Spam Mail Abuse- Sperrung

  • Hallo Zusammen,
    Jetzt nach den Feiertagen und der ganzen Verwandten Besucher-ei wollte ich mal wieder Emails nachprüfen und auf den Teamspeak rum gammeln.
    Leider musste ich feststellen das ich eine Abuse Email von Netcup bekommen habe mit mehreren Meldungen von Spam Mails.


    Bin gerade dabei alles Wichtige zu Backupen und die Logs am Runterladen, Kaffee ist auch schonmal Warm wird heute nen Schön langer Tag.


    Da mir sowas noch nie in den letzten Jahren passiert ist habe ich auch nicht Al zuviel Erfahrung, bin also soweit für jede hilfestellung bzw Tip offen :)


    Ich werde wohl mal alle 20-30min mal vorbei schauen :)


    Ich hoffe mal das ich heute Erfolg habe und das "übel" beseitigen kann.


    PS: Server befindet sich schon im "Rettungsmodus"


    ich freue mich auf eure Antworten.

  • Wenn es Spammails sind, sollte dir doch die /var/log/mail.log helfen, welcher account gehackt wurde. Von dort aus solltest du dann schauen, was das Problem war: War bruteforce erfolgreich?
    => neues, längeres Passwort + Fail2Ban


    War Postfix falsch konfiguriert?
    => richte es neu ein und mach z.B. einen Relaytest...


    Findet sich dort nicht wirklich was, dann schau mal in der Apache access log... vielleicht ist ein Skript unsicher.


    Generell empfiehlt es sich, das system von grund auf neu zu installieren. Und mailverschickende Skripte dann erstmal zu deaktivieren.

  • danke schon mal für eine rückmeldung.


    mail log bin ich schon am durch gucken der ist 1.6GB groß von nur den letzen 3 tagen...
    wurde alles über www-data versendet account soweit alle sicher
    Fremde Scripte habe ich bis jetzt noch nicht gefunden
    das einzige was genutzt werden könnte war "joomla"

  • @Mainborder
    Jup aber wen man nen Template dafür hat was nicht "Asche" gekostet hat bleibt man noch erstmal dabei.
    Soweit sind aber in der letzten Zeit keine neuen Plugins dazugekommen.
    Nach der Neuinstallation wohl mal auf wp wechseln.


    exii88
    Welche möchteste den haben

  • Inhalt der Spam Mail -> http://pastebin.com/dJX8LAqk


    Mail.log

    Code
    Dec 28 04:44:37 gfrost postfix/qmgr[10064]: 378AD6F8FDE1: from=<www-data@v2201112109977020.yourvserver.net>, size=10702, nrcpt=1 (queue active)
    Dec 28 04:44:37 gfrost postfix/qmgr[10064]: 378AD6F8FDE1: to=<xxxxxxxxx@hotmail.com>, relay=none, delay=19783, delays=19783/0/0/0, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx2.hotmail.com[65.55.37.120] while sending RCPT TO)
    Dec 28 04:44:37 gfrost postfix/qmgr[10064]: 362866F9BBA0: from=<www-data@v2201112109977020.yourvserver.net>, size=10691, nrcpt=1 (queue active)
    Dec 28 04:44:37 gfrost postfix/qmgr[10064]: 362866F9BBA0: to=<xxxxxxxxx@hotmail.com>, relay=none, delay=19727, delays=19727/0/0/0, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx2.hotmail.com[65.55.37.120] while sending RCPT TO)
    Dec 28 04:44:37 gfrost postfix/qmgr[10064]: 3650071E62F6: from=<www-data@v2201112109977020.yourvserver.net>, size=10695, nrcpt=1 (queue active)
    Dec 28 04:44:37 gfrost postfix/qmgr[10064]: 3650071E62F6: to=<xxxxxxxxx@yahoo.com>, relay=none, delay=19722, delays=19722/0/0/0, dsn=4.7.0, status=deferred (delivery temporarily suspended: host mta6.am0.yahoodns.net[74.6.136.244] refused to talk to me: 421 4.7.0 [TS01] Messages from 46.38.236.64 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)


    abuse report

  • Bin noch am durch gucken aber bei der masse an Mails 6stück die Sekunde über nen längeren Zeitraum... gibt es eine Riesen Zeitspanne und bis jetzt noch nix gefunden was verdächtig aussieht




    Edit: Jup war ein Joomla plugin Fehler

  • Habe jetzt nochmal genauer geguckt und die richtige File gefunden
    Zwar ist der server wieder neu aufgesetzt dennoch würde ich gern Wissen wie die dort hingekommen ist.
    Es war IPB 3.3.2


    InvisionPowerBoard/hook/mail/send.pl
    InvisionPowerBoard/hook/mail/list (43k zeilen ea zeile 1 Email)
    InvisionPowerBoard/hook/mail/mail
    InvisionPowerBoard/hook/mail/message (die mail an sich)



    send.pl

  • Für InvisionPowerBoard Versionen <= 3.3.4 gibt es eine Sicherheitslücke (CVE-2012-5692) die es erlaubt, unerlaubten Code auszuführen. Voraussetzung für dieses Exploit ist zwar, dass short_open_tag auf dem PHP-Server aktiviert wurde, dann hat der Angreifer aber freies Spiel und kann zum Beispiel ein Shell-Script oder eben einen Spam-Mail-Verteiler hochladen.


    Gruß,
    Pit