ISPConfig 2 - Mail-Attacke

Dieses Thema im Forum "Server Administration" wurde erstellt von hahni, 19. Feb. 2014.

  1. hahni

    hahni Active Member

    Hallo zusammen,

    mein Server wurde von keinem Rootkit infiziert und scheinbar wurde auch kein Mail-Konto gehackt.

    Speziell versucht jemand über eine auf dem Server befindliche Domain, Spam zu verschicken.

    Von der Funktionsweise scheint es so zu sein, dass jemand die Mails mit frei erfundenen Benutzern der entsprechenden Domain verschickt.

    Nun aber kommen Bounces oder Greylist-Bounces, die meine Queue zumüllen, weil es eben genau die Absender nicht gibt und zudem ohne Ende Spam verschickt wird.

    Ich habe einen Cron laufen, der immer wieder alle Mails dieser Domain aus der Queue löscht, um ein Überlaufen und eine Blockade für andere Benutzer zu vermeiden.

    Zufrieden aber bin ich mit dem Workaround nicht. Was könnte ich ansonsten noch wirkungsvolles tun?

    Achja: die Absender wechseln immer durch.

    Viele Grüße

    Hahni :(
     
  2. etron770

    etron770 Member

    wie wäre es mit fail2ban:
    syslog:
    Code:
    status=bounced (Host or domain name not found. Name service error for name=dkiejfdudzhendhe.defirufh.de type=AAAA: Host not found)
    
     status=bounced (host mx-ha03.web.de[213.165.67.104] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command))
    
     
  3. hahni

    hahni Active Member

    Ich habe bisher Blockhosts eingesetzt, weil fail2ban wohl nicht lief. Dürfte aber unter 10.04 LTS kein Problem sein? Standardeinstellung reicht aus?
     
  4. etron770

    etron770 Member

    wohl eher nicht da musst Du Dir eine eigene Regel erstellen, bzw schauen ob eine vorhanden Regel ausreicht:
    fail2ban-regex /var/log/dein.log <deine oder vorhandene regx>
     
  5. hahni

    hahni Active Member

    Leider wechseln immer die Mail-Adressen durch:

    --
    2888BBBC85B 648 Mon Feb 24 12:26:48 jud@roter-hahn.com
    (connect to crossow.com[176.74.176.179]:25: Connection refused)
    accont@crossow.com
    (delivery temporarily suspended: host mx1.comcast.net[68.87.26.147] refused to talk to me: 554 imta31.westchester.pa.mail.comcast.net comcast 195.5.187.3 Comcast block for spam. Please see Postmaster : SMTP Error Codes)
    homiefrisco69@comcast.net
    (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.92.184] while sending RCPT TO)
    bigger_gav@hotmail.com
    (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.54.188.110] while sending RCPT TO)
    allen.timpany@live.co.uk
    (delivery temporarily suspended: connect to alt2.gmail-smtp-in.l.google.com[2607:f8b0:4003:c02::1a]:25: Network is unreachable)
    albertlouw@gmail.com
    saravananmona@gmail.com
    (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.136.217.203] while sending RCPT TO)
    jason_jones2010@yahoo.com
    mdhayes3@yahoo.com

    280AFBC0912 811 Mon Feb 24 12:36:50 lyzaky@roter-hahn.com
    (host mx-eu.mail.am0.yahoodns.net[188.125.69.79] said: 421 4.7.0 [TS01] Messages from 195.5.187.3 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html (in reply to MAIL FROM command))
    cuccami76@yahoo.it
    (delivery temporarily suspended: connect to alt2.gmail-smtp-in.l.google.com[2607:f8b0:4003:c02::1a]:25: Network is unreachable)
    hugoomar@gmail.com
    swinglifeaway.maccue@gmail.com
    (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.92.184] while sending RCPT TO)
    fewrfsdf@hotmail.com
    hector121_amor@hotmail.com
    qaz12345fdggdf@hotmail.com
    young_poncho@hotmail.com
    (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.92.184] while sending RCPT TO)
    quiet_riot_88@live.com
    tgtbxnvphrs9@live.com
    (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.136.217.203] while sending RCPT TO)
    allenbennett85@yahoo.com

    28D68BBD262 678 Mon Feb 24 12:29:33 pawodu@roter-hahn.com
    (delivery temporarily suspended: connect to alt2.gmail-smtp-in.l.google.com[2607:f8b0:4003:c02::1a]:25: Network is unreachable)
    hazeltine33@gmail.com
    tylermassingill@gmail.com
    (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.92.184] while sending RCPT TO)
    iagosilva80@hotmail.com
    lobo_geras@hotmail.com
    monstronyc@hotmail.com
    rod7ool@hotmail.com
    steveneverett1974@hotmail.com
    (delivery temporarily suspended: lost connection with mx-eu.mail.am0.yahoodns.net[188.125.69.79] while sending RCPT TO)
    riberomichael@yahoo.fr

    2A82DBC0A0F 661 Mon Feb 24 12:37:09 xavanu@roter-hahn.com
    (delivery temporarily suspended: connect to alt2.gmail-smtp-in.l.google.com[2607:f8b0:4003:c02::1a]:25: Network is unreachable)
    aamirshaikh700@gmail.com
    bahadurbasanta@gmail.com
    rahmat4378@gmail.com
    (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.136.217.203] while sending RCPT TO)
    black_art_1975@yahoo.com
    sdo_slg@yahoo.com
    (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.92.184] while sending RCPT TO)
    brunogalleano@hotmail.com
    joeybagga69@hotmail.com
    sebas_01_31@hotmail.com
    --
     
  6. etron770

    etron770 Member

    Oh ja , die IP des Senders und die bounce Nachricht sind ja in verschiedenen Zeilen ... Eventuell fällt da jemandem was ein.
     
  7. Till

    Till Administrator

    @hahni: Nimmst Du bitte mal die ganzen spam email adressen raus, ich denke 1 Zeile mit geänderter Adresse reicht :) Danke!
     

Diese Seite empfehlen