techblaster
New Member
Hallo allerseits,
ich habe seit längerem einen Root-Server im Einsatz, auf dem virtuell einzelne Debian 6 mit ISP's drauf liegen.
Im großen und ganzen laufen die Maschinen rund, nur bei einem gibt es zur Zeit massive Ausreisser und sehr heftige Spam-Probleme.
Notgedrungen habe ich den Port 25 ausgehend erst einmal blockiert, da der Server als Zombi-Mailer fungiert. Die Mails sind angestiegen von vorher 20-30 am Tag auf jetzt fast 1000. Tendenz steigend.
Mehrere Varianten habe ich bereits durchgespielt, bspw. Einsatz eines Wrappers um ein mögliches Skript im web-Verzeichnis ausfindig zu machen. Sicherheitseinstellungen des Postfix kontrolliert, Logs gesichtet, alles ohne Erfolg. Auffällig ist, leider immer wieder auch Webseiten verseucht werden. Also Trojaner sich dort einnisten. Vielleicht gibt es ja hierzu einen Zusammenhang? Ich bin schon am Überlegen die Maschine komplett neu aufzusetzen. Bevor ich mir diese viele Arbeit jedoch mache möchte ich hier nochmal um Rat fragen. Vielleicht habt Ihr ja noch einen Ansatz den ich verfolgen könnte. Ich poste Euch nachfolgend ein paar Infos zur oben beschriebenen Problematik. IP's und Adressen mache ich bewusst nicht extra unkenntlich um die Vorgänge besser nachvollziehen zu können!
Beispielmail welche Eingehend zurück kommen (Antwort auf den Spamversand):
Dazu im mail.log:
Log-Auszug messages:
Woher kommen diese merkwürdigen pure-ftpd Infomeldungen? Vor allem localhost?
Weitere Logdateien und Configs reiche ich auf Anfrage gern nach. Interessanterweise finde ich auf die oben gepostete Beispielmail keine Einträge im mail.log dass an diese Adresse zuvor etwas heraus gesandt wurde. Allerdings tauchen einige SASL-Fehler auf, wonach jemand versucht sich zu athorisieren. Auch tauchen Mails auf, die angeblich mit authorisiertem Mailuser nach draussen schicken. Das Passwort habe ich vor 2 Tagen geändert, wie kann das sein?
ich habe seit längerem einen Root-Server im Einsatz, auf dem virtuell einzelne Debian 6 mit ISP's drauf liegen.
Im großen und ganzen laufen die Maschinen rund, nur bei einem gibt es zur Zeit massive Ausreisser und sehr heftige Spam-Probleme.
Notgedrungen habe ich den Port 25 ausgehend erst einmal blockiert, da der Server als Zombi-Mailer fungiert. Die Mails sind angestiegen von vorher 20-30 am Tag auf jetzt fast 1000. Tendenz steigend.
Mehrere Varianten habe ich bereits durchgespielt, bspw. Einsatz eines Wrappers um ein mögliches Skript im web-Verzeichnis ausfindig zu machen. Sicherheitseinstellungen des Postfix kontrolliert, Logs gesichtet, alles ohne Erfolg. Auffällig ist, leider immer wieder auch Webseiten verseucht werden. Also Trojaner sich dort einnisten. Vielleicht gibt es ja hierzu einen Zusammenhang? Ich bin schon am Überlegen die Maschine komplett neu aufzusetzen. Bevor ich mir diese viele Arbeit jedoch mache möchte ich hier nochmal um Rat fragen. Vielleicht habt Ihr ja noch einen Ansatz den ich verfolgen könnte. Ich poste Euch nachfolgend ein paar Infos zur oben beschriebenen Problematik. IP's und Adressen mache ich bewusst nicht extra unkenntlich um die Vorgänge besser nachvollziehen zu können!
Beispielmail welche Eingehend zurück kommen (Antwort auf den Spamversand):
Code:
message_arrival_time: Mon Nov 11 02:59:27 2013
create_time: Mon Nov 11 02:59:27 2013
named_attribute: rewrite_context=local
named_attribute: [EMAIL="envelope_id=AM..20131111T015927Z@debian.local"]envelope_id=AM..20131111T015927Z@debian.local[/EMAIL]
sender:
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=51511
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=51511
named_attribute: helo_name=localhost
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;vibkikv@superemail.com
original_recipient: [EMAIL="vibkikv@superemail.com"]vibkikv@superemail.com[/EMAIL]
recipient: [EMAIL="vibkikv@superemail.com"]vibkikv@superemail.com[/EMAIL]
*** MESSAGE CONTENTS deferred/0/037EA14E4BD ***
Received: from localhost (localhost [127.0.0.1])
by computer-internet.net (Postfix) with ESMTP id 037EA14E4BD
for <[EMAIL="vibkikv@superemail.com"]vibkikv@superemail.com[/EMAIL]>; Mon, 11 Nov 2013 02:59:27 +0100 (CET)
Content-Type: multipart/report; report-type=delivery-status;
boundary="----------=_1384135167-25652-16"
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Subject: BANNED message from you (.exe,.exe-ms,mynicefoto.scr)
In-Reply-To: <09C216449797475D89FBBF8F5D685B39@snoh>
Message-ID: <[EMAIL="VS51SniPTtRM54@debian.local"]VS51SniPTtRM54@debian.local[/EMAIL]>
From: "Content-filter at debian.local" <[EMAIL="postmaster@debian.local"]postmaster@debian.local[/EMAIL]>
To: <[EMAIL="vibkikv@superemail.com"]vibkikv@superemail.com[/EMAIL]>
Date: Mon, 11 Nov 2013 02:59:26 +0100 (CET)
This is a multi-part message in MIME format...
------------=_1384135167-25652-16
Content-Type: text/plain; charset="iso-8859-1"
Content-Disposition: inline
Content-Transfer-Encoding: 7bit
BANNED CONTENTS ALERT
Our content checker found
banned name: .exe,.exe-ms,mynicefoto.scr
in email presumably from you <[EMAIL="vibkikv@superemail.com"]vibkikv@superemail.com[/EMAIL]>
to the following recipient:
-> [EMAIL="misshunbun@hotmail.com"]misshunbun@hotmail.com[/EMAIL]
Our internal reference code for your message is 25652-17/51SniPTtRM54
First upstream SMTP client IP address: [46.230.30.20]
According to a 'Received:' trace, the message originated at: [46.230.30.20],
Unknown unknown [46.230.30.20] Authenticated sender:
[EMAIL="ebay@computer-internet.net"]ebay@computer-internet.net[/EMAIL]
Dazu im mail.log:
Code:
Nov 11 02:59:26 debian postfix/qmgr[20339]: DDF6214E4BD: removed
Nov 11 02:59:26 debian postfix/qmgr[20339]: 390B914E4BE: from=<[EMAIL="vibkikv@superemail.com"]vibkikv@superemail.com[/EMAIL]>, size=54459, nrcpt=1 (queue active)
Nov 11 02:59:27 debian postfix/smtpd[25109]: connect from localhost[127.0.0.1]
Nov 11 02:59:27 debian postfix/smtpd[25109]: 037EA14E4BD: client=localhost[127.0.0.1]
Nov 11 02:59:27 debian postfix/cleanup[24901]: 037EA14E4BD: message-id=<[EMAIL="VS51SniPTtRM54@debian.local"]VS51SniPTtRM54@debian.local[/EMAIL]>
Nov 11 02:59:27 debian postfix/qmgr[20339]: 037EA14E4BD: from=<>, size=4713, nrcpt=1 (queue active)
Nov 11 02:59:27 debian amavis[25652]: (25652-17) Blocked BANNED (.exe,.exe-ms,mynicefoto.scr), [46.230.30.20] [46.230.30.20] <[EMAIL="vibkikv@superemail.com"]vibkikv@superemail.com[/EMAIL]> -> <[EMAIL="misshunbun@hotmail.com"]misshunbun@hotmail.com[/EMAIL]>, quarantine: 5/banned-51SniPTtRM54, Message-ID: <09C216449797475D89FBBF8F5D685B39@snoh>, mail_id: 51SniPTtRM54, Hits: -, size: 54459, 314 ms
Log-Auszug messages:
Code:
Nov 11 10:20:01 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 10:20:01 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 10:25:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 10:25:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 10:30:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 10:30:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 10:35:04 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 10:35:04 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 10:40:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 10:40:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 10:45:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 10:45:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 10:50:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 10:50:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 10:55:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 10:55:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:00:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:00:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:05:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:05:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:10:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:25:02 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:30:05 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:30:05 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:35:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:35:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:40:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:40:03 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:45:11 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:45:11 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:50:07 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:50:07 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 11:55:11 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 11:55:11 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 12:00:15 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 12:00:15 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 12:05:22 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 12:05:22 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Nov 11 12:10:04 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] New connection from 127.0.0.1
Nov 11 12:10:04 debian pure-ftpd: ([EMAIL="?@127.0.0.1"]?@127.0.0.1[/EMAIL]) [INFO] Logout.
Weitere Logdateien und Configs reiche ich auf Anfrage gern nach. Interessanterweise finde ich auf die oben gepostete Beispielmail keine Einträge im mail.log dass an diese Adresse zuvor etwas heraus gesandt wurde. Allerdings tauchen einige SASL-Fehler auf, wonach jemand versucht sich zu athorisieren. Auch tauchen Mails auf, die angeblich mit authorisiertem Mailuser nach draussen schicken. Das Passwort habe ich vor 2 Tagen geändert, wie kann das sein?