Spamattacke von apache- schnell entdeckt, Port 25 nach aussen dicht gemacht

  • Hallo,
    offensichtlich wurde mein apache als Open Proxy missbraucht und hat es geschafft den Postfix als open relay zu verwenden.


    Was anderes fällt uns gerade nicht ein.
    Kurz nachdem die Spamattacke bekannt wurde haben wir den Mailserver ausgestellt udn die Suche begonnen.
    Die logfiles verrieten, dass (kurzzeitig) ein open relay in verbindung mit einem open proxy enstanden sein könnte.


    Andere Details haben wir nicht gefunden.
    Diese Angaben habe ich von meinem Kollegen, der sich mit der Administration sehr gut auskennt, im Allgemeinen. Nun stehen wir aber aufm Schlauch, da eine Schädlingssuche bisher erfolglos blieb.


    Wir fragen uns aber nun, ob überhaupt und wenn, wie, das denn eigentlich sein kann.
    Denn mod_proxy ist nicht installiert.
    Zur Zeit ist OUTBOUND Port 25 gesperrt.
    Gibt es die Möglichkeit mit der VCP Firewall den Apache davon abzuhalten Port 25 zu verwenden?


    Mein System:
    Debian Squeeze, uptodate.
    Froxlor, uptodate.
    Alles was an Scripten (CMS, Blogs, etc.) läuft ist auch uptodate.


    MfG
    Andre

  • offensichtlich wurde mein apache als Open Proxy missbraucht und hat es geschafft den Postfix als open relay zu verwenden.


    Laut der Dokumentation von mod_proxy - Apache HTTP Server spricht das Proxy-Modul vom Apache nicht das Protokoll SMTP. Aber vielleicht gibt es ja einen Trick dafür. btw, welche Blacklisten hast du geschafft? ;)


    Die logfiles verrieten, dass (kurzzeitig) ein open relay in verbindung mit einem open proxy enstanden sein könnte.


    Logfiles sind eindeutig, da gibt es kein könnten. Aber in den Logfiles könnte drin stehen, welche Benutzer/Skript die Mails beim Postfix abgeliefert haben. Zusätzlich wird das ja netterweise im Header der Mail vermerkt, wer (Benutzer/Skript) der eigentliche Absender ist.


    Gibt es die Möglichkeit mit der VCP Firewall den Apache davon abzuhalten Port 25 zu verwenden?.


    iptables kann ein owner-match, das filtert dann auf der uid mit. iptables kann eigentlich sehr viel, aber das Interface vservercontrolpanel ist schlicht gehalten ;)
    Generell sehe ich das Feature aber wie Weihwasser an. Such lieber die Quelle des Übels. Logging zu aktivieren sollte ja kein Problem sein.

    "Security is like an onion - the more you dig in the more you want to cry"

    Einmal editiert, zuletzt von vmk ()