amavis für mailversand missbraucht?

Dieses Thema im Forum "Server Administration" wurde erstellt von nowhere, 13. Jan. 2014.

  1. nowhere

    nowhere New Member

    Hallo, habe ISPC 3.0.5.3 auf Debian Squeeze laufen, ganz aktuell gepatched.
    Ddie Tage wurde mein Server zum Spamversenden missbraucht.
    Bemerkenswert finde ich dass es offensichtlich - soweit ich das aus dem LOG erkennen kann - via amavis realisiert wurde.
    Ich gehe davon aus dass von einer Mailadresse das Kennwort erraten wurde. Allerdings sollte eigentlich lt. Config ein Versand großer Mailmengen gar nicht möglich sein....

    Das ist mal der relevant Eintrag aus dem LOG wo der Angreifer das erste mal sich erfolgreich eingeloggt und dann eine Mail versendet hat

    Da die Zahl der Mails restriktiert ist kam es dann zu folgende Einträgen:
    Danach kommen eine ganze Menge Einträge in dieser Art:

    Hier nun der eigentliche Part:
    Dann wurde es so richtig lustig...
    Also auch gewollt sollte es einem User nicht möglich sein so viele Mails zu versenden. Und dennoch ist es passiert.

    Gibt es eine Erklärug dafür?

    Danke vorweg an alle die sich besser auskennen als ich.
     
  2. Till

    Till Administrator

    Wahrscheinlich emails mit sehr vielen to, cc oder bcc adressen. Denn was amavis dir da zeigt ist eine mail mit vielen empfängern, die amavis ja beom scannen auflöst um sie z.B. gegen eine interne blacklist zu matchen und daher loggt amavis das auch. Schau Dir mal die emails in der mailqueue mit postcat an, da siehst Du zum einen über welchen account versendet wurde und kannst das passwort dort ändern und zum anderen siehst du auch die mail header.
     

Diese Seite empfehlen