, haben wir das Passwort geändert und die Queue ging wieder herab. Bzw. beim Löschen stieg sie auch bis heute nicht mehr an.
Heute war ein Kollege bei dem Kunden und konnte am POP3 PC nichts finden. Auch am iPhone schien alles in Ordnung. Sicherheitshalber wurden sämtliche Passwörter die mit dem Hosting zusammenhängen geändert.
Ich hab nun die mail.log in dem Zeitfenster vor mir liegen. 7 Uhr bis 10:30 Uhr mit 1,6MB. Viele Einträge der besagten Adresse, hauptsächlich Postfix. Hier ein Auszug:
Die Zeilen BAD-HEADER RelayedOpenRelay klingen böse???
In meinen Augen kam irgendwie jemand an seine Zugangsdaten. Das Passwort war aber definitiv nicht erratbar, hatte 12 wirre Zeichen aus Zahlen, Buchstaben und Sonderzeichen.
Wäre über eure Meinung bzw. weitere Tips sehr froh.
LG
ich leider schon wieder.
Gestern gegen halb 9 morgens bekam ich plötzlich Mails von einem meiner Server, auf welchem die Mail-Warteschlange plötzlich auf über 20-30 anstieg. Die Kundenadresse war schnell ermittelt, er meinte er hat einen Clienten mit POP3 der sicher ausgeschaltet ist und auch noch bis zu dem Zeitpunkt auch noch nicht ein war. Der Andere Client mit IMAP war sein iPhone.
Nachdem wir ca. eine halbe Stunde mehr oder weniger blind herumsuchten, haben wir das Passwort geändert und die Queue ging wieder herab. Bzw. beim Löschen stieg sie auch bis heute nicht mehr an.
Heute war ein Kollege bei dem Kunden und konnte am POP3 PC nichts finden. Auch am iPhone schien alles in Ordnung. Sicherheitshalber wurden sämtliche Passwörter die mit dem Hosting zusammenhängen geändert.
Ich hab nun die mail.log in dem Zeitfenster vor mir liegen. 7 Uhr bis 10:30 Uhr mit 1,6MB. Viele Einträge der besagten Adresse, hauptsächlich Postfix. Hier ein Auszug:
Code:
Dec 1 09:20:40 server03 postfix/smtpd[10688]: connect from localhost[127.0.0.1]
Dec 1 09:20:40 server03 postfix/smtpd[10688]: 0968F102241: client=localhost[127.0.0.1]
Dec 1 09:20:40 server03 postfix/cleanup[10702]: 0968F102241: message-id=<20141201082040.0968F102241@MEINSERVER.de>
Dec 1 09:20:40 server03 postfix/qmgr[4151]: 0968F102241: from=<VERDÄCHTER@ACCOUNT.de>, size=2949, nrcpt=1 (queue active)
Dec 1 09:20:40 server03 postfix/smtp[10691]: 0968F102241: to=<r.porubsky@schiertechnical.sk>, relay=none, delay=0.05, delays=0.05/0/0/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=schiertechnical.sk type=AAAA: Host not found)
Dec 1 09:20:40 server03 postfix/cleanup[5570]: 15F01102244: message-id=<20141201082040.15F01102244@MEINSERVER.de>
Dec 1 09:20:40 server03 postfix/bounce[10710]: 0968F102241: sender non-delivery notification: 15F01102244
Dec 1 09:20:40 server03 postfix/qmgr[4151]: 15F01102244: from=<>, size=5190, nrcpt=1 (queue active)
Dec 1 09:20:40 server03 amavis[8205]: (08205-11) Passed BAD-HEADER-7 {RelayedOpenRelay,Quarantined}, [109.74.59.147]:51054 [109.74.59.147] <VERDÄCHTER@ACCOUNT.de> -> <r.porubsky@schiertechnical.sk>, quarantine: 5/badh-5YEZOhO2yWe4, Queue-ID: 3977D102238, mail_id: 5YEZOhO2yWe4, Hits: 9.891, size: 2208, queued_as: 0968F102241, 3989 ms
Dec 1 09:20:40 server03 postfix/qmgr[4151]: 0968F102241: removed
Dec 1 09:20:40 server03 postfix/smtp[10681]: 3977D102238: to=<r.porubsky@schiertechnical.sk>, relay=127.0.0.1[127.0.0.1]:10024, delay=6.9, delays=0.21/2.7/0.01/4, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0968F102241)
Dec 1 09:20:40 server03 postfix/qmgr[4151]: 3977D102238: removed
Dec 1 09:20:40 server03 postfix/pipe[10689]: 15F01102244: to=<VERDÄCHTER@ACCOUNT.de>, relay=dovecot, delay=0.03, delays=0/0/0/0.03, dsn=2.0.0, status=sent (delivered via dovecot service)
Dec 1 09:20:40 server03 postfix/qmgr[4151]: 15F01102244: removed
Dec 1 09:20:41 server03 postfix/smtpd[10716]: connect from localhost[127.0.0.1]
Dec 1 09:20:41 server03 postfix/smtpd[10716]: 150B9102241: client=localhost[127.0.0.1]
Dec 1 09:20:41 server03 postfix/cleanup[10702]: 150B9102241: message-id=<20141201082041.150B9102241@MEINSERVER.de>
Dec 1 09:20:41 server03 postfix/qmgr[4151]: 150B9102241: from=<VERDÄCHTER@ACCOUNT.de>, size=2830, nrcpt=1 (queue active)
Dec 1 09:20:41 server03 amavis[10706]: (10706-01) Passed BAD-HEADER-7 {RelayedOpenRelay,Quarantined}, [109.74.59.147]:51055 [109.74.59.147] <VERDÄCHTER@ACCOUNT.de> -> <buidurassamy@shaw.ca>, quarantine: n/badh-nzwDbLUbtkmS, Queue-ID: 0951310223B, mail_id: nzwDbLUbtkmS, Hits: 9.09, size: 2107, queued_as: 150B9102241, 4408 ms
Dec 1 09:20:41 server03 postfix/smtp[10680]: 0951310223B: to=<buidurassamy@shaw.ca>, relay=127.0.0.1[127.0.0.1]:10024, delay=7.1, delays=0.15/2.5/0.09/4.4, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 150B9102241)
Dec 1 09:20:41 server03 postfix/qmgr[4151]: 0951310223B: removed
Dec 1 09:20:42 server03 postfix/smtpd[10688]: 55D0B102244: client=localhost[127.0.0.1]
Dec 1 09:20:42 server03 postfix/cleanup[5570]: 55D0B102244: message-id=<20141201082042.55D0B102244@MEINSERVER.de>
Dec 1 09:20:42 server03 postfix/qmgr[4151]: 55D0B102244: from=<VERDÄCHTER@ACCOUNT.de>, size=2862, nrcpt=1 (queue active)
Dec 1 09:20:42 server03 postfix/smtpd[10716]: 570A6102245: client=localhost[127.0.0.1]
Dec 1 09:20:42 server03 postfix/cleanup[10702]: 570A6102245: message-id=<20141201082042.570A6102245@MEINSERVER.de>
Dec 1 09:20:42 server03 postfix/qmgr[4151]: 570A6102245: from=<VERDÄCHTER@ACCOUNT.de>, size=2818, nrcpt=1 (queue active)
Dec 1 09:20:42 server03 amavis[8205]: (08205-11-2) Passed BAD-HEADER-7 {RelayedOpenRelay,Quarantined}, [109.74.59.147]:51057 [109.74.59.147] <VERDÄCHTER@ACCOUNT.de> -> <thomas.stropek@ohnhaeuser.de>, quarantine: j/badh-j9C3oxVsOhQL, Queue-ID: 877E410223C, mail_id: j9C3oxVsOhQL, Hits: 9.09, size: 2123, queued_as: 55D0B102244, 2264 ms
Dec 1 09:20:42 server03 amavis[10706]: (10706-01-2) Passed BAD-HEADER-7 {RelayedOpenRelay,Quarantined}, [109.74.59.147]:51059 [109.74.59.147] <VERDÄCHTER@ACCOUNT.de> -> <konni82@gmail.com>, quarantine: 1/badh-1-CRH2YW_0gP, Queue-ID: 077E510223D, mail_id: 1-CRH2YW_0gP, Hits: 9.09, size: 2101, queued_as: 570A6102245, 1251 ms
Dec 1 09:20:42 server03 postfix/smtp[10681]: 877E410223C: to=<thomas.stropek@ohnhaeuser.de>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=2, delay=7.9, delays=0.13/5.5/0/2.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 55D0B102244)
Dec 1 09:20:42 server03 postfix/qmgr[4151]: 877E410223C: removed
Dec 1 09:20:42 server03 postfix/smtp[10680]: 077E510223D: to=<konni82@gmail.com>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=2, delay=7.4, delays=0.15/6/0/1.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 570A6102245)
Dec 1 09:20:42 server03 postfix/qmgr[4151]: 077E510223D: removed
Dec 1 09:20:43 server03 postfix/smtp[10705]: 150B9102241: to=<buidurassamy@shaw.ca>, relay=idcmail.shaw.ca[24.71.223.11]:25, delay=2.1, delays=0.01/0/1.6/0.53, dsn=2.0.0, status=sent (250 ok: Message 631298168 accepted)
Dec 1 09:20:43 server03 postfix/smtp[10718]: 570A6102245: to=<konni82@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.65.27]:25, delay=0.97, delays=0/0.01/0.28/0.68, dsn=2.0.0, status=sent (250 2.0.0 OK 1417422043 p10si44235281wia.64 - gsmtp)
Dec 1 09:20:43 server03 postfix/qmgr[4151]: 570A6102245: removed
Dec 1 09:20:43 server03 postfix/qmgr[4151]: 150B9102241: removed
Die Zeilen BAD-HEADER RelayedOpenRelay klingen böse???
In meinen Augen kam irgendwie jemand an seine Zugangsdaten. Das Passwort war aber definitiv nicht erratbar, hatte 12 wirre Zeichen aus Zahlen, Buchstaben und Sonderzeichen.
Wäre über eure Meinung bzw. weitere Tips sehr froh.
LG