Erneuter SPAM Versand über einen Kundenaccount

Dieses Thema im Forum "Server Administration" wurde erstellt von shadowcast, 2. Dez. 2014.

  1. shadowcast

    shadowcast Member

    Hallo,

    ich leider schon wieder.
    Gestern gegen halb 9 morgens bekam ich plötzlich Mails von einem meiner Server, auf welchem die Mail-Warteschlange plötzlich auf über 20-30 anstieg. Die Kundenadresse war schnell ermittelt, er meinte er hat einen Clienten mit POP3 der sicher ausgeschaltet ist und auch noch bis zu dem Zeitpunkt auch noch nicht ein war. Der Andere Client mit IMAP war sein iPhone.
    Nachdem wir ca. eine halbe Stunde mehr oder weniger blind herumsuchten, haben wir das Passwort geändert und die Queue ging wieder herab. Bzw. beim Löschen stieg sie auch bis heute nicht mehr an.

    Heute war ein Kollege bei dem Kunden und konnte am POP3 PC nichts finden. Auch am iPhone schien alles in Ordnung. Sicherheitshalber wurden sämtliche Passwörter die mit dem Hosting zusammenhängen geändert.

    Ich hab nun die mail.log in dem Zeitfenster vor mir liegen. 7 Uhr bis 10:30 Uhr mit 1,6MB. Viele Einträge der besagten Adresse, hauptsächlich Postfix. Hier ein Auszug:
    Code:
    Dec  1 09:20:40 server03 postfix/smtpd[10688]: connect from localhost[127.0.0.1]
    Dec  1 09:20:40 server03 postfix/smtpd[10688]: 0968F102241: client=localhost[127.0.0.1]
    Dec  1 09:20:40 server03 postfix/cleanup[10702]: 0968F102241: message-id=<20141201082040.0968F102241@MEINSERVER.de>
    Dec  1 09:20:40 server03 postfix/qmgr[4151]: 0968F102241: from=<VERDÄCHTER@ACCOUNT.de>, size=2949, nrcpt=1 (queue active)
    Dec  1 09:20:40 server03 postfix/smtp[10691]: 0968F102241: to=<r.porubsky@schiertechnical.sk>, relay=none, delay=0.05, delays=0.05/0/0/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=schiertechnical.sk type=AAAA: Host not found)
    Dec  1 09:20:40 server03 postfix/cleanup[5570]: 15F01102244: message-id=<20141201082040.15F01102244@MEINSERVER.de>
    Dec  1 09:20:40 server03 postfix/bounce[10710]: 0968F102241: sender non-delivery notification: 15F01102244
    Dec  1 09:20:40 server03 postfix/qmgr[4151]: 15F01102244: from=<>, size=5190, nrcpt=1 (queue active)
    Dec  1 09:20:40 server03 amavis[8205]: (08205-11) Passed BAD-HEADER-7 {RelayedOpenRelay,Quarantined}, [109.74.59.147]:51054 [109.74.59.147] <VERDÄCHTER@ACCOUNT.de> -> <r.porubsky@schiertechnical.sk>, quarantine: 5/badh-5YEZOhO2yWe4, Queue-ID: 3977D102238, mail_id: 5YEZOhO2yWe4, Hits: 9.891, size: 2208, queued_as: 0968F102241, 3989 ms
    Dec  1 09:20:40 server03 postfix/qmgr[4151]: 0968F102241: removed
    Dec  1 09:20:40 server03 postfix/smtp[10681]: 3977D102238: to=<r.porubsky@schiertechnical.sk>, relay=127.0.0.1[127.0.0.1]:10024, delay=6.9, delays=0.21/2.7/0.01/4, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0968F102241)
    Dec  1 09:20:40 server03 postfix/qmgr[4151]: 3977D102238: removed
    Dec  1 09:20:40 server03 postfix/pipe[10689]: 15F01102244: to=<VERDÄCHTER@ACCOUNT.de>, relay=dovecot, delay=0.03, delays=0/0/0/0.03, dsn=2.0.0, status=sent (delivered via dovecot service)
    Dec  1 09:20:40 server03 postfix/qmgr[4151]: 15F01102244: removed
    Dec  1 09:20:41 server03 postfix/smtpd[10716]: connect from localhost[127.0.0.1]
    Dec  1 09:20:41 server03 postfix/smtpd[10716]: 150B9102241: client=localhost[127.0.0.1]
    Dec  1 09:20:41 server03 postfix/cleanup[10702]: 150B9102241: message-id=<20141201082041.150B9102241@MEINSERVER.de>
    Dec  1 09:20:41 server03 postfix/qmgr[4151]: 150B9102241: from=<VERDÄCHTER@ACCOUNT.de>, size=2830, nrcpt=1 (queue active)
    Dec  1 09:20:41 server03 amavis[10706]: (10706-01) Passed BAD-HEADER-7 {RelayedOpenRelay,Quarantined}, [109.74.59.147]:51055 [109.74.59.147] <VERDÄCHTER@ACCOUNT.de> -> <buidurassamy@shaw.ca>, quarantine: n/badh-nzwDbLUbtkmS, Queue-ID: 0951310223B, mail_id: nzwDbLUbtkmS, Hits: 9.09, size: 2107, queued_as: 150B9102241, 4408 ms
    Dec  1 09:20:41 server03 postfix/smtp[10680]: 0951310223B: to=<buidurassamy@shaw.ca>, relay=127.0.0.1[127.0.0.1]:10024, delay=7.1, delays=0.15/2.5/0.09/4.4, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 150B9102241)
    Dec  1 09:20:41 server03 postfix/qmgr[4151]: 0951310223B: removed
    Dec  1 09:20:42 server03 postfix/smtpd[10688]: 55D0B102244: client=localhost[127.0.0.1]
    Dec  1 09:20:42 server03 postfix/cleanup[5570]: 55D0B102244: message-id=<20141201082042.55D0B102244@MEINSERVER.de>
    Dec  1 09:20:42 server03 postfix/qmgr[4151]: 55D0B102244: from=<VERDÄCHTER@ACCOUNT.de>, size=2862, nrcpt=1 (queue active)
    Dec  1 09:20:42 server03 postfix/smtpd[10716]: 570A6102245: client=localhost[127.0.0.1]
    Dec  1 09:20:42 server03 postfix/cleanup[10702]: 570A6102245: message-id=<20141201082042.570A6102245@MEINSERVER.de>
    Dec  1 09:20:42 server03 postfix/qmgr[4151]: 570A6102245: from=<VERDÄCHTER@ACCOUNT.de>, size=2818, nrcpt=1 (queue active)
    Dec  1 09:20:42 server03 amavis[8205]: (08205-11-2) Passed BAD-HEADER-7 {RelayedOpenRelay,Quarantined}, [109.74.59.147]:51057 [109.74.59.147] <VERDÄCHTER@ACCOUNT.de> -> <thomas.stropek@ohnhaeuser.de>, quarantine: j/badh-j9C3oxVsOhQL, Queue-ID: 877E410223C, mail_id: j9C3oxVsOhQL, Hits: 9.09, size: 2123, queued_as: 55D0B102244, 2264 ms
    Dec  1 09:20:42 server03 amavis[10706]: (10706-01-2) Passed BAD-HEADER-7 {RelayedOpenRelay,Quarantined}, [109.74.59.147]:51059 [109.74.59.147] <VERDÄCHTER@ACCOUNT.de> -> <konni82@gmail.com>, quarantine: 1/badh-1-CRH2YW_0gP, Queue-ID: 077E510223D, mail_id: 1-CRH2YW_0gP, Hits: 9.09, size: 2101, queued_as: 570A6102245, 1251 ms
    Dec  1 09:20:42 server03 postfix/smtp[10681]: 877E410223C: to=<thomas.stropek@ohnhaeuser.de>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=2, delay=7.9, delays=0.13/5.5/0/2.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 55D0B102244)
    Dec  1 09:20:42 server03 postfix/qmgr[4151]: 877E410223C: removed
    Dec  1 09:20:42 server03 postfix/smtp[10680]: 077E510223D: to=<konni82@gmail.com>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=2, delay=7.4, delays=0.15/6/0/1.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 570A6102245)
    Dec  1 09:20:42 server03 postfix/qmgr[4151]: 077E510223D: removed
    Dec  1 09:20:43 server03 postfix/smtp[10705]: 150B9102241: to=<buidurassamy@shaw.ca>, relay=idcmail.shaw.ca[24.71.223.11]:25, delay=2.1, delays=0.01/0/1.6/0.53, dsn=2.0.0, status=sent (250 ok:  Message 631298168 accepted)
    Dec  1 09:20:43 server03 postfix/smtp[10718]: 570A6102245: to=<konni82@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.65.27]:25, delay=0.97, delays=0/0.01/0.28/0.68, dsn=2.0.0, status=sent (250 2.0.0 OK 1417422043 p10si44235281wia.64 - gsmtp)
    Dec  1 09:20:43 server03 postfix/qmgr[4151]: 570A6102245: removed
    Dec  1 09:20:43 server03 postfix/qmgr[4151]: 150B9102241: removed
    Die Zeilen BAD-HEADER RelayedOpenRelay klingen böse???

    In meinen Augen kam irgendwie jemand an seine Zugangsdaten. Das Passwort war aber definitiv nicht erratbar, hatte 12 wirre Zeichen aus Zahlen, Buchstaben und Sonderzeichen.

    Wäre über eure Meinung bzw. weitere Tips sehr froh.

    LG
     
  2. Till

    Till Administrator

    Du hast doch bestimmt auch schon was von den derzeit kursierenden fake Telekom, 1&1 und Vodafone Rechnungen gehört? Wenn Dein Kunde so eine geöffnet hat, passiert genau das. Die Trojaner lesen die Passworte aus dem Mail Programm des Desktop aus, leiten Sie an ein Botnet weiter und los geht der Spam. Meine Vorgehensweise ist dann: Postfach sperren Durch Passwortänderung, Kunde kontaktieren damit er seinen Desktop nach Viren scannt und ihn bitten das neue Passwort erst dann ein zu spielen, wenn der Rechner wieder sauber ist.

    Vielleicht hat der Kunde das Konto auch noch zuhause eingerichtet, oder mal irgendwo ohne ssl über nen offenes wlan genutzt.
     
  3. shadowcast

    shadowcast Member

    Hi Till,

    Ja natürlich hab ich davon gehört, wusste jedoch nicht, dass die die Passwörter der Clienten auslesen und weiterleiten. Aber gut, dass sie nichts gutes machen sollte klar sein. Danke für die Erklärung.

    Evtl. sollte mein Kollege noch mal hin fahren und erneute Scans machen? Funktionieren die denn auch am Iphone?
    Theoretisch kann ja das Passwort schon lange vor gestern übermittelt worden sein, sodass gestern eben zufällig z.B. der Client eben aus war?

    LG
     
  4. nowayback

    nowayback Well-Known Member

    Meiner Erfahrung nach verging zwischen Diebstahl der Zugangsdaten und Kompromittierung des Mailaccounts mindestens 1 Woche. Ich hatte bisher keinen Fall in dem das schneller ging - was ich aber nicht ausschließen will.
     
  5. shadowcast

    shadowcast Member

    Okay. Habe ich in diesem Fall irgendwie die Möglichkeit, gleich automatisiert die IP zu blocken?
    Beim letzten "Blat" Befall eines Kunden konnte ich eine Fail2Ban Regel schreiben, welche die IP Blockt.

    Hab ich auch hier irgendwie die Möglichkeit oder muss ich mich darauf verlassen, dass die Spam Betreiber inaktive Accounts in Ihren Listen haben, welche mir die Queue ansteigen lässt? Ich mein die sind ja auch nicht auf den Kopf gefallen.

    LG
     
  6. Till

    Till Administrator

    Das kürzeste bei mir waren 2-3 Tage.
     
  7. Till

    Till Administrator

    Das Problem ist dass das Passwort an ein Botnet weiter gegeben wird, es ist also nicht die eine IP sondern es starten Zugriffe von diversen Bot Nodes aus dem Internet die alle die richtigen Zugangsdaten haben. Daher bleibt nur ein Ändern des Passwortes.

    Wenn Du das automatisiert im Auge behalten willst, dann schreib Dir z.B. ein Script dass die Mailqueue anhand der Anzahl überwacht und dich ggf. alarmiert.
     
  8. wotan2005

    wotan2005 Member

    Geht übrings wunderschön mit SNMP und Nagios.
     
  9. shadowcast

    shadowcast Member

    Morgen,

    die Mailqueue wird bereits über Munin überwacht und schickt mir ne Mail, wenn die Queue größer 10 Einträge hat. Das klappt recht gut und so wurde ich auch diesmal realtiv zeitnah aufmerksam. Ich dachte an eine Fail2Ban Regel, aber wie du schon sagst, da der Auth korrekt ist, ja woher soll da irgendeine Regel wissen ob gut oder böse.

    Wie siehe denn der SNMP/Nagios Vorschlag genau aus?

    LG
     
  10. wotan2005

    wotan2005 Member

  11. shadowcast

    shadowcast Member

    Ach so du überwachst hier auch NUR deine Queue. Ja gut das hab ich ja wie gesagt mit Munin gelöst und klappt auch.
    Hier sollte ja auch nur ein "Monitoring" aktiv sein, keineswegs automatische Sperren?
    Aber OK. So ein Botnetz besteht ja auch vielen Rechnern. Da haben IP-Sperren für 24h eh nicht so viel Sinn.

    Hier müsste dann besser ein Script her, dass mir dann das Mail-Passwort ändert. Aber gut, ich denk so oft passiert das nicht, das man das nicht auch mal schnell manuell machen könnte.
     
  12. shadowcast

    shadowcast Member

    Also der Stand der Dinge nach nun ein paar Tagen.

    Am Kunden PC ist nichts zu finden. Ich denke mal, der Trojaner hat seine Arbeit verrichtet und sich selbst gelöscht?
    Weiß ja nicht ob die Programme dass heute so machen, aber würde ich so ein solches schreiben, würde ich einen SelfDelete mit einbauen.

    Das Passwort wurde also geändert und die Clienten damit aktualisiert. Seither ist Ruhe.

    Danke euch.
     

Diese Seite empfehlen