PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Abuse Message



tomnick
04.03.2010, 08:26
Hallo liebe Gemeinde,

der Albtraum am Morgen. Man checkt die Email und findet folgende Nachricht:

Return-path: <4832723951.817f9300 [at] bounces.spamcop.net>
Envelope-to: poor [at] spamvictim.tld
Delivery-date: Wed, 03 Mar 2010 xx:xx:xx +0100
Received: from [204.15.82.126] (helo=sc-smtp4-bulkmx.soma.ironport.com)
by lms.your-server.de with esmtp (Exim 4.69)
(envelope-from <poor [at] spamvictim.tld>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 03 Mar 2010 xx:xx:xx +0100
Received: from prod-sc-www1.soma.ironport.com (HELO prod-sc-www1.spamcop.net) ([192.168.50.136])
by sc-smtp-vip.soma.ironport.com with SMTP; 03 Mar 2010 xx:xx:xx -0800
Received: from [58.165.99.179] by spamcop.net
with HTTP; Wed, 03 Mar 2010 xx:xx:xx GMT
From: "Cliff Rogers" <4832723951 [at] reports.spamcop.net>
To: poor [at] spamvictim.tld
Subject: [SpamCop (xx.xx.xx.xx) id:4832723951]Account update notification
Precedence: list
Message-ID: [ID filtered]
Date: Wed, 3 Mar 2010 xx:xx:xx +0000
X-SpamCop-sourceip: xx.xx.xx.xx
X-Mailer: http://www.spamcop.net/ v4.6.0.031
X-Virus-Scanned: Clear (ClamAV 0.95.3/10507/Wed Mar 3 xx:xx:xx 2010)
X-Spam-Score: -0.8 (/)
Delivered-To: poor [at] spamvictim.tld

[ SpamCop V4.6.0.031 ]
This message is brief for your comfort. Please use links below for details.


Mir ist jetzt zwar klar, das von meinem Server irgendwie Spam verschleudert wird aber ich kann mir das überhaupt nicht erklären, Server ist gerade neu aufgesetzt.

System Ubuntu 8.04 mit Plesk 9.2.3

Vielen Dank für die Hilfe

Tom

deekay
04.03.2010, 09:14
hetzner.de

is that you? - Dann erklärt das einiges

tomnick
04.03.2010, 09:28
ja ich habe den server bei hetzner....

carsten.gentsch
04.03.2010, 13:24
Hallo
das kenne ich zugut bei mir waren es fast 100000 Spammails bis der Provider es endlich geschafft hatte den Server zu killen.
Mein Rat kille den Mailserver erstmal ganz und schau in den Logs nach woher versendet wurde und dann sperre die IPs aus.
Dann in den Acceslog schauen ob sich jemand bei dir anmelden kann als root oder user.
Und wenn es geht binde den ssh an deine IP.
Schau mal in die logs vom mailserver und Apache und poste mal ein paar zeilen davon da müsste stehen wer wo mit welche IP versendet hat.

gruß Carsten

PS das ganze schnell machen den Maildienst killen sonst kanns teuer werden.!!!!

jens69
04.03.2010, 15:28
Neu aufgesetzte Server arbeiten gerne mal als Rely, das wäre das Erste, was ich prüfen würde. Und natürlich den Paßwortschutz zum versenden setzen.

alariel
05.03.2010, 10:18
?
Ein Mailserver arbeitet nur dann als Relay, wenn man ihm dies erlaubt. Wenn ich vor dem Start des Mailservers die Configdateien dahingehend angepasst habe, Mails nur von und für die eigenen Domains anzunehmen bzw. zu versenden, und letzteres auch nur für authentifizierte Nutzer, dann Relayt der gar nix... ergo, ein Konfigurationsfehler.

Ich würde auch empfehlen, Mailer abschalten, Config checken, und beim neuen Start umgehend mittels einschlägiger Website prüfen lassen, ob irgendeine Relaygefahr besteht. Wobei ich nicht weiss, wie tief Plesk überhaupt konfigurieren kann, ein "manueller" Blick in die Kanfigurationsdateien dürfte hier mehr Erfolg versprechen.

Allerdings, ohne die komplette Abusenachricht und die Serverconfig zu kennen sind eh alle Vermutungen Schall und Rauch.

carsten.gentsch
05.03.2010, 14:05
Hallo
soweit ich weiss mit plesk eher nicht das musst du schon in der config vom Server selber machen. Plesk ist ja nur wie Confixx die Verwaltungsoberfläche da kanste nicht viel einstellen nur Mailboxen,Adressen usw.
Das muss extra in der Mailconfig angepasst werden allerdings abhänig vom verwendeten BS bei mir Debian und Postfix da gibts viel Lektür zu und relativ einfach zu machen via console.
Aber wichtig ist auch die Logs zu checken ud zu sichers zwecks späterer Banlist und Firewall.

gruß:D

jens69
06.03.2010, 17:00
?
Ein Mailserver arbeitet nur dann als Relay, wenn man ihm dies erlaubt. Wenn ich vor dem Start des Mailservers die Configdateien dahingehend angepasst habe, Mails nur von und für die eigenen Domains anzunehmen bzw. zu versenden, und letzteres auch nur für authentifizierte Nutzer, dann Relayt der gar nix... ergo, ein Konfigurationsfehler.

Ich hatte mal nen virtuellen Server (Linux) bei 1&1 bestellt - der war als Relay offen.
Nachdem ich nun keine Lust mehr auf meine speziellen Freunde von 1&1 habe, habe ich den Provider gewechselt und auch da war der Mailserver erstmal offen (hatte aber wegen eines anderen Konfiguartionsfehlers eh nicht funktioniert).

Von daher muß man dennoch bei sowas aufpassen.

alariel
06.03.2010, 18:12
Finde ich dennoch erstaunlich.
Aber nun gut, das mag sich von Paket zu Paket unterscheiden - ich hab' einen Server gemietet (nein, nicht bei 2 ;)), und der einzig aktive Dienst, der von aussen zu erreichen war, war SSH :D

Wobei ich durchaus der Meinung bin, dass die Schuld dann der Hoster trägt. Wie kann man denn so dermaßen dumm sein, so 'ne Konfiguration an - mitunter - unbedarfte Kunden auszuliefern...!?

madsi
07.03.2010, 19:01
Hmm, da stellt sich - wie so oft - wieder die Frage nach einem "Computer- und Internet Führerschein", oder?

Ich kriege das auch nur zu oft mit. Viele Leute um einen rum gehen ins Internet, fangen da an zu chatten etc., machen sich aber keinen Kopf, was alles so passieren kann. Und dann - natürlich plötzlich und unerwartet - haben sie einen Trojaner oder sonstwas an der Backe, der irgendwelche Nachrichten an alle anderen Mitglieder ihrer "Community" versendet. Als nächstes, welch Zufall, lässt sich nicht mal Spybot S&D auf ihrem Laptop installieren...

Womit kann sowas zusammenhängen? Ist grad sehr akut aktuell bei nem Bekannten von mir. Er ist bei MSN

carsten.gentsch
08.03.2010, 09:31
@madsi
Morgen ganz einfach, ich habe eine Zeitlang auch über msn links bekommen die angeblich von einem meiner Kontakte waren. Dahinter hat sich eine Webseite vernorgen die Daten abgreifen wollte und gleichzeitig nette Backdoors Trojaner installieren wollte. ich denke mal irgend was ist drauf und der schaltet Spybot ab es gibt auch welche wo Du kein Virenupdate mehr machen kannst etc. Also Scannen mit der Notfall CD z.b. Avira oder andere Tools.
Combofix wäre auch noch was dafür ansonsten heißt es neumachen!!!

gruß

alariel
08.03.2010, 12:53
Hmm, da stellt sich - wie so oft - wieder die Frage nach einem "Computer- und Internet Führerschein", oder?

Eigentlich nicht wirklich. Ein handelsüblicher User dürfte niemals in die verlegenheit kommen, einen Mailserver konfigurieren zu müssen, und wenn doch, wird er recht schnell Fachwissen erlangen (müssen). Wenn er nun schlau genug ist, bevor irgendwas passiert... ;)
Die Hoster könnten sowas wie einen Sachkundenachweis eh nicht überwachen. Hier muss ein Kreuz bei "Ja, ich weiss, was ich tue..." genügen. Obwohl so eine Art LPIC (http://de.wikipedia.org/wiki/Linux_Professional_Institute)-Light schon was bestechendes hätte. Muss ja nicht gleich die 306 sein ;) :D

madsi
10.03.2010, 15:13
@carsten

Ich habe ihm Norton Internet Security gegeben, das hat sofort den Trojaner gefunden und entsorgt. Dazu noch die Info ich hatte eine 3-Platz Lizenz erworben wo noch eine frei war, also alles ganz legal...

Was Du beschreibst hat er ebenfalls gehabt und kaum das er wieder "sauber" war, kam auch schon vom nächsten "Bekannten" eine neue, höchstwahrscheinlich verseuchte, Nachricht mit dem Text: Schau Dir mal dies oder das an (oder in der Art) mit Hinweis auf irgendne Website...

Er hatte übrigens versucht, die anderen User zu warnen, was da von Ihnen ausgeht, aber entweder haben die es nicht geglaubt, oder noch schlimmer...