PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Seltsam viel ungefiltereter SPAM?! Gehackt?!



xray
27.01.2009, 16:39
Hallo zusammen,

ich habe seit ein paar Wochen verstärkte SPAM-Probleme und wollte einmal bei euch um eine Einschätzung fragen:

Infrastruktur:
Client: MS Outlook 03, SPAM-Filter auf Hoch
Server: Debian-Webserver mit SPAM-Assassin, Punkte: 4

Grundsätzlich hatte ich seit eh und je relativ viel SPAM erhalten (300 pro Tag), aber der Outlook Filter hatte bis auf ein paar wenige Mails alles herausgefiltert in den Junkmail Ordner.
Nun ist es so, dass ich seit Wochen sehr viel SPAM erhalte, der nicht mehr gefiltert wird und zwar seltsamerweise mit meinen Emailadressen (verwalt mit webmaster@ einige Domains) im Absender.
Dies sind keine Return EMails von unzustellbaren Nachrichten sondern einfach SPAM mit meinen eigenen Adressen im Absender.

Teilweise ist sogar SPAM mit einer EMailadresse als Absender, an die ich selbst keinen SPAM erhalte, also das einzige Postfach, das noch SPAM frei ist.

Ich habe einen Linux v-Server mit SPAM SPAM-Assassin, allerdings administriere icht dort kaum etwas, kenne mich nicht so gut aus.
(das ist wohl suboptimal, schon klar). Ich mache alles nötige über Plesk.

Kann es sein, dass mein E-Mailserver gehackt wurde und deswegen die Absenderadressen nun "herausgefunden" wurden?
Mir ist schon klar, dass mich jeder als Abesender bei einem SPAM-Versand eintragen kann, aber es sind wie gesagt Adresse darunter, die nicht im Internet bekannt sind.

Noch zu den Inhalten der Mails, die nicht gefiltert werden:
Betreffs so Dinge wie "Email Handling Opinion Needed", "New products everyday at our chemists."...

Was meint ihr dazu?

TillP
27.01.2009, 16:50
webmaster [at] ... ist ein sogenannter role account, ähnlich wie abuse@, postmaster@ etc.

Da kann der Spammer fast sicher davon ausgehen, dass die existieren.



Natürlich kann es sein, dass der Server gehackt wurde, aber wahrscheinlicher ist, dass der Spammer die Adresse geraten hat.

Lösungen:
1) Abwarten. Nach 2-3 Tagen ist die Welle meist vorrüber
2) Wenn es öfter passiert: Filtern, Mails unter deinem Absender, die von einem externen Server kommen, kannst du löschen.

alariel
27.01.2009, 17:09
Client: MS Outlook 03
Autsch! :D *SCNR*


Nun ist es so, dass ich seit Wochen sehr viel SPAM erhalte, der nicht mehr gefiltert wird (...)

Ich habe einen Linux v-Server mit SPAM SPAM-Assassin, allerdings administriere icht dort kaum etwas, kenne mich nicht so gut aus.

(...) Kann es sein, dass mein E-Mailserver gehackt wurde und deswegen die Absenderadressen nun "herausgefunden" wurden?

Aaalso...
1) Definiere "nicht gefiltert" -> Outlook filtert nicht, oder SA erkennt nicht?
bei a) müsste lediglich ein (weiterer) Filter auf Header gesetzt werden. Bei Thunderbird reicht es, ein Häkchen zu setzen bei "Junk-Kopfzeilen dieses externen Filters vertrauen: Spamassassin".
bei b) wäre dann der Spamreport interessant (den lasse ich bei meinem Exim mit in den Header packen), um zu sehen, welche Regeln überhaupt gegriffen haben.

2) Nunja. Jeder fängt mal an... ;)
Wie authentifizierst Du denn den Versand?

3) Solange es nur bei Dir einschlägt, und nicht von Dir aus bei anderen, werden das geratene Adressen sein.

P.S.: Wann bzw. wie oft lässt Du denn sa-update laufen? Sollte theoretisch 1x täglich im crontab stehen...

xray
27.01.2009, 17:47
Also das Ganze geht schon 4 Wochen, ich dachte auch, es würde nach ein paar Tagen aufhören:(

Mit nicht gefiltert meine ich: SA erkennt nichts UND Outlook filtert es nicht in den Junk Mail.

Wie bekomme ich denn am einfachsten heraus, ob mein Mailserver selbst SPAM versendet?
Ich vermute, dass mein SA nicht mehr aktuell ist, liegt an einem Problem in Plesk, ich kann nicht mehr updaten.... (anderes Problem).

Wie kann ich denn in Outlook eine Regel erstellen, bei der auch berücksichtigt wird, ob die Mails von meinem Mailserver kommen?

Übrigens: Bisher war ich mit dem Outlook Filter sehr zufrieden, nahezu nichts fälschlicherweise als SPAM erkannt, das is mir das wichtigste.

alariel
27.01.2009, 22:00
Mit nicht gefiltert meine ich: SA erkennt nichts UND Outlook filtert es nicht in den Junk Mail.
OK, das eine erklärt natürlich das andere. Für mich hört sich das im Moment so an, als sei SA entweder abgestürzt (dann liefert der MTA die Mail ungeprüft aus - sollte in den Logfiles stehen, á la

2011-11-11 11:11:1 1LRQbe-0001Hr-00 malware acl condition: spamd: unable to connect to UNIX socket /var/run/spamassassin/spam.sock (No such file or directory)
), oder aber Dein SA ist so veraltet, dass er nix mehr findet. Aber gar keine Markierung deutet eigentlich auf eine fehlende Funktionalität von SA hin.


Wie bekomme ich denn am einfachsten heraus, ob mein Mailserver selbst SPAM versendet?
So direkt? Gar nicht. Es sei denn, jemand beschwert sich. Aber Google mal nach "open relay test" oder "open relay check". z.B. bei http://www.dnsgoodies.com/.
Damit schliesst Du zumindest aus, dass der Server schlicht als Relay genutzt wird.
Pauschal rejecte ich per iptables auch schonmal vieles, was aus mir besonders auffälligen Netzen auf Port 25 kommt und schalte ggf. nur einzelne MX frei, die Firmen gehören, wo ich Support brauche... ;)


liegt an einem Problem in Plesk, ich kann nicht mehr updaten....
Mal nebenbei gefragt... kannst Du Dich neben Plesk auch normal auf dem Server anmelden? Also per ssh?
falls ja, sag' doch mal, was ggf folgende Befehle an Ausgabe bringen:

/etc/init.d/spamassassin status
ggf.: /etc/init.d/spamassassin start
und
sa-update
Ein ps -A sollte auch spamd zeigen, falls nicht: Wie oben Spamassassin starten...
Und mal einen Blick in die Logs werfen, da sollte sich dann einiges finden (könnte mail, mail.log, mail.err ... oder so ähnlich sein)


Wie kann ich denn in Outlook eine Regel erstellen, bei der auch berücksichtigt wird, ob die Mails von meinem Mailserver kommen?
Öh... Ganz ehrlich, keine Ahnung. Für Thunderbird würde ich das ein oder andere zu probieren haben, aber mit Outlook kenne ich mich einfach nicht aus ;)

Gruß,
alariel

xray
27.01.2009, 22:15
Also

/etc/init.d/psa-spamassassin status >> "is running"

/etc/init.d/sa-update gibts nicht, liegt wohl an der "Pleskvariante" von SA oder?

Relay etc. sollte alles abgeschalten sein, hatte ich zumindest bei der Einrichtung nichts angefasst und im Log hab ich auch viele "relay locks".
Ich dachte eher an einen Rootkit/Bot, da ich so lange Plesk und damit Debian nicht upgedatet hab.
Was nehm ich denn als Virenscanner zum Testen?

In den Logfiles seh ich keine Fehler bzgl. SA.

TillP
27.01.2009, 22:29
Warum kannst du denn Plesk nicht updaten?

Es wäre natürlich denkbar, dass diese Update-Funktionalität durch einen Virus lahmgelegt ist. Aber ich vermute, dann wüßten hier einige davon, da so etwas dann nicht nur einen trifft und auch in der Presse landet.


Stell doch mal die Kopfzeilen einiger Mails hier rein, dann können wir schnell feststellen, von wo die Mails kamen.


Gegen Rootkits gibt es für Linux das Tool "Rootkit Hunter", das scannt das System recht gut.

alariel
27.01.2009, 22:34
sa-update liegt nicht in /etc/init.d/ sondern (ich glaube) in /usr/bin, zumindest aber im normalen Suchpfad... sollte also von egal wo aus funktionieren. ;)

Nachtrag zu oben:
Nach PN-Austausch Relaytests und Portscan durchgeführt: Kein Relay, keine auffälligen Ports auf die Schnelle. Server in keiner einschlägigen Blacklist geführt.

Daher meine Vermutung: SA-Regeln veraltet. :confused:

xray
27.01.2009, 22:38
Hier mal eine gerade angekommene SPAM-Mail, die nicht gefiltert wurde.
Dort seht ihr auch die SA Angaben. Sehr seltsam irgendwie, ein negativer Score?

Microsoft Mail Internet Headers Version 2.0
Received: from srv ([192.168.201.4]) by meinedomain.de with Microsoft SMTPSVC(6.0.3790.3959);
Tue, 27 Jan 2009 xx:xx:xx +0100
Return-Path: <p [at] meinedomain.de>
Delivered-To: poor [at] spamvictim.tld
Received: (qmail 15413 invoked by UID: [UID filtered]
Delivered-To: poor [at] spamvictim.tld
Received: (qmail 15409 invoked from network); 27 Jan 2009 xx:xx:xx +0100
Received: from 77-253-15-39.adsl.inetia.pl (77.253.15.39)
by meinedomain.de with SMTP; 27 Jan 2009 xx:xx:xx +0100
Return-path: <p [at] meinedomain.de>
Received: from [77.253.15.39] (port=39847 helo=77-253-15-39.adsl.inetia.pl)
by mail.meinedomain.de with esmtp
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 27 Jan 2009 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Tue, 27 Jan 2009 xx:xx:xx +0100
From: "Myron" <p [at] meinedomain.de>
User-Agent: Thunderbird 2.0.0.9 (Windows/20071031)
MIME-Version: 1.0
To: "Randall" <poor [at] spamvictim.tld>
Subject: Yahoo! Games
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on
meinedomain.de
X-Spam-Level:
X-Spam-Status: No, score=-1.7 required=3.0 tests=ALL_TRUSTED,HTML_MESSAGE,
MIME_HTML_ONLY autolearn=ham version=3.0.3
X-OriginalArrivalTime: 27 Jan 2009 xx:xx:xx.0832 (UTC) FILETIME=[DA222300:01C980C6]

xray
27.01.2009, 22:45
sa-update liegt nicht in /etc/init.d/ sondern (ich glaube) in /usr/bin, zumindest aber im normalen Suchpfad... sollte also von egal wo aus funktionieren. ;)

Nachtrag zu oben:
Nach PN-Austausch Relaytests und Portscan durchgeführt: Kein Relay, keine auffälligen Ports auf die Schnelle. Server in keiner einschlägigen Blacklist geführt.

Daher meine Vermutung: SA-Regeln veraltet. :confused:

sa-update liegt nicht in /usr/bin und auch nicht im normalen Suchpfad, kann es nicht ausführen:(

TillP
27.01.2009, 22:52
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on
meinedomain.de


Noch Fragen?
Du solltest mal ein Update durchführen.



Geht nicht zählt nicht als Ausrede. Irgendwo zahlst du schließlich für den Server und hast da auch Support.

alariel
27.01.2009, 23:09
Wenn das per Plesk nicht geht, sollte zum Ziel führen:


apt-get update
apt-get upgrade

Sofern das mit Plesk schon länger nicht geht könnte dabei einiges rumkommen...

Und ich muss TillP zustimmen - Du bezahlst, es ist ein Virtual.. also müssen die dafür sorgen, dass alles funktioniert ;) - So meine Meinung.

Aktuell ist in den Repositories (OK, Ubuntu jetzt... aber ein großer Unterschied is das ja nicht): spamassassin 3.2.4

P.S.: Sofern das nichts bringt bliebe natürlich der Weg, das Ganze aus den Sourcen zu erstellen ;)

P.P.S: Irgendwie kann ich den Weg der Mail auch nicht wirklich nachvollziehen... die wird intern von einem Postfach ins nächste geschubst? Wieso nicht per Alias...?

xray
27.01.2009, 23:54
Hab mal gelesen, dass man Updates NUR über Plesk und bloß nicht manuell per apt-get durchführen soll, da sonst Plesk nicht mehr gehen könnte.
Da der Plesk Autoupdater nicht funktioniert, hatte ich bisher kein Update gemacht.

Support hab ich natürlich dafür keinen vom Provider, der sagt, das is meine Sache...

Mein Update Problem is folgendes.
Der Autoupdater bietet mir alle Updates an (Plesk 8.1.x bis 9.0, da wird dann auch SA aktualisiert nehm ich an), aber immer wenn ich auf Update klicke erhalte ich:

"Not found source for system packages (release 3.1, codename sarge) in APT software sources configuration"

Ich habe folgende (unveränderte source.list):
--------------
# See sources.list(5) for more information, especialy
# Remember that you can only use http, ftp or file URIs
# CDROMs are managed through the apt-cdrom tool.
#deb http://http.us.debian.org/debian stable main contrib non-free
#deb http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free
deb http://ftp.freenet.de/debian stable main contrib non-free
deb http://security.debian.org stable/updates main contrib non-free

# Uncomment if you want the apt-get source function to work
#deb-src http://http.us.debian.org/debian stable main contrib non-free
#deb-src http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free

deb http://autoinstall.plesk.com/debian/PSA_8.1.0 sarge all

deb http://autoinstall.plesk.com/debian/PSA_8.1.1 sarge all

deb http://autoinstall.plesk.com/debian/PSA_8.2.1 sarge all

deb http://autoinstall.plesk.com/debian/PSA_8.3.0 sarge all
--------------


Ich habe auch bereits etwas mit der source.list gespielt und weitere Einträge probiert (aus anderen Forenbeiträgen), hat aber nicht geklappt.

Was meint ihr?

xray
27.01.2009, 23:59
P.P.S: Irgendwie kann ich den Weg der Mail auch nicht wirklich nachvollziehen... die wird intern von einem Postfach ins nächste geschubst? Wieso nicht per Alias...?

Ist noch ein PopCollector für einen Exchange mitdrinn, spielt aber für das Problem keine Rolle...

TillP
28.01.2009, 00:08
Ich kenne deinen Provider nicht, aber mal daran gedacht, ein Backup der Daten zu ziehen und das System neu aufzusetzen?

Das geht ja bei den meisten Anbietern recht einfach und würde dir vermutlich einiges an Ärger ersparen.


Wobei ich bei solchem Support auch immer einen Kündigungswunsch verspüre, aber das ist meine persönliche Sache.

alariel
28.01.2009, 00:09
Okay... 3.1 ist "oldstable".

*kopfkratz*
Also, wenn Du mal ein kleines Risiko eingehen willst, wäre ggf. ein Upgrade auf Etch anzuraten. Wenn Plesk in der sources.list mit drinne ist sollte sich das ggf. auch de- und wieder installieren lassen.

Vgl. -> http://channel.debian.de/faq/ch-dpkgundco.html, Punkt 2.14.

Da ich nie damit gearbeitet habe... wozu braucht man denn eigentlich Plesk?

xray
28.01.2009, 09:05
Plesk ist für Leute wie mich, die sich nicht mit Linux auf der Kommandozeile auskennen sondern alles schön über eine Weboberfläche administrieren wollen:-)


Ich kann ein Plesk Backup mit allen Daten und Konfigurationen erstellen, aber ob das alles so klappt, nachdem ich upgegraded habe... das ist mir fast zu Risikoreich.

Hat denn jemand eine Idee bzgl. der Updater Fehlermeldung?

alariel
28.01.2009, 10:04
Ah... also sowas wie Webmin ;)

Backups würde ich mit tar machen, und zwar die Daten, die Du benötigst. Also das Wichtigste aus /etc und /var

Ich habe nach dem Totalabsturz (die Hardware hat weisse Fähnchen geschwenkt) kürzlich incl. kompletter Neuinstallation und Backup auf neues Betriebssystem ca. 1 Tag gebraucht, bis alles wieder lief. Allerdings musste ich auch eben wegen des Wechsels noch ein wenig an der Konfig schrauben.

Gerade Debianbasierte Systeme haben mit Upgrades eigentlich eher weniger ein Problem ;)

Warum das mit dem Plesk nicht geht - ich vermute schlicht und einfach, das wird für oldstable (also sarge) nicht mehr vorgehalten. Die Debian-Repositories selbst sind ja auch nur noch "archieved".

Ich glaube nicht, dass Du um ein Upgrade herumkommst. Über kurz oder lang sowieso nicht. Aber da Du keine wirklich schwerwiegenden Probleme hast, hast Du ja auch genügend Zeit, das vorzubereiten. Programme etc. sind egal, die lassen sich immer installieren. Wichtig sind lediglich die Configs, und ggf. natürlich die Inhalte (html, mail, etc.pp).

Gruß,
alariel

xray
28.01.2009, 10:13
Ich würd am liebsten den Pleskupdater nutzen, da ich ja alles über Plesk verwalte...

Kann ich nicht die source.list anpassen, damit die Dateien von einem anderen Mirror gezogen werden können?

alariel
28.01.2009, 10:47
Kann funktionieren. Muss nicht.

Ich kann's net beschwören, aber mir persönlich erscheint das Risiko hier noch höher als bei einem normalen Upgrade... Du hast mal wieder PN ;)

Wenn Du alle Source änderst machst Du ja nichts anderes als ein Upgrade... nur dass es dann heissen muss, apt-get distro-upgrade ;)

alariel
28.01.2009, 12:46
Ach ja... gerade gefunden.

Wegen des ALL_TRUSTED, das ja offensichtlich falsch ist im Spamreport, siehe hier:

http://wiki.apache.org/spamassassin/TrustPath

Hast Du in der local.cf alle Variationen definiert?

xray
28.01.2009, 14:17
Aktuell würde mir ein SA Update ausreichen, um das SPAM Problem einzugrenzen.

Wie würde ich das dann manuell am elegantesten lösen, ohne allzuviele andere Komponenten damit zu "belästigen", also zu verändern?

Gibts denn in den neue SA Versionen seit meiner erhebliche Veränderungen hinsichtlich Schnittstellen oder Configs, also wäre eine Gefahr, dass Plesk es nicht mehr verwalten kann oder wurden nur die Engine/Definitionen verbessert?

alariel
28.01.2009, 15:07
Im Grunde verwaltet sich SA ja allein - eben via sa-update. Prinzipiell besteht natürlich die Möglichkeit, das Ganze selbst via CPAN zu installieren/upzudaten.

# Everyone: SpamAssassin can be downloaded from CPAN, as the module Mail::SpamAssassin:

sudo cpan Mail::SpamAssassin
(-> http://spamassassin.apache.org/downloads.cgi?)
Da ich wie gesagt keinen Schimmer von Plesk habe, kann ich natürlich nicht sagen, ob SA dann darüber extra zu verwalten ist. Eine "Verwaltung" ist ja eh nur a) das wie auch immer geartete Ändern der Config-Files und b) ein (re)start von spamd. Viel Verwaltungsarbeit kann das also nicht sein...

Apropos, vielleicht hab' ichs überlesen...
Plesk kann SA nicht mehr Updaten, oder Plesk kann _sich_selbst_ nicht mehr Updaten?
In letzterem Falle werden die nämlich sarge nicht mehr unterstützen, was die Probleme erklärt...

1-1-1
29.01.2009, 12:29
Hallo xray, ich kenne zwar nicht Deinen Anbieter für den vServer aber prinzipiell sollte folgendes möglich sein:


Backup (geht meistens über Kundenlogin) anlegen.
Über FTP ("Plesk" geht auch, "Virtuozzo" geht besser) Verzeichnisse /var/www/vhosts/DEINEDOMAIN.tld/httpdocs/ und, wenn Subdomains vorhanden, die Verzeichnisse /var/www/vhosts/DEINEDOMAIN.tld/subdomains/DIESUBDOMAIN/httpdocs/ sichern (dabei natürlich die dazugehörigen Verzeichnisnamen gut merken). Schon hast Du die Websites gesichert. Solltest Du https verwenden, sind auch die entspr. Verzeichnisse ~/httpsdocs fällig; solltest Du CGI verwenden bitte nicht die Verzeichnisse ~/cgi-bin vergessen.
Wenn Du nicht wie ich mehrere Domains, viele Subdomains und X E-Mail-Accounts benutzt, greife zu einem Blatt Papier und notiere Dir die Informationen.
Nun in die Kundenanmeldung Deines Anbieters und dort "Neuinstallation" suchen und finden! Wenn mehrere BS zur Auswahl stehen unbedingt wieder "Debian" wählen, sonst stimmen die Verzeichnisse nicht mehr!
Domains, Subdomains und E-Mail-Accounts wieder einrichten. Jetzt die gesicherten Dateien wieder an ihren Platz.

Achtung diese "Kochbuch" funktioniert nur, wenn Du ansonsten nichts weiter auf Deinem vServer angestellt hast! Sollte die Neuinstallation über Kundenzugang nicht möglich sein (wäre echt traurig), Schritte 1 bis 3 erledigen und dann Deinen Anbieter wg. einer Neuinstallation anfunken!

Manuelle Update-Versuche haben in Deinem Fall nicht viel Sinn, das System ist total überaltert. Viele Einstellungen (Verzeichnisse) werden bei der Installation mit "Plesk" in das System eingeschleppt!

(ggf. weitere Hilfe über PN)