shadowcast
Member
Guten morgen,
ich bin gerade völlig am rotieren, da ich gerade von meinem Provider Netcup eine Abuse Meldung erhalten habe.
Aber... ruhig bleiben.
Meine Config ist Debian Wheezy mit ISPConfig nach dem Perfekt Server Tutorial. Dazu habe ich Ossec und die CSF-Firewall laufen.
Ich erhalte seit letzten Donnerstag viele Meldungen wie:
Nach 6 solcher Meldungen wird die IP von CSF gesperrt.
Die Meldungen reißen aber seitdem nicht ab. Ich erhalte ca. 100 Mails am Tag über diese Sperren.
Daraufhin meldet das System oft einen verdächtigen Prozess:
mit folgendem Log:
Den Error Prozess habe ich im CSF dann lediglich auf die Ignore Liste gesetzt.
Heute dann die Abuse Mail: (Auszug)
Was ist auffällt ist der X-MAILER (Win32) was wie ich hoffe auf ein befallenes Windows beim Kunden hinweist?
Hier ein Auszug des entsprechenden Logs:
Was auch sehr komisch ist ist der Graph für Postfix, welcher seit genau dem Zeitpunkt enorm nach oben ging. (siehe Anhang)
Es sind definitiv mehrere Mails von dem Account verschickt worden.
Was würdet Ihr machen? Dem Kunden die Adressen zudrehen aus ISPConfig? Oder den ganzen Account?
Noch wichtiger, was kann ich am bzw. mit dem Server machen.
Erstens ob ich wirklich soweit raus bin und zweitens wie ich zukünftig sowas früher bemerken kann?
Ich wäre euch megafroh über eure Meinungen.
LG
ich bin gerade völlig am rotieren, da ich gerade von meinem Provider Netcup eine Abuse Meldung erhalten habe.
Aber... ruhig bleiben.
Meine Config ist Debian Wheezy mit ISPConfig nach dem Perfekt Server Tutorial. Dazu habe ich Ossec und die CSF-Firewall laufen.
Ich erhalte seit letzten Donnerstag viele Meldungen wie:
Code:
Jun 12 10:06:59 MEINHOST postfix/smtpd[19133]: warning: unknown[31.47.84.23]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Die Meldungen reißen aber seitdem nicht ab. Ich erhalte ca. 100 Mails am Tag über diese Sperren.
Daraufhin meldet das System oft einen verdächtigen Prozess:
Code:
lfd on MEINSERVER: Suspicious process running under user postfix
Time: Fri Jun 6 13:05:33 2014 +0200
PID: 31338 (Parent PID:4211)
Account: postfix
Uptime: 80 seconds
Executable:
/usr/lib/postfix/error
Command Line (often faked in exploits):
error -n retry -t unix -u -c
Code:
Jun 8 14:05:58 MEINHOST named[2784]: socket.c:5274: unexpected error:
Heute dann die Abuse Mail: (Auszug)
Code:
X-HmXmrOriginalRecipient: leiffers@hotmail.com
X-Reporter-IP: 84.131.18.152
x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=none (sender IP is 5.45.105.158) smtp.mailfrom=Vodafone@wMEINHOST.MEINEDOMAIN.de; dkim=none header.d=EINKUNDE.de;
x-hmca=none header.id=assistenz@EINKUNDE.de
X-SID-PRA: assistenz@EINKUNDE.de
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD00
X-Message-Info:
11chDOWqoTk4sVVujvN0yvEE5LdEp/0mkW3R5+Zq3UmUCEglB/UQvOGx97hwMI1wLanT3paXGXSPuEeiYybw5jbTZ
1ka8ou2cfAOra2sBkTeRltpZh6dCyX5dPi98H2r7S2jy63O7V0/se4puZk0/s3V1OydfdYbw3ceBnwfT3aeyA3gAn
rHOAE6Wiu11Khv13j7DeLxYkX3sv5aS8juqxoJVKdoW5vC
Received: from MEINHOST.MEINEDOMAIN.de ([5.45.105.158]) by BAY004-MC5F25.hotmail.com over TLS secured
channel with Microsoft SMTPSVC(7.5.7601.22678);
Tue, 10 Jun 2014 03:22:38 -0700
Received: from localhost (localhost [127.0.0.1])
by MEINHOST.MEINEDOMAIN.de (Postfix) with ESMTP id 09F43100ECC
for <leiffers@hotmail.com>; Tue, 10 Jun 2014 12:22:37 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at MEINHOST.MEINEDOMAIN.de
Received: from MEINHOST.MEINEDOMAIN.de ([127.0.0.1])
by localhost (MEINHOST.MEINEDOMAIN.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id DDTGXQdsYJVk for <leiffers@hotmail.com>;
Tue, 10 Jun 2014 12:22:36 +0200 (CEST)
Received: from andm02 (mail.mikro-polo.si [90.157.147.26])
(Authenticated sender: assistenz@EINKUNDE.de)
by MEINHOST.MEINEDOMAIN.de (Postfix) with ESMTPA id 8C37B100ECA
for <leiffers@hotmail.com>; Tue, 10 Jun 2014 12:22:36 +0200 (CEST)
Date: Tue, 10 Jun 2014 12:22:26 +0200
From: Vodafone
<assistenz@EINKUNDE.de>
To: leiffers@hotmail.com
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer www.blat.net
Message-ID: <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Subject: Rechnung Mai 2014, #G55388-480F3
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
charset=\"ISO-8859-1\"
Return-Path: Vodafone@MEINHOST.MEINEDOMAIN.de
X-OriginalArrivalTime: 10 Jun 2014 10:22:38.0827 (UTC) FILETIME=[E7A35BB0:01CF8495]
Hier ein Auszug des entsprechenden Logs:
Code:
Jun 10 12:22:34 MEINHOST postfix/smtpd[32041]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: warning: mail.mikro-polo.si[90.157.147.26]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: 8C37B100ECA: client=mail.mikro-polo.si[90.157.147.26], sasl_method=PLAIN, sasl_username=assistenz@EINKUNDE.de
Jun 10 12:22:36 MEINHOST postfix/cleanup[31959]: 8C37B100ECA: message-id=<01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Jun 10 12:22:36 MEINHOST postfix/qmgr[4389]: 8C37B100ECA: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6386, nrcpt=1 (queue active)
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: disconnect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:36 MEINHOST postfix/smtpd[31299]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:37 MEINHOST postfix/smtpd[31965]: 09F43100ECC: client=localhost[127.0.0.1]
Jun 10 12:22:37 MEINHOST postfix/cleanup[32034]: 09F43100ECC: message-id=<01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Jun 10 12:22:37 MEINHOST postfix/smtpd[31965]: disconnect from localhost[127.0.0.1]
Jun 10 12:22:37 MEINHOST postfix/qmgr[4389]: 09F43100ECC: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6849, nrcpt=1 (queue active)
Jun 10 12:22:37 MEINHOST amavis[487]: (00487-10) Passed CLEAN {RelayedOpenRelay}, [90.157.147.26]:1930 [90.157.147.26] <Vodafone@MEINHOST.MEINEDOMAIN.de> -> <leiffers@hotmail.com>, Queue-ID: 8C37B100ECA, Message-ID: <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>, mail_id: DDTGXQdsYJVk, Hits: -2.176, size: 6376, queued_as: 09F43100ECC, 436 ms
Jun 10 12:22:37 MEINHOST postfix/smtp[31960]: 8C37B100ECA: to=<leiffers@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.56, delays=0.12/0/0.01/0.44, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 09F43100ECC)
Jun 10 12:22:37 MEINHOST postfix/qmgr[4389]: 8C37B100ECA: removed
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: warning: mail.mikro-polo.si[90.157.147.26]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: 47D07100ECA: client=mail.mikro-polo.si[90.157.147.26], sasl_method=PLAIN, sasl_username=assistenz@EINKUNDE.de
Jun 10 12:22:39 MEINHOST postfix/cleanup[31959]: 47D07100ECA: message-id=<01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 47D07100ECA: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6404, nrcpt=1 (queue active)
Jun 10 12:22:39 MEINHOST postfix/smtp[31262]: 09F43100ECC: to=<leiffers@hotmail.com>, relay=mx1.hotmail.com[207.46.8.167]:25, delay=2.3, delays=0.04/0/1.3/0.93, dsn=2.0.0, status=sent (250 <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de> Queued mail for delivery)
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 09F43100ECC: removed
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: disconnect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:39 MEINHOST postfix/smtpd[32041]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:39 MEINHOST postfix/smtpd[32049]: B3D92100ECC: client=localhost[127.0.0.1]
Jun 10 12:22:39 MEINHOST postfix/cleanup[32034]: B3D92100ECC: message-id=<01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>
Jun 10 12:22:39 MEINHOST postfix/smtpd[32049]: disconnect from localhost[127.0.0.1]
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: B3D92100ECC: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6885, nrcpt=1 (queue active)
Jun 10 12:22:39 MEINHOST amavis[32691]: (32691-16) Passed CLEAN {RelayedOpenRelay}, [90.157.147.26]:1932 [90.157.147.26] <Vodafone@MEINHOST.MEINEDOMAIN.de> -> <anke.scherb@landvolk-celle.de>, Queue-ID: 47D07100ECA, Message-ID: <01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>, mail_id: Tcv0eoSLI0cA, Hits: -2.176, size: 6394, queued_as: B3D92100ECC, 429 ms
Jun 10 12:22:39 MEINHOST postfix/smtp[32112]: 47D07100ECA: to=<anke.scherb@landvolk-celle.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.52, delays=0.09/0/0/0.43, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B3D92100ECC)
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 47D07100ECA: removed
Jun 10 12:22:40 MEINHOST postfix/smtp[30393]: B3D92100ECC: to=<anke.scherb@landvolk-celle.de>, relay=mx01.kundenserver.de[212.227.15.150]:25, delay=0.41, delays=0.03/0/0.17/0.2, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0MJpRs-1WtCjj42TM-0019i2)
Jun 10 12:22:40 MEINHOST postfix/qmgr[4389]: B3D92100ECC: removed
Es sind definitiv mehrere Mails von dem Account verschickt worden.
Was würdet Ihr machen? Dem Kunden die Adressen zudrehen aus ISPConfig? Oder den ganzen Account?
Noch wichtiger, was kann ich am bzw. mit dem Server machen.
Erstens ob ich wirklich soweit raus bin und zweitens wie ich zukünftig sowas früher bemerken kann?
Ich wäre euch megafroh über eure Meinungen.
LG