Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server versendet SPAM

Mitglied: taschaue

taschaue (Level 1) - Jetzt verbinden

27.06.2016 um 22:27 Uhr, 2628 Aufrufe, 19 Kommentare

Hallo,

ich habe folgendes Problem: unser ISP hat mich kontaktiert, dass anscheinend von einer unserer öffentlichen IP (80.90.100.x) SPAM E-Mails versendet werden. Hinter dieser IP (NAT) steht ein Ubuntu Server 14.04 LTS mit Apache, IMAP, POP3 und SMTP (Ports inbound: 80, 443, 110, 143, 990, 993, 995). Der SMTP sendet jedoch über einen Relayhost (Mailcleaner) mit einer anderen öffentlichen IP (80.90.200.y). Der MX-Record der betreffenden Domain lautet auf 80.90.200.y .
Die betreffenden E-Mails die anscheinend versendet wurden (unser ISP stellte mir die E-Mails zur Verfügung) finden sich weder im syslog, noch in /var/log/mail.log.
Ich dachte an ein fehlerhaftes PHP-Skript aber auch im betreffenen PHP Mail Log befinden sich keine Einträge zu diesen E-Mails.
Egal wie ich versuche ein E-Mail vom Server zu versenden (sendmail, mail, ...) es wird immer via Postfix über den Relayhost gesendet und nicht direkt.

Nun weiß ich nicht mehr weiter.
Gibt es eine Möglichkeit, dass ein Skript nicht via Postfix (welcher über den Relayhost sendet) sondern direkt ein E-Mail sendet?

Freundliche Grüße und Danke schonmal

taschaue
Mitglied: kaiand1
28.06.2016, aktualisiert um 00:16 Uhr
Schau dir mal die Spammail genauer an besonders den Header der meist Ausgeblendet ist.
Dort steht der Spamserver über welche Server die Mail gegangen ist bis die jemand erreicht hat.
Scheinbar hast du nur die Absender IP vom Spamversender jedoch ist dies auch wirklich der Server den du hast oder ein anderer PC der den Spam verschickt?
Es kann auch auf euren Server eine Fremdsoftware laufen die sich mit fremden Mailservern verbindet und direkt den Spam verschickt ohne über euren Mailserver zu gehen.
Ist es ein Server/Anschluss bei euch in der Firma/Privat oder im Rechenzentrum?
Wenn es Lokal ist kannst du auch mal den Netzwerkverkehr mitschneiden und schauen wer da Mails verschickt ect.
Jedoch sollte alle PCs geprüft werden auf irgendwelche Änderungen da ihr scheinbar ungebetene Gäste habt und nicht mitbekommen habt wie die reingekommen sind.
Dazu können die auch schon Monate drin sein wodurch diese auch auf Backups sind mit deren Zugänge.
In der Spammail steht das Versende Datum mit Zeit daran kannst du ja in den Logs schauen ob davor und während der Zeit Auffälligkeiten sind je nach Einrichtung des Servers.

Aber bei Eindringlinge sollte zumindes der Zugang zum Internet gekappt werde um weiteres zu verhindern sowie Image Sektoren zur späteren Analyse sowie alle Aktiven Prozesse/Dateien Auflisten lassen.
Beachte jedoch das des System Infiziert wurde wodurch die Anzeigetools ggfs verändert/ersetzt worden sind und daher die Bösen Sachen nicht anzeigen werden.
Bitte warten ..
Mitglied: Pjordorf
28.06.2016 um 02:05 Uhr
Hallo,

Zitat von taschaue:
einer unserer öffentlichen IP (80.90.100.x)
Von genau dieser?
Was steht in den E-Mail header drin die dein ISP bekommen hat?
Wer oder welches Gerät kann über diese IP versenden mittels Port 25 (SMTP), es muss ja nicht der Mailserver sein.
Wireshark mal mitlaufen lassen um eventuel zu sehen wer Intern dort Mails versendet aber sich nicht zu erkennen gibt?
Wenn nur ein MailServer dran hängt, dürfte der Kompromitiert worden sein. Port 25 an der firewall ausgehend dichtmachen, mailServer neu aufsetzen.

Gibt es eine Möglichkeit, dass ein Skript nicht via Postfix (welcher über den Relayhost sendet) sondern direkt ein E-Mail sendet?
Klar, macht jeder SPAMmer, Trojaner, Virus, PUP usw. Nenn die wie du möchtest, jedes Programm oder Skript kann über Port 25 versenden wenn der Programmierer es nur will.

Gruß,
Peter
Bitte warten ..
Mitglied: taschaue
28.06.2016, aktualisiert um 07:14 Uhr
Ich hab den Header schon geprüft.
Es steht die IP des Servers (80.90.100.x) drinnen.
Über diese IP kann nur dieser Server ins Internet.
D.h. woll, dass ich den Server neu aufsetzen muss ... Ich hab das schon befürchtet.
Bitte warten ..
Mitglied: taschaue
28.06.2016 um 07:16 Uhr
Im Header steht die IP dieses Servers.
Server steht in der DMZ unserer Firma.
Bitte warten ..
Mitglied: StefanKittel
28.06.2016 um 07:37 Uhr
Hallo,

es könnte auch ein Shell, PHP oder sonstiges Skript sein welches direkt über SMTP Emails versendet.
Prüfe mal das Protokoll des Webservers.

Stefan
Bitte warten ..
Mitglied: St-Andreas
28.06.2016 um 07:37 Uhr
Hallo, sicher das die IP auf dem Server liegt und nicht auf einer vorgelagerten FW?
Bitte warten ..
Mitglied: taschaue
28.06.2016 um 07:46 Uhr
Du hast recht. Die IP liegt auf der Firewall und wird via Port Forwarding auf eine interne IP weitergeleitet.
Bitte warten ..
Mitglied: taschaue
28.06.2016 um 07:57 Uhr
Hallo,

hab das bereits gestern getan:
die einzige Zeilen, die zur betreffenden Zeit:
01.
10.150.162.28 - - [25/Jun/2016:20:13:01 +0200] "GET /swm/crons.php HTTP/1.1" 200 1 "-" "Wget/1.13.4 (linux-gnu)"
02.
180.76.15.21 - - [25/Jun/2016:20:13:06 +0200] "GET / HTTP/1.1" 302 0 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
03.
180.76.15.11 - - [25/Jun/2016:20:13:07 +0200] "GET / HTTP/1.1" 302 0 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
04.
69.162.124.230 - - [25/Jun/2016:20:13:59 +0200] "HEAD / HTTP/1.1" 302 0 "-" "Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/)"
Das E-Mail hat im Header 25.6.2016 18:13:46 +0000.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.06.2016, aktualisiert um 08:07 Uhr
Zitat von taschaue:

Die betreffenden E-Mails die anscheinend versendet wurden (unser ISP stellte mir die E-Mails zur Verfügung) finden sich weder im syslog, noch in /var/log/mail.log.
Ich dachte an ein fehlerhaftes PHP-Skript aber auch im betreffenen PHP Mail Log befinden sich keine Einträge zu diesen E-Mails.

Moin,

Wenn die SPAM tatsächlich von eurem Server kommen sollte (steht der eigentlich bei Cap Gemini oder bei euch?) wirst Du in den regulären logs nichts finden, weil die Spammer drauf achten, nicht aufzufallen. Die werden auch nicht Eure normalen Trampelpfade für SMTP benutzen.

Du kannst auf dem Server iptables-Regeln aufstellen, die bei SMTP-Traffic triggern und das ins log schreiben. Dazu machst Du einen watchdog, der auf diese log triggert prüft, wer die verbindung initiiert. Dann solltest Du den schuldigen prozess entdecken und festnageln können.

lks
Bitte warten ..
Mitglied: taschaue
28.06.2016 um 08:18 Uhr
Hallo,

der Server steht bei uns im Haus.
Bzgl. iptables: das werde ich versuchen.
Bitte warten ..
Mitglied: St-Andreas
28.06.2016 um 08:25 Uhr
Gut, also kann es sein, dass jegliches Gerät hinter der Firewall, inkl. der Firewall die Emails verschickt. Zumindest im Rahmen dessen was die Firewall von innen nach aussen zulässt.
Hier würde ich als erstes ansetzen und schauen woher der SMTP Traffic tatsächlich kommt.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.06.2016 um 08:26 Uhr
Zitat von taschaue:

der Server steht bei uns im Haus.

Dann könntest Du auch eingah mal einen Ethernet-TAP zwischen Server und Firewall einschleifen, und damit den smtp-Traffic mitsniffen, der nicht zu Eurem smarthost geht.

lks
Bitte warten ..
Mitglied: Chonta
28.06.2016 um 08:36 Uhr
Hallo,

also wenn über die IP der Firewall noch mehr Server/Workstations ins internet können und es keine Regeln gibt, wer SMTP Verbindungen aufbauen kann und wer nicht, kann es jeder sein.
Wenn die Switche bei euch Portmirroring beherschen, kannst Du einen sauberen Server zwischen schalten und ein Portmirroring auf den machen und auf dem Server dannz.B. ntop oder Wireshark laufenlassen.
Vorher Betirbsrat/Geschäftsleitung fragen und sagen warum das sein muss.

Dann hast Du schnell wer was für Verbindungen aufbaut.

Was steht in der cron.php so drin? ist alles gewollt?

Gruß

Chonta
Bitte warten ..
Mitglied: kaiand1
28.06.2016 um 11:07 Uhr
Also kann jeder PC der an der Firewall/Router eures Internetzuganges den Spam versenden.
Es muss nicht von euren Mailserver kommen sondern kann zb der PC vom Chef sein der sich ein Schadprogramm zb per Flashscript zugezogen hat...
Jedes Gerät das an dem Internetzugang hängt kann den Spam versendet haben.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.06.2016, aktualisiert um 11:11 Uhr
Zitat von kaiand1:

Also kann jeder PC der an der Firewall/Router eures Internetzuganges den Spam versenden.

Das ist nicht gesagt, dazu müßte man wissen, ob die IP-Adresse per SNAT direkt dem Mail-/Webserver zugeordnet ist oder per DNAT und Portweiterleitung allen zur Verfügung steht. Wenn das eine ordentich gemachte DMZ ist, ist es nur der entsprechende Server.

lks
Bitte warten ..
Mitglied: taschaue
28.06.2016 um 11:28 Uhr
Die IP ist per source-nat an den Server gebunden.
Für Internetzugang und andere Server werden andere externe IPs verwendet.
Bitte warten ..
Mitglied: Chonta
28.06.2016 um 11:33 Uhr
Hallo,

dann verbiete für alle Benutzer außer root ausgehende NEUE ausgehende VErbindungen mit IP-Tables.
SMTP darf nur der Benutzer Postfix und ausgehend auch nur zu eurem Smarthost.

In den Mailheadern die Du vom ISP bekommen hast, kannst du die ggf. in anonnymisierter form posten?
Kann auch sein das der Server übe rnicht smtp die Mails an einen anderen Server versendet der die dan weiterverteilt, aber Dein Server als Ursprungsserver drin steht.

Das Problem ist, sollte der Server kompromitiert sein, kannst Du auch den Komandozeilentools nicht umbedingt vertrauen.

Gruß

Chonta
Bitte warten ..
Mitglied: taschaue
28.06.2016 um 11:52 Uhr
Hallo,

hier der Mailheader:
01.
From: Danielle Root <jeri@xyz.com>
02.
To: "redacted@aol.com" <redacted@aol.com>
03.
Subject: Check for seductive partners in your area 724.240.0290
04.
Thread-Topic: Check for seductive partners in your area 724.240.0290
05.
Thread-Index: AQHRzxwD/KsGFNG2b0mV8ufUp4626A==
06.
Date: Sat, 25 Jun 2016 22:25:34 +0000
07.
Message-ID: <20160625222534.42026.qmail@holderrt.mail.mydomain.biz>
08.
X-MS-Has-Attach:
09.
X-MS-TNEF-Correlator:
10.
x-aol-ip: [SERVER-IP]
11.
authentication-results: mx.aol.com;	spf=softfail (aol.com: the domain
12.
 maruszewska.com reports [SERVER-IP] should not be sending mail using it's
13.
 domain name, but is not forbidden from doing so.)
14.
 smtp.mailfrom=xyz.com;
15.
x-aol-sid: 3039ac1b0256576eaedf63a6
16.
x-aol-global-disposition: G
17.
Content-Type: multipart/alternative;
18.
	boundary="_000_2016062522253442026qmailholderrtmailmydomainbiz_"
19.
MIME-Version: 1.0
20.

21.
--_000_2016062522253442026qmailholderrtmailmydomainbiz_
22.
Content-Type: text/plain; charset="iso-8859-1"
23.
Content-Transfer-Encoding: quoted-printable
24.

25.
Find dirty members searching for more pleasure in your area! http://tribuna=
26.
alta.laopinion.es/index.php?svtftotzevkwsiinrera<http://tribunaalta.laopini=
27.
on.es/index.php?svtftotzevkwsiinrera> 724.240.0290
28.

29.
--_000_2016062522253442026qmailholderrtmailmydomainbiz_
30.
X-Exchange-Mime-Skeleton-Content-Id:
31.
 D109C364449D53458CE4904F4BFB9DF5@mydomain.at
32.
Content-Type: text/html; charset="iso-8859-1"
33.
Content-Transfer-Encoding: quoted-printable
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
29.06.2016 um 17:02 Uhr
wenn da ein Spambot aktiv ist der direkt per SMTP versendet der wird - wenn überhaupt - nur ein paar DNS Anfragen nach MX-Records einer Maildomain finden und mehr nicht. Denn "böser" Code wird nicht aktiv ins Syslog reinschreiben und vor allem direkt den empfangenden Mailserver kontaktieren.
Bitte warten ..
Ähnliche Inhalte
E-Mail
SPAM - Blacklist
gelöst Frage von uhle66E-Mail15 Kommentare

Hallo, In unserer Firma haben wir einen Exchange 2010 Server, der über eine Firewall und der damit verbundenen Emailsecurity ...

DNS
DNS "Spam"
Frage von emeriksDNS5 Kommentare

Hi, wir haben 2 Computer bei uns im Haus (mindestens, bin noch am recherchieren, ob es noch mehr sind), ...

Outlook & Mail
Outlook versendet verspätet
gelöst Frage von slanskyOutlook & Mail5 Kommentare

Hallo, ich habe heute einen komischen Fall gehabt mit Outlook. Hier erst mal die Umgebung Server: Win2012RS mit Exchange ...

E-Mail
SPAM Nachrichten
Frage von ir-systemlineE-Mail3 Kommentare

Hallo zusammen, ich würde für folgendes Thema erneut Eure Hilfe, Rat und Unterstützung benötigen. Es geht mal wieder und ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 11 StundenOff Topic1 Kommentar

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 23 StundenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 2 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 2 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung24 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Router & Routing
HP 2920 als Router konfigurieren. Bitte um Unterstützung
gelöst Frage von suedi123Router & Routing16 Kommentare

Liebe Forumsmitglieder, ich habe hier ein Problem, bei welchem ich nicht weiterkomme, weil ich mich zu wenig mit der ...

Batch & Shell
BATCH: Werte einer Textdatei analysiern und Ergebnis ausgeben
gelöst Frage von SchottenrockBatch & Shell11 Kommentare

Hallo Zusammen, ich stehe vor einer kniffligen Herausforderung, bei der mir die Suche nicht weitergeholfen hat - oder ich ...

Microsoft Office
Outlook 2003 sendet keine Mails
Frage von JensDinkelMicrosoft Office10 Kommentare

Hallo zusammen, ich weiß, Outlook 2003 ist ein altes Programm, aber ich bin im Moment noch gezwungen, das am ...