http://cbl.abuseat.org/

Dieses Thema im Forum "Server Administration" wurde erstellt von w3bservice, 11. Apr. 2015.

  1. w3bservice

    w3bservice Member

    Seit 2 Wochen wird mein Server von Spamhaus geblockt.

    This IP is infected (or NATting for a computer that is infected) with a spambot we have not yet been able to identify. For the time being we refer to it as theunknown2250spambot.
    Habe mit Virenscanner von Comodo, McAfee und ClamAV das System gescannt. Maldedect läuft stündlich und findet nichts was auf Spam hindeuten kann.
    Habe mit tcpdump den Port 25 mit protokollieren lassen. Nichts, genauso wie nichts dazu in den Logs stand.
    ein netstat -anpt zeigt auch keine Socket zum Port 25 an.
    Ab jetzt stehe ich auf dem Schlauch, weil auch ein Wechsel der IP nichts gebracht hat.
    Ich meine das die Netzwerkkonfiguration von Hetzner schon eine Nummer für sich ist, zeigt sich daran das das zusätzliche Netz was ich habe über die Haupt-IP vom Server geroutet wird und nicht über den eigen Gateway.
    Habe den Webserver schon 12 Stunden abgeschaltet gehabt, aber es kam wieder die Aussage von abuseat.org es wäre Spam gesendet worden.
     
  2. florian030

    florian030 Member

    Das sind idR auch keine live-reports. Du siehst doch auf der Seite von spamhouse, wann und weswegen die IP geblockt wurde. Mit Zeit und Datum kommst Du in den Logs (mail und Webserver) schon mal weiter.
    Wie lange hast Du denn den Port25 protokolliert? 14 Tage sollten es schon sein...
     
  3. w3bservice

    w3bservice Member

    Ich habe über 10 Tage den Port 25 gedumpt. mit dem Ergebnis, mal die Systemmails (fail2ban,denyhost,cron,Virenscanner,maldedect usw.) aussen vor, ich privat mehr Mails sende und empfange als meine Kunden auf dem Server. Hatte mal spaßenshalber den Mail und Webserver für 12 Stunden vom Netz gehabt und Spamhaus sagte trotzdem das ich Spam versenden würde, in regelmäßigen Abstanden so 3-4 Stunden.
    In den Logs von Web und Mailserver habe ich mit 3 Admins drinnen rumgewühlt, weil irgentwann wird man blind, und keine Auffälligkeiten.
     
  4. florian030

    florian030 Member

    Das Problem mit spamhouse etc. ist m.E. dass Du zu Zeitpunkt x geblockt wirst, dieser aber nicht zwingend der Zeitpunkt der Spams ist, sondern wohl eher der Zeitpunkt für x Reports von anderen Servern.

    Ist das nen Web-Server der per Relay an den Mailserver schickt? Dann könntest Du Port 25 in der Firewall zumachen.
     
  5. w3bservice

    w3bservice Member

    die ausgabe von netstat -anpt in eine datei umgeleitet und als cronjob alle Minute laufen lassen
     
  6. w3bservice

    w3bservice Member

    der Webserver macht keine clientsocket auf. und mod_proxy wird nicht geladen von apache, was das Ausfallstor wäre
     
  7. florian030

    florian030 Member

    Ich würde darauf tippen, dass Du dir in irgendeiner Webseite etwas eingefangen hast, was dort nicht hingehört....
     

Diese Seite empfehlen