Spammails werden vom Server versendet.

Sunnboy96 · 11. November 2011

Guten Tag,

Ich habe ebend von Netcup erfahren das von meinem Server Spammails versendet werden.

Mit diesem Inhalt

Zitat

Sehr geehrter PACKSTATION-Kunde,

Wir moechten Sie darauf hinweisen, dass
sich eine E-Mail im Umlauf
befindet,
die Sie Ueber eine angeblich
bevorstehende DHL-Paketlieferung
benachrichtigt
und in der Sie
aufgefordert werden, den E-Mail Anhang zu Oeffnen,
damit das Paket zugestellt
werden kann.
Diese E-Mail ist ein Betrugsversuch - der Anhang enthaelt
einen
Computervirus!
Wir entschuldigen uns fuer etwaige Unannehmlichkeiten
und bitten Sie,
sich im Folgenden zu verifizieren
unter:
[9]http://Packetstation.biz
Die Verifizierung ist notwendig, um
sicher zu stellen, dass ihr
Kundenkonto noch in ihrem Besitz
ist.

Sollten Sie sich nicht innerhalb 7 Tagen verifizieren, wird
ihr
Kundenkonto zu ihrer eigenen Sicherheit erst einmal deaktiviert
um
Missbrauch damit vorzubeugen und zu unterbinden.

Viel Spass mit
PACKSTATION wuenscht Ihnen

Ihr PACKSTATION Team

Alles anzeigen

Nun habe ich gerade in der Prozessliste lauter Prozesse vom Mailserver gesehen.

Wie kann ich das nun am Sichersten unterbinden und dafür sorgen das sowas nicht nochmal passiert?

Liebe Grüße Sunny

Sunnboy96 · 11. November 2011

Mir fällt gerade auch noch auf das ein Prozesses namens proxymap läuft.

Sebastian3196 · 11. November 2011

Nach solchen Sachen am besten eine Neuinstallation des Servers machen, so ist man auf der sicheren Seite das der Angreifer wirklich keine Mails mehr verschicken kann. (Evtl auch eine PHP Sicherheitslücke auf einer deiner Webseiten bei der der Angreifer ganz leicht Schadcode ausführen könnte ? (Auch Mails verschicken!))

Sunnboy96 · 11. November 2011

Wie prüfe ich sowas am besten?

Eine Neuinstallation ist ziemlich umständlich..... (Da auch große Daten auf dem Server gelagert werden)

Muss ich davon ausgehen das der Angriff auch direkt auf den Server geht? Sprich der Hacker Zugriff aufm kompletten Server hat?

Es laufen um die 20 Seite auf meinem Server da ich nebenbei auch noch ein kleines Sponsoring betreibe.

Wenn ich jetzt auch zum Beispiel auf der Blacklist von Telekom oder sonstigen Anbietern gekommen bin wie komm ich da am besten runter? und woher weiß ich das ich auf einer Blacklist bin?

Sebastian3196 · 11. November 2011

Aufjedefälle würde ich zumindest alle Passwörter austauschen, alles nochmal durchchecken etc. Am besten wie gesagt alle wichtigen Daten in /backup legen, neuinstallieren und dann wieder zurückschieben. Du bist jedoch nicht der einzigste. Momentan gibt es seit kurzem auch massive Angriffe auf meinen Mailserver. Momentan jeden Tag mindestens einen hartneckigen Angreifer

Nachtrag: Schonmal die mail.log gecheckt ?

Sunnboy96 · 11. November 2011

Hier kommt mail.warn

Zitat

Nov 11 13:36:20 v220110589455511 postfix/qmgr[31083]: warning: this may slow down other mail deliveries
Nov 11 13:36:20 v220110589455511 postfix/qmgr[31083]: warning: you may need a separate master.cf transport for 4.7.0 delivery temporarily suspended: host mx1.mail.eu.yahoo.com[77.238.177.9] refused to talk to me: 421 4.7.0 [TS01] Messages from 46.4.164.2 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
Nov 11 13:36:20 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 13:36:20 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 13:36:20 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 13:36:55 v220110589455511 postfix/smtp[3114]: warning: no MX host for Releasetermine.de has a valid address record
Nov 11 13:39:43 v220110589455511 postfix/smtp[9140]: warning: no MX host for onine.de has a valid address record
Nov 11 13:40:17 v220110589455511 postfix/qmgr[31083]: warning: mail for web.de is using up 7174 of 14147 active queue entries
Nov 11 13:40:17 v220110589455511 postfix/qmgr[31083]: warning: this may slow down other mail deliveries
Nov 11 13:40:17 v220110589455511 postfix/qmgr[31083]: warning: you may need to increase the main.cf smtp_destination_concurrency_limit from 20
Nov 11 13:40:17 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 13:40:17 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 13:40:17 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 13:45:15 v220110589455511 postfix/smtp[5351]: warning: no MX host for weareback.de has a valid address record
Nov 11 13:45:17 v220110589455511 postfix/qmgr[31083]: warning: mail for web.de is using up 6788 of 12598 active queue entries
Nov 11 13:45:17 v220110589455511 postfix/qmgr[31083]: warning: this may slow down other mail deliveries
Nov 11 13:45:17 v220110589455511 postfix/qmgr[31083]: warning: you may need to increase the main.cf smtp_destination_concurrency_limit from 20
Nov 11 13:45:17 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 13:45:17 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 13:45:17 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 13:50:17 v220110589455511 postfix/qmgr[31083]: warning: mail for web.de is using up 6395 of 11196 active queue entries
Nov 11 13:50:17 v220110589455511 postfix/qmgr[31083]: warning: this may slow down other mail deliveries
Nov 11 13:50:17 v220110589455511 postfix/qmgr[31083]: warning: you may need to increase the main.cf smtp_destination_concurrency_limit from 20
Nov 11 13:50:17 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 13:50:17 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 13:50:17 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 13:55:17 v220110589455511 postfix/qmgr[31083]: warning: mail for web.de is using up 6012 of 8583 active queue entries
Nov 11 13:55:17 v220110589455511 postfix/qmgr[31083]: warning: this may slow down other mail deliveries
Nov 11 13:55:17 v220110589455511 postfix/qmgr[31083]: warning: you may need to increase the main.cf smtp_destination_concurrency_limit from 20
Nov 11 13:55:17 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 13:55:17 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 13:55:17 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 13:57:26 v220110589455511 postfix/smtpd[10178]: warning: 85.95.226.106: hostname ip226.106.onofis.com verification failed: Name or service not known
Nov 11 14:00:51 v220110589455511 postfix/smtpd[8106]: warning: 85.95.226.106: hostname ip226.106.onofis.com verification failed: Name or service not known
Nov 11 14:05:17 v220110589455511 postfix/qmgr[31083]: warning: mail for web.de is using up 5233 of 6614 active queue entries
Nov 11 14:05:17 v220110589455511 postfix/qmgr[31083]: warning: this may slow down other mail deliveries
Nov 11 14:05:17 v220110589455511 postfix/qmgr[31083]: warning: you may need to increase the main.cf smtp_destination_concurrency_limit from 20
Nov 11 14:05:17 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 14:05:17 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 14:05:17 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 14:10:17 v220110589455511 postfix/qmgr[31083]: warning: mail for web.de is using up 4869 of 5871 active queue entries
Nov 11 14:10:17 v220110589455511 postfix/qmgr[31083]: warning: this may slow down other mail deliveries
Nov 11 14:10:17 v220110589455511 postfix/qmgr[31083]: warning: you may need to increase the main.cf smtp_destination_concurrency_limit from 20
Nov 11 14:10:17 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 14:10:17 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 14:10:17 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 14:15:18 v220110589455511 postfix/qmgr[31083]: warning: mail for web.de is using up 4483 of 5194 active queue entries
Nov 11 14:15:18 v220110589455511 postfix/qmgr[31083]: warning: this may slow down other mail deliveries
Nov 11 14:15:18 v220110589455511 postfix/qmgr[31083]: warning: you may need to increase the main.cf smtp_destination_concurrency_limit from 20
Nov 11 14:15:18 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 14:15:18 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 14:15:18 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 14:20:18 v220110589455511 postfix/qmgr[31083]: warning: mail for web.de is using up 4089 of 4515 active queue entries
Nov 11 14:20:18 v220110589455511 postfix/qmgr[31083]: warning: you may need to increase the main.cf smtp_destination_concurrency_limit from 20
Nov 11 14:20:18 v220110589455511 postfix/qmgr[31083]: warning: please avoid flushing the whole queue when you have
Nov 11 14:20:18 v220110589455511 postfix/qmgr[31083]: warning: lots of deferred mail, that is bad for performance
Nov 11 14:20:18 v220110589455511 postfix/qmgr[31083]: warning: to turn off these warnings specify: qmgr_clog_warn_time = 0
Nov 11 15:02:48 v220110589455511 postfix/smtpd[28495]: warning: 85.95.226.106: hostname ip226.106.onofis.com verification failed: Name or service not known
Nov 11 15:10:41 v220110589455511 postfix/smtpd[14923]: warning: 85.95.226.106: hostname ip226.106.onofis.com verification failed: Name or service not known
Nov 11 15:23:53 v220110589455511 postfix/smtpd[26909]: warning: 212.1.39.169: address not listed for hostname mail.burgerking.de
Nov 11 16:11:55 v220110589455511 postfix/smtpd[15607]: warning: 85.95.226.106: hostname ip226.106.onofis.com verification failed: Name or service not known
Nov 11 16:20:36 v220110589455511 postfix/smtpd[31493]: warning: 85.95.226.106: hostname ip226.106.onofis.com verification failed: Name or service not known
Nov 11 16:41:37 v220110589455511 postfix/master[31075]: warning: process /usr/lib/postfix/proxymap pid 9833 killed by signal 15
Nov 11 16:49:30 v220110589455511 dovecot: dovecot: Killed with signal 15 (by pid=13187 uid=0 code=kill)
Nov 11 17:05:57 v220110589455511 postfix/master[15227]: warning: process /usr/lib/postfix/bounce pid 22404 killed by signal 15
Nov 11 17:07:43 v220110589455511 postfix/sendmail[29596]: fatal: display queue mode requires no recipient

Alles anzeigen

Die anderen sind so groß das es seine Zeit dauert die runterzuladen

Sebastian3196 · 11. November 2011

Die Mail.log wäre da aber deffinitiv wichtiger. Kannst sie mir ja mal per Email schicken (wenn du willst). Meine Emailadresse geb ich dir via PN-Anfrage.

Dragon · 11. November 2011

Ein Auszug tut es ja auch, die gepostete Datei hilft nicht, da die Mails ja versendet werden und keine Warnung erzeugen...

Sunnboy96 · 11. November 2011

Mein Server schafft es nicht mal die Datei per nano zu öffen, da der sich dann immer aufhängt.

Sebastian3196 · 11. November 2011

Dann log dich über den FTP ein -> geh in das Verzeichniss -> Lad dir die Datei runter und öffne Sie dann

Dragon · 11. November 2011

tail könnte helfen: http://de.wikipedia.org/wiki/Tail_(Unix)

EDIT: Die Link-Erkennung mag meinen Link nicht...

perryflynn · 11. November 2011

Sorry euch die Illusionen zu nehmen, aber: Du kommt nicht drumherum dein Server zu zu installieren!

Du wirst niemals den Server wieder so sauber bekommen, dass man 100% sicher gehen kann.
Das sieht man schon allein daran das Du nichtmal große Logfiles öffnen kannst.

//edit
Ich würde in der Firewall mal alles außer SSH nach außen und innen sperren.
Ein "ich bin dabei das zu analysieren" verschont dich nicht vor der DNSBL. Selbst große Unternehmen haben Schwierigkeiten da wieder runter zu kommen.

Dragon · 11. November 2011

Trotzdem ist es auf jeden Fall sinnvoll die Ursache zu suchen und hoffentlich zu finden...

Sunnboy96 · 11. November 2011

OK. Dann werde ich denn wohl neu installieren müssen.

TPIT-Service · 12. November 2011

Vielleicht hilft Dir das hier auch bei der Analyse weiter:

Mail relay testing

Sunnboy96 · 12. November 2011

Server ist neuinstalliert, und alles läuft wieder Danke!

TPIT-Service · 13. November 2011

Wenn das Spatzennest auch auf dem Server liegt, solltest Du vielleicht mal kontrollieren, ob das Joomla wirklich abgesichert ist.