ISPConfig 3 - Mail-Attacke

hahni

Active Member
#1
Hallo zusammen,

am Anfang dachte ich, ein Skript würde Mails verschicken. Dann aber habe ich mal den Apache-Dienst gestoppt. Nachdem aber unvermindert weiter Mails in die Queue geschoben werden, vermute ich fast, dass ein Mail-Zugang kompromittiert wurde. Die Mail-Queue enthält immer eine bestimmte Absender-Domain, die es nicht gibt:

--
91EA22C4 77209 Fri Oct 18 14:01:04 member@westpack.au
(delivery temporarily suspended: host extmail.bigpond.com[61.9.189.122] refused to talk to me: 554 nschwcmgw03p BigPond Inbound Connection refused. IB113)
christine.allen81@bigpond.com

9E6B9103 77180 Fri Oct 18 14:00:58 member@westpack.au
(connect to cluster8.us.messagelabs.com[216.82.249.147]:25: Connection refused)
jaslie.wu@grays.com.au

99CB14E8 77185 Fri Oct 18 14:00:59 member@westpack.au
(delivery temporarily suspended: host extmail.bigpond.com[61.9.189.122] refused to talk to me: 554 nschwcmgw03p BigPond Inbound Connection refused. IB113)
bronsellers@bigpond.com

7DA8E63 77175 Fri Oct 18 14:00:45 member@westpack.au
(delivery temporarily suspended: host extmail.bigpond.com[61.9.189.122] refused to talk to me: 554 nschwcmgw03p BigPond Inbound Connection refused. IB113)
matt.hurn@bigpond.com

53D2C128 77184 Fri Oct 18 14:00:44 member@westpack.au
(host filter1.ais-2.mailguard.com.au[67.228.18.83] said: 450 4.1.8 <member@westpack.au>: Sender address rejected: Domain not found (in reply to RCPT TO command))
moreinfo@ais.vic.edu.au

4B346D33 77224 Fri Oct 18 14:00:55 member@westpack.au
(host edumg02.edumail.vic.gov.au[203.12.63.21] refused to talk to me: 450 4.3.2 try again later)
the.grange.p12@edumail.vic.gov.au

4F66D148F 77198 Fri Oct 18 14:01:10 member@westpack.au
(host extmail.bigpond.com[61.9.189.122] refused to talk to me: 554 nschwcmgw03p BigPond Inbound Connection refused. IB113)
blester@franciscans.org.au

C1D141539 77170 Fri Oct 18 14:01:07 member@westpack.au
(host smtpin.mx.webtv.net[209.240.204.26] said: 450 <member@westpack.au>: Sender address rejected: Domain not found (in reply to RCPT TO command))
ldhensley@webtv.com
--

Wie finde ich heraus, welcher Benutzer betroffen ist? In den Log-Files finde ich nämlich leider keinen entsprechenden Hinweis!

Viele Grüße

Hahni
 

hahni

Active Member
#3
Laut "chkrootkit" und "rkhunter" keinen Hinweis darauf. Der Open-Relay-Tester geht leider nicht mehr.

Ich habe nun mal auf die ISPConfig3-interne Blacklist die Absender-Adresse gesetzt, da diese immer identisch ist.

Die Ideallösung ist das natürlich nicht. Was könnte noch die Ursache sein?
 

hahni

Active Member
#5
Gerade eben wollte ich mir die Sache noch mal ansehen. Die Attacken haben wohl zwischenzeitlich aufgehört. Aber in Zukunft werde ich mal die Sache mit dem Header verfolgen. Hätte ich das vorher gewusst, hätte ich vielleicht den Verursacher schon ausfindig machen können ;)
 

Till

Administrator
#6
Hättest Du den ganzen Beitrag gelesenen den ich verlinkt hatte und nicht nur den ersten Satz mit dem open Relay, dann hättest Du in der Tat schon den Header checken können ;)
 
#7
Ich hatte diese woche auch viele probleme mit spam-attacken.
Nach einem kurzem ausfall von der SQL-datenbank hat alles angefangen.

Nur weil die SQL datenbank kurtze zeit nicht zu erreichen wahr standen die tore komplet offen.
Postfix konnte die domains,... nicht abfragen.
Amavis machte schwierigkeiten
...
In der my.cf hatte ich bind-address auskommentiert was angeblich nicht sein sollte. Bind-address sollte auf 0.0.0.0 stehn.

Alles neu gestarten und der spam wahr direkt verschwunden.

Der runlevel für SQL und Apache wahren nicht richtig gesetzt und nach einem ausfahl nicht richtig hochgefahren.

Jetzt wird es wieder einige wochen dauern bis ich wieder aus allen blacklists verschwunden bin.
 
#8
Gerade eben wollte ich mir die Sache noch mal ansehen. Die Attacken haben wohl zwischenzeitlich aufgehört. Aber in Zukunft werde ich mal die Sache mit dem Header verfolgen. Hätte ich das vorher gewusst, hätte ich vielleicht den Verursacher schon ausfindig machen können ;)

Hatte ich auch schonmal gehabt vor ein paar monate.
Irgendwie hatte ich da probleme mit Amavis.
2-3 tage ruhe und dan mal wieder ein tag spam...
Nach einem update und neustart wahr alles wieder in ordnung
 

Werbung

Top