8
Exim4 gehackt ?
Guten Morgen,
hab hier meinen Homewebserver der mir über Debian
Wheezy/nginx/php5/Exim4 Statusmails aufs Handy sendet.
Problem: Irgendein Depp hats geschafft
den als Mailer zu mißbrauchen.
nur per Zufall drübergestolpert da mir
Gmx 'ne Meldung gab daß eine Mail vom WebServ an
sylvia@home.com vor 2 Wochen nicht ordnungsgem.
zustellen konnte. (nie von mir pers. versendet)
Die Logs hab ich nimmer,da ich den
Server vor Tagen zurückgesetzt habe.
(an den Kopf klatsch
Kann ich per exim4 und einer Filterregel
den Versand nur an eine (!) bestimmte
Email Adresse zulassen?
*momentan hab ich mir ein Script gebastelt
das den Verkehr aus der main.log
ausliest und Alarm schlägt wenn ein
anderer Empfänger angegebenwird...
hab hier meinen Homewebserver der mir über Debian
Wheezy/nginx/php5/Exim4 Statusmails aufs Handy sendet.
Problem: Irgendein Depp hats geschafft
den als Mailer zu mißbrauchen.
nur per Zufall drübergestolpert da mir
Gmx 'ne Meldung gab daß eine Mail vom WebServ an
sylvia@home.com vor 2 Wochen nicht ordnungsgem.
zustellen konnte. (nie von mir pers. versendet)
Die Logs hab ich nimmer,da ich den
Server vor Tagen zurückgesetzt habe.
(an den Kopf klatsch
Kann ich per exim4 und einer Filterregel
den Versand nur an eine (!) bestimmte
Email Adresse zulassen?
*momentan hab ich mir ein Script gebastelt
das den Verkehr aus der main.log
ausliest und Alarm schlägt wenn ein
anderer Empfänger angegebenwird...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 250391
Url: https://administrator.de/forum/exim4-gehackt-250391.html
Ausgedruckt am: 21.04.2025 um 22:04 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @linuxmatrix:
nur per Zufall drübergestolpert da mir
Gmx 'ne Meldung gab daß eine Mail vom WebServ
sylvia@home.com vor 2 Wochen nicht ordnungsgem.
zustellen konnte. (nie von mir pers. versendet)
nur per Zufall drübergestolpert da mir
Gmx 'ne Meldung gab daß eine Mail vom WebServ
sylvia@home.com vor 2 Wochen nicht ordnungsgem.
zustellen konnte. (nie von mir pers. versendet)
Hast Du geprüft, ob das nicht einfach nur backscatter ist?
lks
Zitat von @linuxmatrix:
Kann ich per exim4 und einer Filterregel
den Versand nur an eine (!) bestimmte
Email Adresse zulassen?
Kann ich per exim4 und einer Filterregel
den Versand nur an eine (!) bestimmte
Email Adresse zulassen?
Mit exim weiß ichs nicht, aber mit sendmail (i-bäh) und postfix geht's. Du mußt nur passende rewrite-rules für den empfänger angeben. Aber da exim auf recht mächtig ist, soltle es damit auch gehen. prizipiell muß du einfach nur ein Adresse-Rewriting für die empfänger machen, daß alles auf Deien Zieladresse festtackert.
lks
Moin?
...ist leider direkt vom Webserver raus (IP passte)...
sitz grad am BHF bei nem Kaffee,
rätsel grad..
in cgi/php.ini u. cli/php.ini
ist disable_functions mail
eingetragen.... wie kann der dann
mails versenden?
kann ich das s.o zumindest begrenzen?
das mit Alarmscripts ist Ok aber dann
wars ja wieder zu spät.
System wird jeden 2. Tag aktualisiert
(dotdeb Packages) Wordpress usw...
...ist leider direkt vom Webserver raus (IP passte)...
sitz grad am BHF bei nem Kaffee,
rätsel grad..
in cgi/php.ini u. cli/php.ini
ist disable_functions mail
eingetragen.... wie kann der dann
mails versenden?
kann ich das s.o zumindest begrenzen?
das mit Alarmscripts ist Ok aber dann
wars ja wieder zu spät.
System wird jeden 2. Tag aktualisiert
(dotdeb Packages) Wordpress usw...
Zitat von @linuxmatrix:
in cgi/php.ini u. cli/php.ini
ist disable_functions mail
eingetragen.... wie kann der dann
mails versenden?
in cgi/php.ini u. cli/php.ini
ist disable_functions mail
eingetragen.... wie kann der dann
mails versenden?
"Über Umwege".
Es gibt genügend PHP-exploits, um trotzdem Mails zu verschicken.
(dotdeb Packages) Wordpress usw...
Und wenn wordpress dazukommt, ggf. mit plugins wird es noch schlimmer.
Du solltest mal das loglevel auf debug hochfahren und mitverfolgen, welches script wann die mails verschickt. Oder einfach alles frisch aufsetzen.
lks
PS ich würde einfach per iptables alles amtp/submission nah draußen abstellen und nur zu Deinem Mailserver/smarthost erlauben.
will in /etc/exim4/conf.d/rewrite
eine regel generieren à la
alle EmpfängerAdressen auf handybsp15@gmail.com ... ummünzen
..wie stell ich das an ?
so klappts net:
*@*.* handybsp15@gmail.com Tt
eine regel generieren à la
alle EmpfängerAdressen auf handybsp15@gmail.com ... ummünzen
..wie stell ich das an ?
so klappts net:
*@*.* handybsp15@gmail.com Tt
Mails kann man auch versenden, indem man mit fsockopen() eine Verbindung zu Port 25 aufbaut.
Hat dann auch den Charme, dass man in den Logfiles des Mailservers nichts finden kann.
Du solltest ja aus den Headern herauslesen können, wann die Mail bei GMX eingeliefert wurde - vielleicht kannst du aus den Webserver- und Syslog-Files etwas zu genau diesem Zeitpunkt finden.
Hat dann auch den Charme, dass man in den Logfiles des Mailservers nichts finden kann.
Du solltest ja aus den Headern herauslesen können, wann die Mail bei GMX eingeliefert wurde - vielleicht kannst du aus den Webserver- und Syslog-Files etwas zu genau diesem Zeitpunkt finden.
Zitat von @LordGurke:
Mails kann man auch versenden, indem man mit fsockopen() eine Verbindung zu Port 25 aufbaut.
Mails kann man auch versenden, indem man mit fsockopen() eine Verbindung zu Port 25 aufbaut.
Deswegen iptables, ggf. als Ergänzung
lks
Die Logs hab ich ja leider nimmer /
Aber danke! hab ich gerade gesperrt. war bei mir offen... getestet mit nem simplen script....
<?php
if(function_exists('fsockopen')) {
echo "fsockopen ist an";
}
else {
echo "fsockopen ist aus";
}
?>
gibts sonst noch Möglichkeiten um die Mauer höher zu bauen ?
und Einfallstore zu begrenzen ?
: - )
/Aber danke! hab ich gerade gesperrt. war bei mir offen... getestet mit nem simplen script....
<?php
if(function_exists('fsockopen')) {
echo "fsockopen ist an";
}
else {
echo "fsockopen ist aus";
}
?>
gibts sonst noch Möglichkeiten um die Mauer höher zu bauen ?
und Einfallstore zu begrenzen ?
: - )
