taschaue
Goto Top

Server versendet SPAM

Hallo,

ich habe folgendes Problem: unser ISP hat mich kontaktiert, dass anscheinend von einer unserer öffentlichen IP (80.90.100.x) SPAM E-Mails versendet werden. Hinter dieser IP (NAT) steht ein Ubuntu Server 14.04 LTS mit Apache, IMAP, POP3 und SMTP (Ports inbound: 80, 443, 110, 143, 990, 993, 995). Der SMTP sendet jedoch über einen Relayhost (Mailcleaner) mit einer anderen öffentlichen IP (80.90.200.y). Der MX-Record der betreffenden Domain lautet auf 80.90.200.y .
Die betreffenden E-Mails die anscheinend versendet wurden (unser ISP stellte mir die E-Mails zur Verfügung) finden sich weder im syslog, noch in /var/log/mail.log.
Ich dachte an ein fehlerhaftes PHP-Skript aber auch im betreffenen PHP Mail Log befinden sich keine Einträge zu diesen E-Mails.
Egal wie ich versuche ein E-Mail vom Server zu versenden (sendmail, mail, ...) es wird immer via Postfix über den Relayhost gesendet und nicht direkt.

Nun weiß ich nicht mehr weiter.
Gibt es eine Möglichkeit, dass ein Skript nicht via Postfix (welcher über den Relayhost sendet) sondern direkt ein E-Mail sendet?

Freundliche Grüße und Danke schonmal

taschaue

Content-ID: 308350

Url: https://administrator.de/contentid/308350

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

kaiand1
kaiand1 28.06.2016 aktualisiert um 00:16:13 Uhr
Goto Top
Schau dir mal die Spammail genauer an besonders den Header der meist Ausgeblendet ist.
Dort steht der Spamserver über welche Server die Mail gegangen ist bis die jemand erreicht hat.
Scheinbar hast du nur die Absender IP vom Spamversender jedoch ist dies auch wirklich der Server den du hast oder ein anderer PC der den Spam verschickt?
Es kann auch auf euren Server eine Fremdsoftware laufen die sich mit fremden Mailservern verbindet und direkt den Spam verschickt ohne über euren Mailserver zu gehen.
Ist es ein Server/Anschluss bei euch in der Firma/Privat oder im Rechenzentrum?
Wenn es Lokal ist kannst du auch mal den Netzwerkverkehr mitschneiden und schauen wer da Mails verschickt ect.
Jedoch sollte alle PCs geprüft werden auf irgendwelche Änderungen da ihr scheinbar ungebetene Gäste habt und nicht mitbekommen habt wie die reingekommen sind.
Dazu können die auch schon Monate drin sein wodurch diese auch auf Backups sind mit deren Zugänge.
In der Spammail steht das Versende Datum mit Zeit daran kannst du ja in den Logs schauen ob davor und während der Zeit Auffälligkeiten sind je nach Einrichtung des Servers.

Aber bei Eindringlinge sollte zumindes der Zugang zum Internet gekappt werde um weiteres zu verhindern sowie Image Sektoren zur späteren Analyse sowie alle Aktiven Prozesse/Dateien Auflisten lassen.
Beachte jedoch das des System Infiziert wurde wodurch die Anzeigetools ggfs verändert/ersetzt worden sind und daher die Bösen Sachen nicht anzeigen werden.
Pjordorf
Pjordorf 28.06.2016 um 02:05:01 Uhr
Goto Top
Hallo,

Zitat von @taschaue:
einer unserer öffentlichen IP (80.90.100.x)
Von genau dieser?
Was steht in den E-Mail header drin die dein ISP bekommen hat?
Wer oder welches Gerät kann über diese IP versenden mittels Port 25 (SMTP), es muss ja nicht der Mailserver sein.
Wireshark mal mitlaufen lassen um eventuel zu sehen wer Intern dort Mails versendet aber sich nicht zu erkennen gibt?
Wenn nur ein MailServer dran hängt, dürfte der Kompromitiert worden sein. Port 25 an der firewall ausgehend dichtmachen, mailServer neu aufsetzen.

Gibt es eine Möglichkeit, dass ein Skript nicht via Postfix (welcher über den Relayhost sendet) sondern direkt ein E-Mail sendet?
Klar, macht jeder SPAMmer, Trojaner, Virus, PUP usw. Nenn die wie du möchtest, jedes Programm oder Skript kann über Port 25 versenden wenn der Programmierer es nur will.

Gruß,
Peter
taschaue
taschaue 28.06.2016 aktualisiert um 07:14:30 Uhr
Goto Top
Ich hab den Header schon geprüft.
Es steht die IP des Servers (80.90.100.x) drinnen.
Über diese IP kann nur dieser Server ins Internet.
D.h. woll, dass ich den Server neu aufsetzen muss ... Ich hab das schon befürchtet.
taschaue
taschaue 28.06.2016 um 07:16:35 Uhr
Goto Top
Im Header steht die IP dieses Servers.
Server steht in der DMZ unserer Firma.
StefanKittel
StefanKittel 28.06.2016 um 07:37:19 Uhr
Goto Top
Hallo,

es könnte auch ein Shell, PHP oder sonstiges Skript sein welches direkt über SMTP Emails versendet.
Prüfe mal das Protokoll des Webservers.

Stefan
St-Andreas
St-Andreas 28.06.2016 um 07:37:49 Uhr
Goto Top
Hallo, sicher das die IP auf dem Server liegt und nicht auf einer vorgelagerten FW?
taschaue
taschaue 28.06.2016 um 07:46:27 Uhr
Goto Top
Du hast recht. Die IP liegt auf der Firewall und wird via Port Forwarding auf eine interne IP weitergeleitet.
taschaue
taschaue 28.06.2016 um 07:57:04 Uhr
Goto Top
Hallo,

hab das bereits gestern getan:
die einzige Zeilen, die zur betreffenden Zeit:
10.150.162.28 - - [25/Jun/2016:20:13:01 +0200] "GET /swm/crons.php HTTP/1.1" 200 1 "-" "Wget/1.13.4 (linux-gnu)"  
180.76.15.21 - - [25/Jun/2016:20:13:06 +0200] "GET / HTTP/1.1" 302 0 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"  
180.76.15.11 - - [25/Jun/2016:20:13:07 +0200] "GET / HTTP/1.1" 302 0 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"  
69.162.124.230 - - [25/Jun/2016:20:13:59 +0200] "HEAD / HTTP/1.1" 302 0 "-" "Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/)"  
Das E-Mail hat im Header 25.6.2016 18:13:46 +0000.
Lochkartenstanzer
Lochkartenstanzer 28.06.2016 aktualisiert um 08:07:54 Uhr
Goto Top
Zitat von @taschaue:

Die betreffenden E-Mails die anscheinend versendet wurden (unser ISP stellte mir die E-Mails zur Verfügung) finden sich weder im syslog, noch in /var/log/mail.log.
Ich dachte an ein fehlerhaftes PHP-Skript aber auch im betreffenen PHP Mail Log befinden sich keine Einträge zu diesen E-Mails.

Moin,

Wenn die SPAM tatsächlich von eurem Server kommen sollte (steht der eigentlich bei Cap Gemini oder bei euch?) wirst Du in den regulären logs nichts finden, weil die Spammer drauf achten, nicht aufzufallen. Die werden auch nicht Eure normalen Trampelpfade für SMTP benutzen.

Du kannst auf dem Server iptables-Regeln aufstellen, die bei SMTP-Traffic triggern und das ins log schreiben. Dazu machst Du einen watchdog, der auf diese log triggert prüft, wer die verbindung initiiert. Dann solltest Du den schuldigen prozess entdecken und festnageln können.

lks
taschaue
taschaue 28.06.2016 um 08:18:15 Uhr
Goto Top
Hallo,

der Server steht bei uns im Haus.
Bzgl. iptables: das werde ich versuchen.
St-Andreas
St-Andreas 28.06.2016 um 08:25:07 Uhr
Goto Top
Gut, also kann es sein, dass jegliches Gerät hinter der Firewall, inkl. der Firewall die Emails verschickt. Zumindest im Rahmen dessen was die Firewall von innen nach aussen zulässt.
Hier würde ich als erstes ansetzen und schauen woher der SMTP Traffic tatsächlich kommt.
Lochkartenstanzer
Lochkartenstanzer 28.06.2016 um 08:26:20 Uhr
Goto Top
Zitat von @taschaue:

der Server steht bei uns im Haus.

Dann könntest Du auch eingah mal einen Ethernet-TAP zwischen Server und Firewall einschleifen, und damit den smtp-Traffic mitsniffen, der nicht zu Eurem smarthost geht.

lks
Chonta
Chonta 28.06.2016 um 08:36:26 Uhr
Goto Top
Hallo,

also wenn über die IP der Firewall noch mehr Server/Workstations ins internet können und es keine Regeln gibt, wer SMTP Verbindungen aufbauen kann und wer nicht, kann es jeder sein.
Wenn die Switche bei euch Portmirroring beherschen, kannst Du einen sauberen Server zwischen schalten und ein Portmirroring auf den machen und auf dem Server dannz.B. ntop oder Wireshark laufenlassen.
Vorher Betirbsrat/Geschäftsleitung fragen und sagen warum das sein muss.

Dann hast Du schnell wer was für Verbindungen aufbaut.

Was steht in der cron.php so drin? ist alles gewollt?

Gruß

Chonta
kaiand1
kaiand1 28.06.2016 um 11:07:08 Uhr
Goto Top
Also kann jeder PC der an der Firewall/Router eures Internetzuganges den Spam versenden.
Es muss nicht von euren Mailserver kommen sondern kann zb der PC vom Chef sein der sich ein Schadprogramm zb per Flashscript zugezogen hat...
Jedes Gerät das an dem Internetzugang hängt kann den Spam versendet haben.
Lochkartenstanzer
Lochkartenstanzer 28.06.2016 aktualisiert um 11:11:31 Uhr
Goto Top
Zitat von @kaiand1:

Also kann jeder PC der an der Firewall/Router eures Internetzuganges den Spam versenden.

Das ist nicht gesagt, dazu müßte man wissen, ob die IP-Adresse per SNAT direkt dem Mail-/Webserver zugeordnet ist oder per DNAT und Portweiterleitung allen zur Verfügung steht. Wenn das eine ordentich gemachte DMZ ist, ist es nur der entsprechende Server.

lks
taschaue
taschaue 28.06.2016 um 11:28:07 Uhr
Goto Top
Die IP ist per source-nat an den Server gebunden.
Für Internetzugang und andere Server werden andere externe IPs verwendet.
Chonta
Chonta 28.06.2016 um 11:33:49 Uhr
Goto Top
Hallo,

dann verbiete für alle Benutzer außer root ausgehende NEUE ausgehende VErbindungen mit IP-Tables.
SMTP darf nur der Benutzer Postfix und ausgehend auch nur zu eurem Smarthost.

In den Mailheadern die Du vom ISP bekommen hast, kannst du die ggf. in anonnymisierter form posten?
Kann auch sein das der Server übe rnicht smtp die Mails an einen anderen Server versendet der die dan weiterverteilt, aber Dein Server als Ursprungsserver drin steht.

Das Problem ist, sollte der Server kompromitiert sein, kannst Du auch den Komandozeilentools nicht umbedingt vertrauen.

Gruß

Chonta
taschaue
taschaue 28.06.2016 um 11:52:03 Uhr
Goto Top
Hallo,

hier der Mailheader:
From: Danielle Root <jeri@xyz.com>
To: "redacted@aol.com" <redacted@aol.com>  
Subject: Check for seductive partners in your area 724.240.0290
Thread-Topic: Check for seductive partners in your area 724.240.0290
Thread-Index: AQHRzxwD/KsGFNG2b0mV8ufUp4626A==
Date: Sat, 25 Jun 2016 22:25:34 +0000
Message-ID: <20160625222534.42026.qmail@holderrt.mail.mydomain.biz>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-aol-ip: [SERVER-IP]
authentication-results: mx.aol.com;	spf=softfail (aol.com: the domain
 maruszewska.com reports [SERVER-IP] should not be sending mail using it's  
 domain name, but is not forbidden from doing so.)
 smtp.mailfrom=xyz.com;
x-aol-sid: 3039ac1b0256576eaedf63a6
x-aol-global-disposition: G
Content-Type: multipart/alternative;
	boundary="_000_2016062522253442026qmailholderrtmailmydomainbiz_"  
MIME-Version: 1.0

--_000_2016062522253442026qmailholderrtmailmydomainbiz_
Content-Type: text/plain; charset="iso-8859-1"  
Content-Transfer-Encoding: quoted-printable

Find dirty members searching for more pleasure in your area! http://tribuna=
alta.laopinion.es/index.php?svtftotzevkwsiinrera<http://tribunaalta.laopini=
on.es/index.php?svtftotzevkwsiinrera> 724.240.0290

--_000_2016062522253442026qmailholderrtmailmydomainbiz_
X-Exchange-Mime-Skeleton-Content-Id:
 D109C364449D53458CE4904F4BFB9DF5@mydomain.at
Content-Type: text/html; charset="iso-8859-1"  
Content-Transfer-Encoding: quoted-printable
GrueneSosseMitSpeck
GrueneSosseMitSpeck 29.06.2016 um 17:02:29 Uhr
Goto Top
wenn da ein Spambot aktiv ist der direkt per SMTP versendet der wird - wenn überhaupt - nur ein paar DNS Anfragen nach MX-Records einer Maildomain finden und mehr nicht. Denn "böser" Code wird nicht aktiv ins Syslog reinschreiben und vor allem direkt den empfangenden Mailserver kontaktieren.