19
Server versendet SPAM
Hallo,
ich habe folgendes Problem: unser ISP hat mich kontaktiert, dass anscheinend von einer unserer öffentlichen IP (80.90.100.x) SPAM E-Mails versendet werden. Hinter dieser IP (NAT) steht ein Ubuntu Server 14.04 LTS mit Apache, IMAP, POP3 und SMTP (Ports inbound: 80, 443, 110, 143, 990, 993, 995). Der SMTP sendet jedoch über einen Relayhost (Mailcleaner) mit einer anderen öffentlichen IP (80.90.200.y). Der MX-Record der betreffenden Domain lautet auf 80.90.200.y .
Die betreffenden E-Mails die anscheinend versendet wurden (unser ISP stellte mir die E-Mails zur Verfügung) finden sich weder im syslog, noch in /var/log/mail.log.
Ich dachte an ein fehlerhaftes PHP-Skript aber auch im betreffenen PHP Mail Log befinden sich keine Einträge zu diesen E-Mails.
Egal wie ich versuche ein E-Mail vom Server zu versenden (sendmail, mail, ...) es wird immer via Postfix über den Relayhost gesendet und nicht direkt.
Nun weiß ich nicht mehr weiter.
Gibt es eine Möglichkeit, dass ein Skript nicht via Postfix (welcher über den Relayhost sendet) sondern direkt ein E-Mail sendet?
Freundliche Grüße und Danke schonmal
taschaue
ich habe folgendes Problem: unser ISP hat mich kontaktiert, dass anscheinend von einer unserer öffentlichen IP (80.90.100.x) SPAM E-Mails versendet werden. Hinter dieser IP (NAT) steht ein Ubuntu Server 14.04 LTS mit Apache, IMAP, POP3 und SMTP (Ports inbound: 80, 443, 110, 143, 990, 993, 995). Der SMTP sendet jedoch über einen Relayhost (Mailcleaner) mit einer anderen öffentlichen IP (80.90.200.y). Der MX-Record der betreffenden Domain lautet auf 80.90.200.y .
Die betreffenden E-Mails die anscheinend versendet wurden (unser ISP stellte mir die E-Mails zur Verfügung) finden sich weder im syslog, noch in /var/log/mail.log.
Ich dachte an ein fehlerhaftes PHP-Skript aber auch im betreffenen PHP Mail Log befinden sich keine Einträge zu diesen E-Mails.
Egal wie ich versuche ein E-Mail vom Server zu versenden (sendmail, mail, ...) es wird immer via Postfix über den Relayhost gesendet und nicht direkt.
Nun weiß ich nicht mehr weiter.
Gibt es eine Möglichkeit, dass ein Skript nicht via Postfix (welcher über den Relayhost sendet) sondern direkt ein E-Mail sendet?
Freundliche Grüße und Danke schonmal
taschaue
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 308350
Url: https://administrator.de/contentid/308350
Printed on: April 18, 2024 at 16:04 o'clock
19 Comments
Latest comment
Schau dir mal die Spammail genauer an besonders den Header der meist Ausgeblendet ist.
Dort steht der Spamserver über welche Server die Mail gegangen ist bis die jemand erreicht hat.
Scheinbar hast du nur die Absender IP vom Spamversender jedoch ist dies auch wirklich der Server den du hast oder ein anderer PC der den Spam verschickt?
Es kann auch auf euren Server eine Fremdsoftware laufen die sich mit fremden Mailservern verbindet und direkt den Spam verschickt ohne über euren Mailserver zu gehen.
Ist es ein Server/Anschluss bei euch in der Firma/Privat oder im Rechenzentrum?
Wenn es Lokal ist kannst du auch mal den Netzwerkverkehr mitschneiden und schauen wer da Mails verschickt ect.
Jedoch sollte alle PCs geprüft werden auf irgendwelche Änderungen da ihr scheinbar ungebetene Gäste habt und nicht mitbekommen habt wie die reingekommen sind.
Dazu können die auch schon Monate drin sein wodurch diese auch auf Backups sind mit deren Zugänge.
In der Spammail steht das Versende Datum mit Zeit daran kannst du ja in den Logs schauen ob davor und während der Zeit Auffälligkeiten sind je nach Einrichtung des Servers.
Aber bei Eindringlinge sollte zumindes der Zugang zum Internet gekappt werde um weiteres zu verhindern sowie Image Sektoren zur späteren Analyse sowie alle Aktiven Prozesse/Dateien Auflisten lassen.
Beachte jedoch das des System Infiziert wurde wodurch die Anzeigetools ggfs verändert/ersetzt worden sind und daher die Bösen Sachen nicht anzeigen werden.
Dort steht der Spamserver über welche Server die Mail gegangen ist bis die jemand erreicht hat.
Scheinbar hast du nur die Absender IP vom Spamversender jedoch ist dies auch wirklich der Server den du hast oder ein anderer PC der den Spam verschickt?
Es kann auch auf euren Server eine Fremdsoftware laufen die sich mit fremden Mailservern verbindet und direkt den Spam verschickt ohne über euren Mailserver zu gehen.
Ist es ein Server/Anschluss bei euch in der Firma/Privat oder im Rechenzentrum?
Wenn es Lokal ist kannst du auch mal den Netzwerkverkehr mitschneiden und schauen wer da Mails verschickt ect.
Jedoch sollte alle PCs geprüft werden auf irgendwelche Änderungen da ihr scheinbar ungebetene Gäste habt und nicht mitbekommen habt wie die reingekommen sind.
Dazu können die auch schon Monate drin sein wodurch diese auch auf Backups sind mit deren Zugänge.
In der Spammail steht das Versende Datum mit Zeit daran kannst du ja in den Logs schauen ob davor und während der Zeit Auffälligkeiten sind je nach Einrichtung des Servers.
Aber bei Eindringlinge sollte zumindes der Zugang zum Internet gekappt werde um weiteres zu verhindern sowie Image Sektoren zur späteren Analyse sowie alle Aktiven Prozesse/Dateien Auflisten lassen.
Beachte jedoch das des System Infiziert wurde wodurch die Anzeigetools ggfs verändert/ersetzt worden sind und daher die Bösen Sachen nicht anzeigen werden.
Hallo,
Von genau dieser?
Was steht in den E-Mail header drin die dein ISP bekommen hat?
Wer oder welches Gerät kann über diese IP versenden mittels Port 25 (SMTP), es muss ja nicht der Mailserver sein.
Wireshark mal mitlaufen lassen um eventuel zu sehen wer Intern dort Mails versendet aber sich nicht zu erkennen gibt?
Wenn nur ein MailServer dran hängt, dürfte der Kompromitiert worden sein. Port 25 an der firewall ausgehend dichtmachen, mailServer neu aufsetzen.
Gruß,
Peter
Von genau dieser?
Was steht in den E-Mail header drin die dein ISP bekommen hat?
Wer oder welches Gerät kann über diese IP versenden mittels Port 25 (SMTP), es muss ja nicht der Mailserver sein.
Wireshark mal mitlaufen lassen um eventuel zu sehen wer Intern dort Mails versendet aber sich nicht zu erkennen gibt?
Wenn nur ein MailServer dran hängt, dürfte der Kompromitiert worden sein. Port 25 an der firewall ausgehend dichtmachen, mailServer neu aufsetzen.
Gibt es eine Möglichkeit, dass ein Skript nicht via Postfix (welcher über den Relayhost sendet) sondern direkt ein E-Mail sendet?
Klar, macht jeder SPAMmer, Trojaner, Virus, PUP usw. Nenn die wie du möchtest, jedes Programm oder Skript kann über Port 25 versenden wenn der Programmierer es nur will.Gruß,
Peter
Ich hab den Header schon geprüft.
Es steht die IP des Servers (80.90.100.x) drinnen.
Über diese IP kann nur dieser Server ins Internet.
D.h. woll, dass ich den Server neu aufsetzen muss ... Ich hab das schon befürchtet.
Es steht die IP des Servers (80.90.100.x) drinnen.
Über diese IP kann nur dieser Server ins Internet.
D.h. woll, dass ich den Server neu aufsetzen muss ... Ich hab das schon befürchtet.
Im Header steht die IP dieses Servers.
Server steht in der DMZ unserer Firma.
Server steht in der DMZ unserer Firma.
Hallo,
es könnte auch ein Shell, PHP oder sonstiges Skript sein welches direkt über SMTP Emails versendet.
Prüfe mal das Protokoll des Webservers.
Stefan
es könnte auch ein Shell, PHP oder sonstiges Skript sein welches direkt über SMTP Emails versendet.
Prüfe mal das Protokoll des Webservers.
Stefan
Hallo, sicher das die IP auf dem Server liegt und nicht auf einer vorgelagerten FW?
Du hast recht. Die IP liegt auf der Firewall und wird via Port Forwarding auf eine interne IP weitergeleitet.
Hallo,
hab das bereits gestern getan:
die einzige Zeilen, die zur betreffenden Zeit:
Das E-Mail hat im Header 25.6.2016 18:13:46 +0000.
hab das bereits gestern getan:
die einzige Zeilen, die zur betreffenden Zeit:
10.150.162.28 - - [25/Jun/2016:20:13:01 +0200] "GET /swm/crons.php HTTP/1.1" 200 1 "-" "Wget/1.13.4 (linux-gnu)"
180.76.15.21 - - [25/Jun/2016:20:13:06 +0200] "GET / HTTP/1.1" 302 0 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
180.76.15.11 - - [25/Jun/2016:20:13:07 +0200] "GET / HTTP/1.1" 302 0 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
69.162.124.230 - - [25/Jun/2016:20:13:59 +0200] "HEAD / HTTP/1.1" 302 0 "-" "Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/)" 
Zitat von @taschaue:
Die betreffenden E-Mails die anscheinend versendet wurden (unser ISP stellte mir die E-Mails zur Verfügung) finden sich weder im syslog, noch in /var/log/mail.log.
Ich dachte an ein fehlerhaftes PHP-Skript aber auch im betreffenen PHP Mail Log befinden sich keine Einträge zu diesen E-Mails.
Die betreffenden E-Mails die anscheinend versendet wurden (unser ISP stellte mir die E-Mails zur Verfügung) finden sich weder im syslog, noch in /var/log/mail.log.
Ich dachte an ein fehlerhaftes PHP-Skript aber auch im betreffenen PHP Mail Log befinden sich keine Einträge zu diesen E-Mails.
Moin,
Wenn die SPAM tatsächlich von eurem Server kommen sollte (steht der eigentlich bei Cap Gemini oder bei euch?) wirst Du in den regulären logs nichts finden, weil die Spammer drauf achten, nicht aufzufallen. Die werden auch nicht Eure normalen Trampelpfade für SMTP benutzen.
Du kannst auf dem Server iptables-Regeln aufstellen, die bei SMTP-Traffic triggern und das ins log schreiben. Dazu machst Du einen watchdog, der auf diese log triggert prüft, wer die verbindung initiiert. Dann solltest Du den schuldigen prozess entdecken und festnageln können.
lks
Hallo,
der Server steht bei uns im Haus.
Bzgl. iptables: das werde ich versuchen.
der Server steht bei uns im Haus.
Bzgl. iptables: das werde ich versuchen.
Gut, also kann es sein, dass jegliches Gerät hinter der Firewall, inkl. der Firewall die Emails verschickt. Zumindest im Rahmen dessen was die Firewall von innen nach aussen zulässt.
Hier würde ich als erstes ansetzen und schauen woher der SMTP Traffic tatsächlich kommt.
Hier würde ich als erstes ansetzen und schauen woher der SMTP Traffic tatsächlich kommt.
Dann könntest Du auch eingah mal einen Ethernet-TAP zwischen Server und Firewall einschleifen, und damit den smtp-Traffic mitsniffen, der nicht zu Eurem smarthost geht.
lks
Hallo,
also wenn über die IP der Firewall noch mehr Server/Workstations ins internet können und es keine Regeln gibt, wer SMTP Verbindungen aufbauen kann und wer nicht, kann es jeder sein.
Wenn die Switche bei euch Portmirroring beherschen, kannst Du einen sauberen Server zwischen schalten und ein Portmirroring auf den machen und auf dem Server dannz.B. ntop oder Wireshark laufenlassen.
Vorher Betirbsrat/Geschäftsleitung fragen und sagen warum das sein muss.
Dann hast Du schnell wer was für Verbindungen aufbaut.
Was steht in der cron.php so drin? ist alles gewollt?
Gruß
Chonta
also wenn über die IP der Firewall noch mehr Server/Workstations ins internet können und es keine Regeln gibt, wer SMTP Verbindungen aufbauen kann und wer nicht, kann es jeder sein.
Wenn die Switche bei euch Portmirroring beherschen, kannst Du einen sauberen Server zwischen schalten und ein Portmirroring auf den machen und auf dem Server dannz.B. ntop oder Wireshark laufenlassen.
Vorher Betirbsrat/Geschäftsleitung fragen und sagen warum das sein muss.
Dann hast Du schnell wer was für Verbindungen aufbaut.
Was steht in der cron.php so drin? ist alles gewollt?
Gruß
Chonta
Also kann jeder PC der an der Firewall/Router eures Internetzuganges den Spam versenden.
Es muss nicht von euren Mailserver kommen sondern kann zb der PC vom Chef sein der sich ein Schadprogramm zb per Flashscript zugezogen hat...
Jedes Gerät das an dem Internetzugang hängt kann den Spam versendet haben.
Es muss nicht von euren Mailserver kommen sondern kann zb der PC vom Chef sein der sich ein Schadprogramm zb per Flashscript zugezogen hat...
Jedes Gerät das an dem Internetzugang hängt kann den Spam versendet haben.
Zitat von @kaiand1:
Also kann jeder PC der an der Firewall/Router eures Internetzuganges den Spam versenden.
Also kann jeder PC der an der Firewall/Router eures Internetzuganges den Spam versenden.
Das ist nicht gesagt, dazu müßte man wissen, ob die IP-Adresse per SNAT direkt dem Mail-/Webserver zugeordnet ist oder per DNAT und Portweiterleitung allen zur Verfügung steht. Wenn das eine ordentich gemachte DMZ ist, ist es nur der entsprechende Server.
lks
Die IP ist per source-nat an den Server gebunden.
Für Internetzugang und andere Server werden andere externe IPs verwendet.
Für Internetzugang und andere Server werden andere externe IPs verwendet.
Hallo,
dann verbiete für alle Benutzer außer root ausgehende NEUE ausgehende VErbindungen mit IP-Tables.
SMTP darf nur der Benutzer Postfix und ausgehend auch nur zu eurem Smarthost.
In den Mailheadern die Du vom ISP bekommen hast, kannst du die ggf. in anonnymisierter form posten?
Kann auch sein das der Server übe rnicht smtp die Mails an einen anderen Server versendet der die dan weiterverteilt, aber Dein Server als Ursprungsserver drin steht.
Das Problem ist, sollte der Server kompromitiert sein, kannst Du auch den Komandozeilentools nicht umbedingt vertrauen.
Gruß
Chonta
dann verbiete für alle Benutzer außer root ausgehende NEUE ausgehende VErbindungen mit IP-Tables.
SMTP darf nur der Benutzer Postfix und ausgehend auch nur zu eurem Smarthost.
In den Mailheadern die Du vom ISP bekommen hast, kannst du die ggf. in anonnymisierter form posten?
Kann auch sein das der Server übe rnicht smtp die Mails an einen anderen Server versendet der die dan weiterverteilt, aber Dein Server als Ursprungsserver drin steht.
Das Problem ist, sollte der Server kompromitiert sein, kannst Du auch den Komandozeilentools nicht umbedingt vertrauen.
Gruß
Chonta
Hallo,
hier der Mailheader:
hier der Mailheader:
From: Danielle Root <jeri@xyz.com>
To: "redacted@aol.com" <redacted@aol.com>
Subject: Check for seductive partners in your area 724.240.0290
Thread-Topic: Check for seductive partners in your area 724.240.0290
Thread-Index: AQHRzxwD/KsGFNG2b0mV8ufUp4626A==
Date: Sat, 25 Jun 2016 22:25:34 +0000
Message-ID: <20160625222534.42026.qmail@holderrt.mail.mydomain.biz>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-aol-ip: [SERVER-IP]
authentication-results: mx.aol.com; spf=softfail (aol.com: the domain
maruszewska.com reports [SERVER-IP] should not be sending mail using it's
domain name, but is not forbidden from doing so.)
smtp.mailfrom=xyz.com;
x-aol-sid: 3039ac1b0256576eaedf63a6
x-aol-global-disposition: G
Content-Type: multipart/alternative;
boundary="_000_2016062522253442026qmailholderrtmailmydomainbiz_"
MIME-Version: 1.0
--_000_2016062522253442026qmailholderrtmailmydomainbiz_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Find dirty members searching for more pleasure in your area! http://tribuna=
alta.laopinion.es/index.php?svtftotzevkwsiinrera<http://tribunaalta.laopini=
on.es/index.php?svtftotzevkwsiinrera> 724.240.0290
--_000_2016062522253442026qmailholderrtmailmydomainbiz_
X-Exchange-Mime-Skeleton-Content-Id:
D109C364449D53458CE4904F4BFB9DF5@mydomain.at
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
wenn da ein Spambot aktiv ist der direkt per SMTP versendet der wird - wenn überhaupt - nur ein paar DNS Anfragen nach MX-Records einer Maildomain finden und mehr nicht. Denn "böser" Code wird nicht aktiv ins Syslog reinschreiben und vor allem direkt den empfangenden Mailserver kontaktieren.
