PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Extrem-Spamming



matman
22.07.2009, 10:50
Ein Bekannter von mir erzählte mir vor einiger Zeit, das Er eine eMail-Adresse hat, die so extrem zugespammt wird, dass sie nicht mehr nutzbar ist. Er betreibt ausserdem eine Domain, ich schätze mal mit einem der üblichen Hosting-Pakete. Kann man da eigentlich noch irgendwas machen um dieses Extrem-Spamming los zu werden?

Ich betreibe nämlich auch eine Domain und je bekannter die wird, um so mehr wird auch das Spamaufkommen. Nun könnte man, wenn eine Adresse total dicht gespammt wird, diese ja einfach ausser Betrieb nehmen und gegen eine andere ersetzen. Aber der Server, welcher die zugehörige Domain hostet, der wird doch vermutlich trotzdem noch mit massig eMails überflutet, die er dann zwar keiner Adresse zuordnen kann, was aber trotzdem Rechenleistung erfordert. Gibt es schon gute Lösungsansätze, wie in solchen Extremsituationen vorgegangen wird und kann der Webhoster in solchen Situationen wirksam helfen?

alariel
22.07.2009, 11:25
Naja, damit muss man halt leben. Allerdings hält sich der Rechenaufwand bei frühzeitigen Drops in Grenzen...


There have been 2508 rejected messages in sum.
Rejected by ZEN : 2386,
Rejected by NiX : 52,
Rejected by SpamCop: 0,
Rejected by SORBS : 1.

Damit kann ich locker leben ;)
(Vor allem, weil das nur 2/3 bis 1/2 des normalen Aufkommens ist...)
Es bleibt ja bei einem Kurzkontakt - die Verbindungen werden schon beim Connect gekappt, so dass hier eigentlich nur der Traffic für die Blacklist-Prüfung anfällt. Und der macht den Leitungsbraten nicht fett.
In welchem Volumen bewegt sich das denn bei Deinem Bekannten?

Später kommt dann noch Spamcop ins Spiel, der mir noch einiges an Spam vom Hals hält.

matman
03.08.2009, 15:52
In welchem Volumen bewegt sich das denn bei Deinem Bekannten?
Keine Ahnung. Ich weiss auch nicht, ob der überhaupt Spamfilter nutzt. Und da ich den eh nur selten sehe weiss ich auch in nächster Zeit nichts genaueres. Ich wollte nur mal nachfragen, was es in Problemfällen für Möglichkeiten gibt, weil ich ja nunmal auch eine Webseite betreibe und wegen der Impressum-Pflicht kommt man ja leider nicht drum herum, dort seine eMailadresse zu veröffentlichen.

Goofy
03.08.2009, 16:18
Grundsätzlich würde ich bei kleineren Web-Projekten nicht unbedingt empfehlen, eine Mailadresse mit global Part von der Domain anzugeben, auf der auch die Webseite liegt. Sondern dann sollte man eher einen Account bei einem Freemailer aufmachen, den man dann bei Überspammung knicken und wechseln kann. Man sollte dann natürlich nicht vergessen, whois-Domain-Daten und Impressum anzupassen.

Empfehlenswert ist auch die Verschlüsselung von Mailadressen mit css-Skripten.
http://de.wikipedia.org/wiki/Spam#Verschleierung_von_E-Mail-Adressen

Alle gängigen Browser können css, damit ist das barrierefrei. Wogegen das Einstellen der Mailadresse auf einer Grafik möglicherweise abmahnfähig ist, weil z.B. für Blinde über Sprachausgabe nicht lesbar.

Unicode-Verschlüsselung wird dagegen heutzutage von den Harvest-Bots geknackt und gilt nicht mehr als sicher.

Es hilft auch, die Mailadresse nicht in der zweiten Directory-Ebene auf der Seite einzustellen, sondern auf einer dritten Ebene.
Dass man z.B. ein Impressum einstellt, dort Namen, Adresse, dann einen Link auf eine Unterseite mit dem css-Skript, wo dann die Mailadresse drin steht.
Die allermeisten Harvest-Bots durchsuchen angeblich die Homepage und alle Unterseiten der ersten Link-Ebene, aber aus Gründen des Rechenaufwands und Traffics gehen die meisten wohl nicht mehr auf die dritte Linkebene, sondern sie geben sich mit dem zufrieden, was sie vorher gefunden haben.
Da können ja z.B. ein paar Spamtrap-Adressen stehen. Schriftfont small, Schriftfarbe weiß, Background ebenfalls weiß. Sieht der normale User nicht, aber der Bot greift sich das.

alariel
03.08.2009, 16:20
Nun, wenn der Spam nicht aus einem Raum kommt, wo dagegen einigermaßen vorgegangen werden kann, dann wird das - mehr oder weniger - schwierig.

Eine technische Lösung (Blacklists und Spamassassin) halte ich für ein muss. Du siehst ja selbst, was da bei mir so hängenbleibt, allein aufgrund der Blacklists. Was da dann noch durchkommt übernimmt der SA recht gut, nur ab und an muss er mal wieder etwas nachtrainiert werden.

Zusätzlich habe ich für den kompletten APNIC- (Asia Pacific) Adressraum die Ports für SMTP gesperrt; will sagen, die kommen nichtmal bis zum connect...

Und zum letzten gibt es auch noch die Droplist von Spamhaus, welchselbe ich regelmäßig in die hosts.deny einpflege.

VIEL mehr kann man nicht tun - es sei denn, man kann den Spammern direkt auf die Füsse treten.

(*) Natürlich hilft obiges nur dann, wenn man auch selbst den Mailserver betreibt. Ansonsten ist wohl Goofys Verfahren das einzig verbleibende ;)

alariel
05.08.2009, 08:02
Nur nebenbei... ich liebe Blacklists. Mein Mailserver hat wie gesagt nur ein recht geringes Aufkommen, aber dennoch reicht's mitunter für 1mail/3sec Rejected.
Wobei manchmal erhebliche Schwankungen pro Tag auftreten; vorgestern fast 9000 Mails, gestern wieder "nur" 2500.
Interessant finde ich die Peaks rund um 18:00h und um 00:00h...

ghost0815
05.08.2009, 08:12
Bezüglich der Rechenleistung kann ich prinzipiell nur Entwarnung geben.
Bei meinem vorherigen Arbeitgeber hatten wir ein monatliches Mailaufkommen von ~60 Millionen Mails bei 300 Usern. Ergo ~ 2 Millionen Mails pro Tag. Davon waren durchschnittlich 98,3 Prozent Schrott. Vor Einführung von hardwareseitiger Werbemüllvernichtung waren 2 MS Exchange als Cluster zuständig. Diese waren mit SPF und dem normalen Rumgefrickel gegen Müll konfiguriert.
Die Last dieser beiden Blechdosen, mit jeweils einem P4 3 GHz ausgestattet, lag bei ~ 8 Prozent CPU Last. Im Vergleich zu anderen Mailservern ist MS nicht gerade für Ressourcenschonende Programmierung bekannt.
Aus dieser Sicht kannst du also beruhigt sein.

ihnocent
19.01.2010, 18:08
Moin,
ich hoffe Ihr könnt mir helfen, ich habe ein ähnliches Prob.
Ich habe mir vor ein paar Wochen einen VServer gekauft.
Habe dort Ubuntu mit qmail und Plesk drauf.
Als Spamfilter habe ich ASSP installiert.
Es läuft auch alles sehr gut...
Nur habe ich seit letztem Freitag sehr viel Smtp Sessions... irgendwer versucht glaube ich über meinen Server mails zu versenden.
Die werden auch alle wunderbar von dem ASSP geblockt... doch verstopfen die vielen Sessions meinen Server und der Mailversand läuft sehr schleppen (verständlich bei 200Mails/min), der Perl dienst liegt bei 90% dauerhaft....
Kann mir ja jemand helfen?
Ich habe die Maximale SMTP Session anzahl schon auf 64 reduziert, damit der Server nicht voll ausgelastet ist, aber ich würde gerne das Problem bei den Haaren packen.

Ich bedanke mich nun schon mal für eure Hilfe.
GLG Ihno

actro
19.01.2010, 18:25
Du kannst die maximal gleichzeitig von einer IP ausgehenden Connections noch limitieren.

Einfach

smtpd_client_connection_count_limit = 3

unter den smtp-restrictions in die /etc/postfix/main.cf einfügen.
Wenn das nicht hilft, melde Dich nochmal, es gibt da noch einige tweaks, die helfen können.

Eventuell solltest Du die Einwerfer aber durch eine RBL direkt vor dem Einwurf schon blocken..


smtpd_helo_required = yes
smtpd_helo_restrictions = permit_sasl_authenticated,
permit_mynetworks,
check_sender_access hash:/etc/postfix/sender_access
reject_unauth_destination,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_non_fqdn_hostname,
reject_invalid_hostname,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dialup.blacklist.jippg.org,
reject_rbl_client cbl.abuseat.org,
reject_unauth_pipelining

ihnocent
19.01.2010, 20:41
Vielen dank für die schnelle Antwort...
wo kann ich die Einstellungen in der ASSP config finden?
Bei mir gibt es keine /etc/postfix/main.cf
auf dem ganzen Server gibt es keine "main.cf"

Meinst du vll ?
Maximum Sessions Per IP Address (maxSMTPipSessions)
Habe ich mom auf 1.

LG Ihnocent

homer
19.01.2010, 20:54
Bei mir gibt es keine /etc/postfix/main.cf
auf dem ganzen Server gibt es keine "main.cf"
Ja, hast ja auch qmail.

Entweder, du machst das über die Firewall (http://www.mail-archive.com/qmail-ldap [at] qmail-ldap.org/msg05389.html) oder du patchst qmail (http://linux.voyager.hr/ucspi-tcp/). Ich weis aber nicht, ob das mit dem qmail von Plesk geht. Ich jedenfalls hab mit dem Patch nur gute Erfahrungen gemacht.

knoerfli
19.01.2010, 21:06
Habe dort Ubuntu mit qmail und Plesk drauf.

wirste dann ja auch nicht finden :-)
Weil die Anleitung war für Postfix

eventuell kommst du hiermit weiter (http://windtear.net/archives/2004/04/21/000288.html)

Edit: war jemand schneller, sollte halt nicht nebenbei telefonieren

actro
19.01.2010, 21:25
Ups.. sry, mein Fehler, hab das nur so zwischen Tür und Angel gelesen..

ihnocent
19.01.2010, 21:38
@knoerfli mit dem link kann ich geradenicht sehr viel anfangen...

@homer mein assp hat ja schon die Session limitiert, da muss ich das doch nicht noch am qmail machen, oder?
Die Geschichte per iptables zu blocken habe ich schon versucht... aber iwi sind das zuviele verschiedene Adressen.

Danke!

alariel
19.01.2010, 22:06
Kannst Du - ländertechnisch - da was ausmachen?

Ich persönlich bin gut dran, ich bekomme z.B. keine Mails aus dem asiatischen Raum, und blocke daher alles, was unter "APNIC" läuft (und LACNIC... und AfriNic (o.ä.)) per iptables.

Dazu kommen dann diverse Blacklists... und ziemlich zum Schluss Spamassassin...

Da ich Exim als MTA einsetze, kann ich Dir bei der spezifischen Konfig ASSP/QMail leider nicht wirklich weiterhelfen ;)

homer
19.01.2010, 22:27
@homer mein assp hat ja schon die Session limitiert, da muss ich das doch nicht noch am qmail machen, oder?
Hab grade nochmal nachgeschaut. Plesk fackelt die ganzen Services über den xinetd ab. Da brauchst Du den Patch nicht, weil der nur für die ucspi-Tools vom DJB ist. Schau die mal die Manpage für xined.conf (http://linux.die.net/man/5/xinetd.conf) an, besonders die Attribute
"instances" = max. Anzahl aufgerufener Prozesse
"no_access" = zu blockende IP-Adressen
"per_source" = max. Anzahl Verbindungen pro IP
"max_load" = ab dieser Systemlast wird der Dienst nicht mehr gestartet

Wenn auch dein Plesk den SMTP oder dan ASSP via xinetd startet, so ist das besser gleich im xinetd zu blocken. Der läuft eh und ist ein C-Programm. Da muss nicht erst der ganze PERL-Overhead geladen werden.

BTW: Die Konfig-Dateien für den SMTP liegen in "meiner" Plesk-Installation unter /etc/xinetd.d als smtp_psa und smtps_psa.

ihnocent
20.01.2010, 08:37
sry brauchte meinen Schlaf.

Ich wollte den kram schon ländermäßig blocken...
nur habe ich da wenig erfolg gehabt...
Habe folgende Länder geblockt...
AK,AR,AE,AFGBOL,BRA,CN,PH,CO,COL,CL,TH,VE,TW,AE,IN,UA,IDN,KHM,LAO,MNG,NPL,PNG,PH L,VNM,YEM,JOR,KAZ,PSE,SYR,TJK,UZB,ECU,GTM,HTI,HND,NIC,PER,ID,RO,GR

mittels kleinem script.

---------------------
!/bin/bash
###PUT HERE COMA SEPARATED LIST OF COUNTRY CODE###
COUNTRIES="AK,AR,AE,AFGBOL,BRA,CN,PH,CO,COL,CL,TH,VE,TW,AE,IN,UA,IDN,KHM,LAO,MNG,NPL,PNG,PH L,VNM,YEM,JOR,KAZ,PSE,SYR,TJK,UZB,ECU,GTM,HTI,HND,NIC,PER,ID,RO,GR"
WORKDIR="/root"
#####################################
cd $WORKDIR
wget -c --output-document=iptables-blocklist.txt http://blogama.org/country_query.php?country=$COUNTRIES
less /home/ihno/iptables_ips >> iptables-blocklist.txt
if [ -f iptables-blocklist.txt ]; then
BLOCKDB="iptables-blocklist.txt"
IPS=$(grep -Ev "^#" $BLOCKDB)
for i in $IPS
do
iptables -A INPUT -s $i -j DROP
iptables -A OUTPUT -d $i -j DROP
done
fi
rm $WORKDIR/iptables-blocklist.txt
----------------------------------------

hat nur iwi nichts gebracht und meine Iptables sind nun endlos lang...
es geht mir nicht um die maximale Anzahl von Prozessen.
Der ASSP (Perl) lastet den einen Kern zu 100% aus....
Wenn ich die Anzahl der geöffneten SMTP Verbindungen verringere, dann werden vielleicht ja auch e-mails die ich empfangen will geblockt... bzw. die verarbeitung der eingehenden Mails staut sich auf....
kann ich denen nicht irgendwie klar machen, dass bei mir nichts zuholen ist?
Bzw. dem ASSP dass er nur auf meine Domains hören soll oder das man sich bevor man n mail abgibt sich authentifizieren muss.

homer
20.01.2010, 09:38
es geht mir nicht um die maximale Anzahl von Prozessen.
Das hilft aber, um die Systemlast zu drücken.


Wenn ich die Anzahl der geöffneten SMTP Verbindungen verringere, dann werden vielleicht ja auch e-mails die ich empfangen will geblockt... bzw. die verarbeitung der eingehenden Mails staut sich auf....

Das sind die Verbindungen pro IP. Es es können also bequem z.B. 100 IPs Mail einliefern, aber nicht eine IP gleichzeitig 100 Mails. Und das ist nach meiner Erfahrung ein Kriterium für Spammer, dass da versucht wird, gleichzeitig über 20 oder mehr Verbindungen Mail einzuliefern.

Geblockt wird da erstmal nix, der Server meldet normalerweisen einen 4xx-Status. Der Absender weiss dann, dass er es einfach später nochmal probieren muss. Du verlagerst also praktisch die Mailqueue auf den einliefernden Server ;) Das ist aber ein völlig normales Verhalten.

Im Endeffekt wäre das sowas wie "Greylisting für Arme."

ihnocent
20.01.2010, 10:12
ich habe die anzahl von sessions pro ip auf 1 gestellt und die max anzahl von sessions auf 64.

ASSP mach übrigens von haus aus schon Greylisting.

ihnocent
20.01.2010, 12:46
so habe das Prob nun behoben, habe im ASSP folgende Einstellungen auf on gesetzt:
"Do Local Domain Check for Local Sender"
"Do Local Address Check for Local Sender"

Nun läuft aber folgendes Maillog über.
/opt/psa/var/log/maillog

----------------------------------
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28454]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46034 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28457]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46035 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28460]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46036 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28463]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46037 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28466]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46038 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28471]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46039 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28474]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46040 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28477]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46041 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28480]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46042 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28483]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46043 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28487]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46044 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28490]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46045 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28493]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46046 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28496]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46047 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28499]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46048 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28502]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46049 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28507]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46050 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28510]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46051 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28513]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46052 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28516]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46053 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28519]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46054 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28523]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46055 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28526]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46056 (h1665487.stratoserver.net)
Jan 20 xx:xx:xx h1665487 /var/qmail/bin/relaylock[28529]: /var/qmail/bin/relaylock: mail from 85.214.158.74:46057 (h1665487.stratoserver.net)
-----------------------------------
hoffe Ihr könnt mir helfen...

alariel
22.01.2010, 10:23
Da hilft nur ein entsprechendes logrotate - oder (nicht zu empfehlen) das Ausschalten des loggings...

Nebenbei, Ländertechnisch kann man das ganz leicht abferkeln:

# iptables -L MAILDROP
Chain MAILDROP (1 references)
target prot opt source destination
REJECT all -- ppp-net.infoweb.ne.jp/7 anywhere reject-with icmp-net-prohibited
REJECT all -- 60.0.0.0/7 anywhere reject-with icmp-net-prohibited
REJECT all -- 110.0.0.0/7 anywhere reject-with icmp-net-prohibited
REJECT all -- 112.0.0.0/5 anywhere reject-with icmp-net-prohibited
REJECT all -- 120.0.0.0/6 anywhere reject-with icmp-net-prohibited
REJECT all -- 124.0.0.0/7 anywhere reject-with icmp-net-prohibited
REJECT all -- softbank126000000000.bbtec.net/8 anywhere reject-with icmp-net-prohibited
REJECT all -- 133.0.0.0/8 anywhere reject-with icmp-net-prohibited
REJECT all -- 150.0.0.0/8 anywhere reject-with icmp-net-prohibited
REJECT all -- 153.0.0.0/8 anywhere reject-with icmp-net-prohibited
REJECT all -- 163.0.0.0/8 anywhere reject-with icmp-net-prohibited
REJECT all -- 171.0.0.0/8 anywhere reject-with icmp-net-prohibited
REJECT all -- 202.0.0.0/7 anywhere reject-with icmp-net-prohibited
REJECT all -- 210.0.0.0/7 anywhere reject-with icmp-net-prohibited
REJECT all -- 218.0.0.0/7 anywhere reject-with icmp-net-prohibited
REJECT all -- softbank220000000000.bbtec.net/7 anywhere reject-with icmp-net-prohibited
REJECT all -- 222.0.0.0/8 anywhere reject-with icmp-net-prohibited
Usw., usw... wobei das hier die freundliche Variante ist, so dass ggf. ein Admin feststellen kann, woran die Zustellbarkeit (bzw. der Kontaktaufbau) scheitert... ;)
In einer 2. Chain stehen weitaus mehr (und ggf auch kleinere) Blöcke, die dann einfach gedropt werden...
Vorteil: Kein (zusätzlicher) Prozess wie qmail oder assp muss sich um solche Verbindungsversuche kümmern.

Zusätzlich kommt noch die Droplist ( > hosts.deny ) von http://www.spamhaus.org/drop/drop.lasso

carsten.gentsch
26.01.2010, 16:31
Hallo
leider hat sich ein Bot und einige Spammer (3) meine Domain und Email sowie mein localhost als absender ausgesucht.So sind in etwa 100 Emial verschickt wurden. Es kommen aber mehr als diese als unzustelbar zurück??????
Über Einen Fehler im Zugangs zum php sendmail konnten diese heute lustig spammen.(begrenzt allerdings)
Zwischenzeitlich habe ich alle fehlerhaften Progs gelöscht und die DB platt gemacht.
:mad:Mein Provider hat sich auch schon net zu Wort gemeldet.
Was kann man noch dagegen tun und wie lange wird der Spuck dauern.
Die ersten Beschwerden sind bei Hertzner berreits eingegangen. Aber der großteil der Emails kam als unzustellbar zurück.
Frage: was erwartet mich schlimsten falls und wie lange dauert sowas?

gruß

Goofy
26.01.2010, 16:37
Du solltest einen entsprechenden Hinweis auf Deiner Webseite platzieren.

Wenn der Spam wirklich über Deinen Server kam (es gibt auch sogenannte "JoeJobs (http://www.antispam-ev.de/wiki/JoeJob)", wo lediglich Deine Domain als Absender gefälscht wird, aber der Spam von ganz anderer Stelle herkommt), dann sollte das sofort aufhören, wenn die Fehlerquelle beseitigt wurde.

carsten.gentsch
26.01.2010, 16:41
Habe ich erledigt kann nicht mehr erfolgen(von meinerDOmain aus) habe alles platt gemacht und umgeleitet.
Die meisten Mails kommen so zurück aber es sind die ersten Beschwerden da.:mad:
Mein Provider meinte er müsse nun die Anfragen beantworten und Stellung dazu nehmen.
In wie weit kann man für Mißbrauch haftbar gemacht werden?:confused:

Langsam hab ich keine lust mehr auf das INET.:(
also wer ne nette Email mit 50000GP bekommt die ist bestimmt von mir sorry...
Ich hoffe das der Spuck bald vorbei ist:confused:

Goofy
26.01.2010, 19:16
In wie weit kann man für Mißbrauch haftbar gemacht werden?:confused:

Kann man so pauschal nicht beantworten. Wenn Du die zumutbaren technischen Maßnahmen getroffen hast, gemäß allgemeiner Verkehrsauffassung und gemäß dessen, was Dir als Betreiber einer Webseite mit durchschnittlichem technischen Wissen zumutbar ist, dann haftest Du m.E. nicht, wenn Dein Service "gehackt" wurde.

Du haftest lediglich dann als Mitstörer, wenn die Sicherheitslücke so krass war, dass sie auch einen unterdurchschnittlich begabten Hacker zum Mißbrauch regelrecht eingeladen hat, wenn der also mit fast gar keinem nennenswerten Hack-Aufwand Mails versenden konnte und nach der Lücke nicht lange suchen musste.

Wenn es sich aber um einen Konfigurationsfehler gehandelt hat, der nicht sofort offensichtlich war, dann sollte das m.E. kein Problem sein. Warte erstmal ab, ob was nachkommt; im Zweifelsfall Anwalt fragen.

carsten.gentsch
27.01.2010, 14:10
Hallo
@goofy
also ich bekomme jetzt die ganzen irrläufer zurück und sehe an hand der emailadressen das hier bots am werke waren den durchnummerierte und zugefügte Buchstaben sind oft als Emailadresse drin. Ebenso viele von yahoo,hotmail und neu sogar von der us Army. Nur versthe ich nicht wie das gegangensein soll da ja dies über ein Formular Online gelaufen sein müsste.
Und soweit ich weiss sind 1000 oder 10000 Emailadressen kauf gleichzeitig einzufügen oder?
Und wenn das jemand handisch machen würde es doch mehr als 1 Tag dauern?
Zudem begrenz doch PHP und der Mailserver des Providers bei erhöhtem Mailversand oder Traffik wolle ich meinen.
Auf Frage an meinen Provider wie den der Spam versand im Mailserver nicht auffallen konnte wussten die keine Antwort und bei mir im Traffig ist nicht mehr als 3,5mb aber den Monat!

Nun muss ich nochmnal die Logs durchsuchen und nachschauen von welcher IP das ausging.:mad:

Goofy
27.01.2010, 15:04
Das wäre mal das allererste gewesen, was ich geprüft hätte. Vielleicht ist es ja gar nicht über deinen Server gegangen, sondern über stinknormale Spam-Zombies, mit denen Du nix zu tun hast. Dann wäre Deine Domain lediglich als Joe-Job in den Header gefälscht. Kommt häufig vor.

carsten.gentsch
27.01.2010, 15:37
Hallo
Leider diente doch mein bzw. der Server vom Provider diente als Absender. Zumindest habe ich 1 Abusemail geshen wo es so war.
Ich habe in den Logs eben China IPs gefunden die im Minuten und Sekundetakt auf die Domain zugegriffen haben. Berreits am 31.12.09 fanden schonmal solche Angriffe stadt wie ich eben gesehen habe. Da war aber noch nichts weiter Online oder gab es ein Formular.
Alles andere ist nicht auffällig im Logfile bzw. den Stats vom Server.
Aber ebem in dieser Nacht wurden inerhalb 2 Stunden immer wieder von den selben IPs darauf zugegriffen und irgend was ausgeführt.
Ich habe meinem Provider das eben per Email geschierben und die Logs beigefügt.
Den das per Online Formular so schnell so viel gespammt werden kann wäre mir neu.
Zumindest muss doch der Mailserver ne Sperre haben bei derartigen Auffälligkeiten.

gruß

ghost0815
27.01.2010, 16:39
Der Mailserver arbeitet in seiner Grundkonfiguration alles ab was er an technischer Leistung erbingen kann. Dem ist es, ohne Feinjustierung, pieps egal woher was kommt und wohin es soll. Es ist eben nur ein Dienst, ein Server, er dient und zwar soviel er kann.

Per Script, egal ob HTML oder PHP oder Perl oder sonstwas, bombe ich Dir mehr Mails pro Minute raus als Du jemals im Leben an Spam erhalten wirst.
Heutzutage kann man per Script sogar Captcha Abfragen vollautomatisiert durchlaufen lassen. Hier als Grundlage: z.B. iMacros.
Das zu gestalten, inklusive Datenbankpflege um Spreu und Weizen zu trennen, ist ein Kinderspiel.

carsten.gentsch
27.01.2010, 17:09
Hallo

das meinte ich ja das hier per script gemailt wurde bzw. per Bot mein Provider hat das nun endlich auch so gesehen nach dem ich die Logs gemailt hatte.
Nun hab ich wieder was dazu gelernt und auch entsprechend was geändert , alle PWs etc. und erstmal keine Dienste auf der Domain am laufen.
Bis Ruhe ist....:(

danke euch habe mich schon als der neue Spammerkönig von Deutschland gesehen.

carsten.gentsch
31.01.2010, 17:44
@ all
So der Spuck ist vorbei da mein Provider es endlich geschafft hat den Server neu zustarten und den Mailspeicher mit noch einigen Zentausenden!!!! Spammails zu löschen.
Wie die munter weiter spammen konnten und warum es so lange gedauert hat bis es endlich vorbei war konnten die Herren mir aber auch nicht sagen.
2Tage arbeit Streß und viele Tausende Irrläufer dank der Hacker aus China!
Wobei auch IPs aus Nigeria, Deli, Pakistan und Ru daran beteiligt waren was auf ein Botnet schließen lässt!
naja nun endlich alle Dienste gestopt Server neu und alles was nicht msus runter. Mal sehen wie lange es wieder dauert bis der neue Versuch kommt.

nachtrag die Chinesen sind wieder da leider wie sperre ich die aus???
124.115.0.165 immer ie selben IPs`?

Gruß:cool:

MeinerEiner
02.02.2010, 12:54
Hab mir jetzt zwar nicht alles durchgelesen, hast du Root zugriff auf den Server ? Actro hat mir da einige gute Progs empfohlen die helfen bisher ganz gut.

mit Denyhost kannst du die IP auf alle Fälle sperren.

Da von Lynux Distribution zu Distribution unterschiede bestehen kann ich dir pauschal nicht mal sagen wei die Datei bei dir heisst bei mir ist es /etc/hosts.deny

MeinerEiner

carsten.gentsch
02.02.2010, 16:30
Hallo
ja Actro hat mit gesagt wer hier so nett ist und helfen kann. Wir haben gestern dran gesessen und soweit alles zum laufen bekommen. Heute noch ein paar feinheiten dann passt alles.
Gut das auch noch so nette Leute gibt und die helfen 1000 Dank an die 2 Helfer hier aus dem Forum !!!:)

:)

carsten.gentsch
02.03.2010, 22:20
Hallo

Kleiner Nachtrag dazu, nachdem mir mit Hilfe aus dem Forum gezeigt wurde wie man Spammer und Hackern begegen kann ist Ruhe bei mir. Zu besseren Sicherheit habe ich den Emailserver ganz geklemmt, post verlegt und regelmäßige Updates werden gemacht. Für den Emailbedarf nutze ein verlinktes Formularo gehts auch und ich kann wieder ruhig schlafen. Die immer noch auftretenden Site zugriffe werden fein säuberlich gelistet und die fw damit gefüttert. Aber die meisten Spammer und anderen Cyberhalunken bleiben schon mal draußen.:D
Uu guter letzt hilft der hier so oft zittierte Satz "lesen und den googel fragen:D"

thx an alle beteiligten

mass
11.09.2010, 15:58
2Tage arbeit Streß und viele Tausende Irrläufer dank der Hacker aus China!

Na ja, allerdings auch etwas aufgrund eigener Schlamperei, oder?

Grundsätzlich auch empfehlenswert ist es via iptables ein rate-limiting einzustellen. Man weiß ja in der Regel doch, wieviele Mails maximal über den eigenen Server gehen. Das begrenzt den Schaden schon mal deutlich im Fall der Fälle und wer hat schon normalerweise richtig viel Mailaufkommen?

Sowas wie fail2ban und co. kann auch helfen. Zum einen wenn jemand mit der gleichen IP versucht den eigenen Server zuzuspammen, aber auch bei Wörterbuchattacken auf die Authentifizierung u.ä.

Alles kein 100%iger Schutz, aber in Kombination helfen viele Maßnahmen zusammen schon. Und der Rest ist Aufmerksamkeit. Wer nen Mailserver laufen hat, muß da halt regelmäßig nachschauen, was der macht.