Ergebnis 1 bis 8 von 8

Thema: Abuse Meldung vom Provider

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Neues Mitglied
    Registriert seit
    25.06.2015
    Beiträge
    3

    Standard Abuse Meldung vom Provider

    Hallo

    Ich hoffe mir kann jemand helfen ....

    Auf Grund einer Abuse Meldung habe ich mir mal die Log angeguckt. Das geht schon seit Tagen so.

    Kann mir jemand sagen was das ist. JoeJobs? Oder kommt das doch von meinem Server.
    Relaytests sind allesamt negativ.


    Code:
    Jun 25 10:31:41 meinedomain postfix/qmgr[22205]: 304BDF22EE3: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2481, nrcpt=1 (queue active)
    Jun 25 10:31:41 meinedomain postfix/qmgr[22205]: 3C1F1F06C01: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2438, nrcpt=1 (queue active)
    Jun 25 10:31:41 meinedomain postfix/qmgr[22205]: 3E938F0F8B9: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2465, nrcpt=1 (queue active)
    Jun 25 10:31:41 meinedomain postfix/error[18562]: 321ECF0BA26: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=130908, delays=130878/30/0/0.15, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[207.46.8.167] while sending RCPT TO)
    Jun 25 10:31:41 meinedomain postfix/error[18570]: 2380EF12408: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=64404, delays=64146/258/0/0.15, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
    Jun 25 10:31:41 meinedomain postfix/error[18558]: 2D2E0F1F583: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=36104, delays=35846/258/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
    Jun 25 10:31:41 meinedomain postfix/error[18575]: 25304F0B411: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=126566, delays=126110/456/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO)
    Jun 25 10:31:41 meinedomain postfix/error[18578]: 667F0F1BBDB: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=105806, delays=104377/1429/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.33.135] while sending RCPT TO)
    Jun 25 10:31:41 meinedomain postfix/qmgr[22205]: 3770DF05C4D: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2450, nrcpt=1 (queue active)
    Jun 25 10:31:41 meinedomain postfix/qmgr[22205]: 31CE2F0FA4D: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2447, nrcpt=1 (queue active)
    Jun 25 10:31:41 meinedomain postfix/qmgr[22205]: 35F3BF0609C: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2459, nrcpt=1 (queue active)
    Jun 25 10:31:42 meinedomain postfix/qmgr[22205]: 3859FF1E68D: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2461, nrcpt=1 (queue active)
    Jun 25 10:31:42 meinedomain postfix/error[18560]: 3BFDCF15AA2: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=62599, delays=62569/30/0/0.14, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[207.46.8.167] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/error[18563]: 254D2F41A4F: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=40302, delays=39846/456/0/0.19, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/error[18568]: 614B5F3E146: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=44372, delays=42943/1429/0/0.19, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.33.135] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/qmgr[22205]: 3389EF196EE: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2453, nrcpt=1 (queue active)
    Jun 25 10:31:42 meinedomain postfix/error[18578]: 2EFB0F135F2: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=64133, delays=63875/258/0/0.15, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/error[18575]: 3C975F14725: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=106256, delays=106226/30/0/0.11, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[207.46.8.167] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/error[18558]: 25DEFF02A9E: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=67727, delays=67271/456/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/error[18562]: 6DD06F03E01: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=121829, delays=120399/1429/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.33.135] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/error[18570]: 2264DF17452: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=114292, delays=114034/258/0/0.15, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/qmgr[22205]: 36DEFF0DEDE: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2456, nrcpt=1 (queue active)
    Jun 25 10:31:42 meinedomain postfix/qmgr[22205]: 34374F1D779: from=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, size=2437, nrcpt=1 (queue active)
    Jun 25 10:31:42 meinedomain postfix/error[18560]: 2EEBEF1EFDA: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=36748, delays=36292/456/0/0.18, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO)
    Jun 25 10:31:42 meinedomain postfix/error[18568]: 657F6F0E9F4: to=<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>, relay=none, delay=45879, delays=44450/1429/0/0.19, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.33.135] while sending RCPT TO)
    Code:
    220 meinedomain.server4you.de ESMTP Postfix [719 ms]
    EHLO PWS3.mxtoolbox.com
    250-meinedomain.server4you.de
    250-PIPELINING
    250-SIZE
    250-VRFY
    250-ETRN
    250-STARTTLS
    250-AUTH PLAIN LOGIN
    250-AUTH=PLAIN LOGIN
    250-ENHANCEDSTATUSCODES
    250-8BITMIME
    250 DSN [719 ms]
    MAIL FROM:<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    250 2.1.0 Ok [719 ms]
    RCPT TO:<
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    554 5.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied [734 ms]

    Abuse Meldung:
    Code:
    Dear Sirs,
    
    The message, whose source code is transcribed below, is a fraud 
    practiced in Brazil and originated from your server, from the subdomain 
    [meinedomain.server4you.de].
    
    Please confirm the error and, if possible, take the necessary steps to 
    inhibit these illegal practices.
    
    Thanks in advance,
    LESTCON: parceria em soluções para a indústria do petróleo! 		
    Mauricio Lamenza
    Diretor - 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br 
    &lt;mailto:
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br&gt;- [+55](21) 99500-5221
    LESTCON Construções e Empreendimentos Ltda
    		
    rua Newton Prado, 71 a 73 - São Cristóvão 		T: [+55](21) 3860-7685, 
    3860-7281, 3860-7812
    Rio de Janeiro - RJ - CEP 20.930-445 - Brasil 		F: [+55](21) 2580-0254
    www.lestcon.com.br &lt;http://www.lestcon.com.br&gt; 		
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br 
    &lt;mailto:
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br&gt;
    
    
    
     From - Wed Jun 24 11:20:16 2015
    X-Account-Key: account9
    X-UIDL: UID66077-1238617862
    X-Mozilla-Status: 0001
    X-Mozilla-Status2: 00000000
    X-Mozilla-Keys:
    Return-Path: &lt;
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]&gt;
    X-Original-To: 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br
    Delivered-To: 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br
    Content-Transfer-Encoding: 8bit
    Received: from meinedomain.server4you.de (meinedomain.server4you.de [85.35.256.46]) by linux08.vhtelecom.com (Postfix) with ESMTP id 5BB3817C7045 for &lt;
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br&gt;; Wed, 24 Jun 2015 00:28:35 -0300 (BRT)
    Received-SPF: pass (linux08.vhtelecom.com: domain of meinedomain.server4you.de designates 85.35.256.46 as permitted sender) client-ip=85.35.256.46; envelope-from=
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]; helo=meinedomain.server4you.de;
    Received: from localhost (localhost [127.0.0.1]) by meinedomain.server4you.de (Postfix) with ESMTP id 1A175F1B705 for &lt;
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br&gt;; Wed, 24 Jun 2015 05:07:54 +0200 (CEST)
    X-SpamFlt-Status: Not Detected
    X-Virus-Scanned: Debian amavisd-new at meinedomain.server4you.de
    X-KASFlt-Status: Method: none
    X-KASFlt-Status: Version: 5.2.1
    X-KASFlt-Status: LuaCore: 166 2015-02-18_14-37-18 59b0fb5d1fe0bc13ab72a23d6aa445f4185e0a58
    X-KASFlt-Status: Lua profiles 73664 [Feb 25 2015]
    X-KASFlt-Status: Status: not_detected
    X-KASFlt-Status: {Dosetcrawler: probable amspam}
    X-KASFlt-Status: Rate: 0
    X-SpamFlt-Phishing: Not Detected
    X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
    Received: from meinedomain.server4you.de ([127.0.0.1]) by localhost (meinedomain.server4you.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 35rtBfY9Ycot for &lt;
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br&gt;; Wed, 24 Jun 2015 05:07:53 +0200 (CEST)
    Received: by meinedomain.server4you.de (Postfix, from userid 5008) id D17DAF113DD; Wed, 24 Jun 2015 02:23:53 +0200 (CEST)
    To: &lt;
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ].br&gt;
    Subject: Pedagio 23/06/2015
    X-PHP-Originating-Script: 5008:index.php
    MIME-Version: 1.0
    Content-Type: text/html;
    	charset="iso-8859-1"
    From: &lt;
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]&gt;
    Message-ID: &lt;
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]&gt;
    Date: Wed, 24 Jun 2015 02:23:53 +0200 (CEST)
    Danke

    cu
    Huflatisch
    Geändert von Huflatisch (25.06.2015 um 11:03 Uhr)

  2. #2
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    595

    Standard

    Da ist ganz offenbar dein Server gehackt worden (PHP wahrscheinlich).
    Du solltest schnellstens den Mailbetrieb entweder komplett stoppen oder zumindest für den User "web13" und dann untersuchen, was da los ist.
    Möglichkeiten:
    - Eine Lücke in einem CMS wurde ausgenutzt
    - ein FTP-Passwort war zu leicht zu raten (oder wurde per Trojaner auf einem PC gefunden, der Zugang zu dem Server hat)
    - Shell-Zugang war möglich, Passwort leicht zu raten (oder wurde per Trojaner auf einem PC gefunden, der Zugang zu dem Server hat)

    Um einen Hinweis auf die Ursache zu finden, musst du wahrscheinlich einige Megabytes Logfiles durchsuchen.
    Zusätzlich solltest du dich fragen, ob alle deine Passwörter sicher sind, ob das CMS und alle Plugins up-to-date sind, ob alle Clients, die schreibenden Zugriff zum Server haben können, zuverlässig gegem Schadsoftware geschützt sind.

    hoppala

    Ach so, für die Zukunft wäre Monitoring mit einer Meldung an dich, wenn das System sich unnormal verhält, auch nicht dumm. Wenn du von der Kiste normalerweise 1-2 Mails am Tag verschickst, sollten 20 Mails auf einmal zumindest eine Warnung auslösen, eventuell auch einen automatischen Stopp des Mailsystems, wenn z.B. relativ viele Mails abgelehnt werden.

  3. #3
    Neues Mitglied
    Registriert seit
    25.06.2015
    Beiträge
    3

    Standard

    .... mhhh .... Mist

    Danke für deine Antwort

    unter web13 läuft ein Jommla (eigendlich zwei)
    Habe das Verzeichnis unbenannt. den User in der passwd deaktiviert.
    verschidene htmls des einen Jommlas haben diverse "href=" Einträge
    Postfix lässt sich nicht stoppen .... startet immer wieder
    Auf dem Server läuft ispconfig als Serverwaltung
    Die ispconfig Passwörter auch geändert
    den mysql User auch deaktiviert.

    Trotzdem läuft der Spam munter weiter.

    Wie kann ich das Script finden (rkhunter findet nichts)

    Habe mittlerweile den kompletten client verschoben. keine Verbesserung

    cu
    Huflatisch

  4. #4
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.405

    Standard

    Ah, Joomla...

    [Link nur für registrierte Mitglieder sichtbar. ]

    Vielleicht was in dieser Art?
    Wir kriegen euch alle!

  5. #5
    PKV Schreck Avatar von thomas1611
    Registriert seit
    25.09.2005
    Ort
    in der Mitte Deutschlands
    Beiträge
    3.788

    Standard

    Vermutlich hängt der Queue vom Postfix noch voll und ballert natürlich schon erstellte Mails weiterhin noch raus. Bezüglich Joomla kann ich aus eigener Erfahrung sprechen. Es war eine tödliche Kombination aus falschen Verzeichnisrechten, altem Joomla und einem fehlerhaften Template.
    Sieh die auf jeden fall die Logs vom Webserver an - da erkennt man gut, wohin die Zugriffe liefen.

  6. #6
    Senior Mitglied Avatar von Hippo
    Registriert seit
    05.08.2010
    Beiträge
    2.051

    Standard

    offtopic:

    Respekt vor allen die sich einen eigenen Server antun (oder antun müssen)
    Ich weiß warum ich da die Finger weglasse ...
    Geändert von thomas1611 (25.06.2015 um 13:44 Uhr) Grund: offtopic repariert
    Wer andern eine Bratwurst brät der braucht ein Bratwurstbratgerät ...

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen