PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : assp konfigurieren - Spam in Ordner schieben



TechnikOnkel
09.11.2011, 20:55
Hallo!

Ich habe eine Frage! Kennt sich jemand mit der Anti-Spam Lösung assp aus? Hab nur das Englische Forum gefunden.

Installiert habe ich es bereits erfolgreich, aber da dass Admin Interface so unübersichtlich ist finde ich die Funktionen nicht.

Ich nutze es mit Postfix auf einem ispCP Server.

Ist es möglich, dass assp den erkannten Spam in einen Ordner des Users verschiebt? Ähnlich wie bei Google etc.
Sodass der User sehen kann welche Spam Mails er bekommen hat?

Vielen Dank!

nospamplease
10.11.2011, 16:43
m.E. nein. ASSP kann aber spam mit {spam} taggen. Jeder Mailclient sollte in der Lage sein das dann in den Junkordner zu verschieben. Bis der Bayes trainiert ist sollte man das eh so machen.

TechnikOnkel
10.11.2011, 17:01
wie unf wo genau kann ich das denn Einstellen bzw. muss ich vorhher noch was deaktivieren?

Im Moment hab ich All Test Mode On
Werden da Alle Nachrichten trotzdem zugestellt oder kann es sein dass der Sender schon ein Error bekommt

Und der User gar nicht merkt, dass er eine Nachricht hat.

nospamplease
13.11.2011, 09:56
das ist unter "Testmode/Spam Control" und heißt "Prepend Spam Subject (spamSubject)". Da schreibt man z.B. "{SPAM}" rein, das wird dann dem Mailsubjekt vorangestellt.

Wenn "All TestModes ON Getting Started (allTestMode)" aktiv ist, werden alle Mails zugestellt, aber mit dem Inhalt von "Prepend Spam Subject (spamSubject)" markiert.

Oder man setzt unter "Copy Spam/Ham" eine Adresse in "Copy Spam/Ham Copy Spam and Send to this Address (sendAllSpam)", dann werden alle spams an die dort angegebene Adresse weitergeleitet. Das macht Sinn, wenn man den Usern nicht zutraut selber den Bayes über assp-spam bzw. assp-notspam anzulernen.

carsten.gentsch
02.01.2012, 23:01
HAllo habe heute bei 2 Servern ein sehr eigenartiges Erlebnis gehabt.
Mailquee voll zum versenden aber der Server ist kein open Relay?
es hat jemand versucht als root mails zu versenden, dabei ist der ssh abgeschaltet udn wird nur bei bedarf zugeschaltet und auch sonst hat keiner Zugang. In den Logs steht auch nichts drin. Das verstehe ich nciht es müsste zumindest der root stehen?
Das komische daran ist das es bei 2 Servern so war oder ist?
Etwas neues scheint sich hier zu tun weiß jemand mehr?

Zu dem noch waren unheimlich viele Prozesse am laufen, die server haben alle Updates und werden regelmäßig mit rutkithunter gescannt und auf relay getestet.
Selbst als Postix gestoppt wurde wurden die mails im que immer mehr hab dann 13000 gelöscht da der server sowieso nur 10 gleichzeitig ausliefert.
Bei 2 servern beim selben provider wurde versucht als root mails zu senden? der zugriff erfolgte aber nciht über die beiden server denn die logs zeigen nichts.
Gruß Carsten

TillP
02.01.2012, 23:36
root heißt ja nur, dass der Nutzer root-Rechte hatte. Das heißt ja nicht, dass jemand über ssh verbunden war.
Genauso gut kann es irgend ein anderes Programm mit Root-Rechten und Sicherheitslücke sein oder eben eine "einfache" Rechte-Eskalation von z.B. dem Apache auf Root.

Postfix stoppen verhindert den Versand, wenn die Mails aber lokal erstellt werden, landen die natürlich trotzdem in der queue.

Die Logs sind natürlich nicht aussagekräftig, sofern es einen Angreifer mit Root-Rechten gibt. Der kann sich natürlich auch aus den Logs löschen.


Aber da lässt sich so wenig zu sagen.... Wie sind die Server konfiguriert und vor allem: Was stand in den Mails?
Kann auch einfach ein Amok laufender Cronjob sein...

carsten.gentsch
02.01.2012, 23:50
na pfisching versuche URGENT: Please confirm your shipping address.

hauptsächlich an aol, hotmail Adressen nur in englisch. Entweder gibts ne neue Lücke oder es hat sich jemand zugriff beim Provider verschafft. Nur hat bei uns keiner root rechte außer der Provider rund ich. Bisher habe ich nichts gefunden und es laufen nur Standartanwendungen drauf wie wp oder php. Es fing an mit elend vielen Prozessen die am laufen waren aber wie das bei 2 Servern gleichzeitig zudem muss man sich erst auf dem Server zum root machen. So was hatte ich noch nie gehabt mein Provider weiß auch keinen Rat bisher. Und ssh wird erst gestartet von hand läuft sonst nicht.
Im Apache log stand nichts drin soweit ich gesehen haben.
Muss ich mal schauen wie das weiter geht. Zum Glück stand der mailversand auf max 10 Empfänger gleichzeitig. Aber wenn er die rechte gabt hat hätte er die Einstellungen im Post fix doch ändern können oder?

ach ja bei allen mails stand als Absender root [at] vservesowieso.de keine domain nichts

TillP
03.01.2012, 00:18
Das ist der Standardversender für lokal erzeugte Mails...

WP und PHP dürfte schon mal erklären, wie der Angreifer reingekommen ist. Bei systematischem Angriff einer bestimmten WP-Version ist es auch nicht verwunderlich, wenn direkt beide Server betroffen sind.

Doofe Frage: Taucht das Root-Passwort bzw. die Zugangsdaten zu den Admin-Tools auch irgendwo in der SQL-Datenbank zu WP auf?
Oder läuft der Indianer gar als Root?

Mein Verdacht:

Schritt 1) Angriff auf WP, durch irgend einen Exploit darin hatte der Angreifer dann eine Shell (gibt da nette PHP-Skripte, die einem eine Shell als Webseite anbieten, man muss also nur auf dem Rechner einmal wget starten, das Skript irgendwo ins www-Verzeichnis legen und dann das Skript im Browser aufrufen)

Schritt 2) Rechte-Eskalation von Apache auf root. (Je nach Konfiguration, Patchstand und Wiederverwendung von Passwörtern mehr oder weniger trivial)

Schritt 3) Versand von Spam!


Die Einstellungen im Postfix ändert der nicht, viel zu kompliziert. Und die erste Testmail ist ja vermutlich durchgegangen. Da werden dann einfach viele Mails erstellt in der Hoffnung, dass die durchgehen. Langes überwachen der Server ist zu aufwendig, außerdem läuft man dann Gefahr, irgendwann entdeckt zu werden.

Gegebenenfalls können die Schritte sogar komplett über entsprechende Tools automatisiert werden, also so kompliziert ist das eigentlich gar nicht... ;)

carsten.gentsch
03.01.2012, 00:26
Wordpress erst wieder alles ge updatet am WE Version ist aktuell. Die root Daten stehen da nciht drin in den WP DB. Alles extra und einzeln jeweils anderer Server. Habe die Verzeichnisse angesehen nichts gefunden derartiges. Auch im tmp war nichts drin keine neuen User nichts. Mein Provider hat die Server und ich denke ein paar mehr noch offfline genommen für Test und Arbeiten dran. scanne regelmäßig mit rootkithunter und alle updates werden ausgeführt. Habe auch sonst keine Auffälligkeiten gefunden. Ich weiß also nicht wie das gegangen war udn wieso es beim Provider nicht aufgefallen ist bzw. er jetzt solche Probleme hat.

Was meinst DU mit
Oder läuft der Indianer gar als Root? wie weiß ich das oder sehe ich das? Ist eine Syscp Install auf Debian Lenny.

Gruß carsten

Ich stelle gerade fest das einige meiner webs nicht mehr erreichbar sind bei 3 verschiedenen Providern muss wohl wieder was unterwegs sein.

Chinchilla
03.01.2012, 09:54
Unter welchem User der apache läuft, siehst Du mit dem Kommando ps -e

wie schon beschrieben sieht es so aus als wäre jemand über WP und/oder php rein gekommen. Eine Shell braucht er dann nicht, es reicht, wenn er ein scipt einschleusen und starten kann. Die versendeten Mails wurden offensichtlich mit sendmail oder Versand aus php gestartet.

Ein Paßwort steht in der Konfigurationsdatei von WP. Viele Admins verwenden hier das gleiche Paßwort wie für den Server oder andere User. Wenn die konfigurationsdatei durch falsche Rechtevergabe offen liegt, kann das Paßwort in falsche Hände geraten.

carsten.gentsch
03.01.2012, 12:21
Hallo für den Server gibt´s ein anderes PW für root und den user das schließe ich eigentlich aus. Und die PW für die Installationen sind ebenso lang genug und immer anders.
Bisher hat sich mein Provider auch noch nicht geäußert wie da passieren konnte. Jetzt läuft alles wieder wie es soll.
die Ausgabe von ps -e zeigt er wie folgt:

PID: [ID filtered]
1 ? xx:xx:xx init
29 ? xx:xx:xx init-logger
248 ? xx:xx:xx portmap
319 ? xx:xx:xx rsyslogd
332 ? xx:xx:xx named
377 ? xx:xx:xx mysqld_safe
414 ? xx:xx:xx mysqld
415 ? xx:xx:xx logger
490 ? xx:xx:xx spamd
587 ? xx:xx:xx freshclam
591 ? xx:xx:xx courierlogger
592 ? xx:xx:xx authdaemond
596 ? xx:xx:xx authdaemond
597 ? xx:xx:xx authdaemond
598 ? xx:xx:xx authdaemond
599 ? xx:xx:xx authdaemond
600 ? xx:xx:xx authdaemond
602 ? xx:xx:xx nscd
678 ? xx:xx:xx famd
689 ? xx:xx:xx dovecot
691 ? xx:xx:xx dovecot-auth
697 ? xx:xx:xx spamd
698 ? xx:xx:xx spamd
700 ? xx:xx:xx managesieve-log
701 ? xx:xx:xx managesieve-log
702 ? xx:xx:xx managesieve-log
704 ? xx:xx:xx pop3-login
708 ? xx:xx:xx imap-login
709 ? xx:xx:xx proftpd
724 ? xx:xx:xx cron
739 ? xx:xx:xx apache2
755 ? xx:xx:xx fail2ban-server
1318 ? xx:xx:xx miniserv.pl
1972 ? xx:xx:xx imap-login
3060 ? xx:xx:xx apache2
3063 ? xx:xx:xx apache2
3064 ? xx:xx:xx apache2
3065 ? xx:xx:xx apache2
3066 ? xx:xx:xx php-cgi
3067 ? xx:xx:xx apache2
3068 ? xx:xx:xx apache2
3069 ? xx:xx:xx php5-cgi
3070 ? xx:xx:xx apache2
3071 ? xx:xx:xx php-cgi
3072 ? xx:xx:xx apache2
3073 ? xx:xx:xx php-cgi
3075 ? xx:xx:xx php-cgi
3084 ? xx:xx:xx php-cgi
3092 ? xx:xx:xx dovecot-auth
3094 ? xx:xx:xx imap-login
3095 ? xx:xx:xx apache2
3100 ? xx:xx:xx pop3-login
3101 ? xx:xx:xx pop3-login
3145 ? xx:xx:xx sshd
3153 ? xx:xx:xx apache2
3154 ? xx:xx:xx apache2
3155 ? xx:xx:xx sshd
3157 ? xx:xx:xx sshd
3158 pts/0 xx:xx:xx sh
3163 pts/0 xx:xx:xx ps

Chinchilla
03.01.2012, 13:43
das fehlt noch der ausführende User... mach mal
ps -e u
dann sollte in der ersten Spalte der User stehen

Ansonsten würde ich empfehlen sicherheitshalnber den Zugriff auf die Konfigurationsdatei von WP zu testen mittels Browser und wget

Werden nach den bisherigen Maßnahmen noch Mails generiert?

TillP
03.01.2012, 14:44
Wie sieht es mit sudo/su aus? Darf der Nutzer mit seinem Passwort root-Rechte erhalten?

Was mir noch nicht ganz klar ist: Postfix als MTA, warum aber dann Courier und dovecot?
Als weiteres sehe ich Webmin, das ist natürlich auch ein gerne genommenes Angriffsziel.

carsten.gentsch
03.01.2012, 15:52
Hallo
der Zugriff wurde wohl gestoppt keine neuen Mails im System. Alles läuft wieder so wie es sollte. DIE WP Anwendungen sind soweit sicher es lässt sich keine config Datei aufrufen auch die Rechte stimmen 644.
Es läuft dovecot weil imap Postfächer vorhanden sind, Webmin ist sicher mit PW. DEr nutzer kann sich einloggen bekommt aber keine root rechte mit seinem PW muss er erst SU und PW. Derweilen schrieb mein Provider folgendes:
es gab in der Tat größere Unregelmäßigkeiten auf dem gesamten Server, nicht nur Sie sind betroffen gewesen.Wir bekommen im Moment eine erweiterts Überwachungsprogramm auf alle unserer Server installiert.Es gibt Hacker, die nehmen die Haupt IP Adresse um SPAM zu versenden, diese
wird dann auf die einzelnen VPS verteilt.

USER PID: [ID filtered]
root 1 0.0 0.0 10316 716 ? Ss 10:07 0:00 init [2]
root 29 0.0 0.0 100 16 ? S 10:07 0:00 [init-logger]
daemon 248 0.0 0.0 8024 484 ? Ss 10:07 0:00 /sbin/portmap
root 319 0.0 0.0 121580 1304 ? Sl 10:07 0:00 /usr/sbin/rsysl
bind 332 0.0 0.8 130188 10824 ? Ssl 10:07 0:00 /usr/sbin/named
root 377 0.0 0.1 17316 1444 ? S 10:08 0:00 /bin/sh /usr/bi
mysql 414 0.0 1.9 235944 25272 ? Sl 10:08 0:05 /usr/sbin/mysql
root 415 0.0 0.0 3784 592 ? S 10:08 0:00 logger -p daemo
root 490 0.0 3.2 105816 42880 ? Ss 10:08 0:02 /usr/sbin/spamd
clamav 587 0.0 0.1 43144 2000 ? Ss 10:08 0:04 /usr/bin/freshc
root 591 0.0 0.0 6064 456 ? S 10:08 0:00 /usr/sbin/couri
root 592 0.0 0.0 29600 1228 ? S 10:08 0:00 /usr/lib/courie
root 596 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
root 597 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
root 598 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
root 599 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
root 600 0.0 0.0 29600 396 ? S 10:08 0:00 /usr/lib/courie
root 602 0.0 0.1 143680 2048 ? Ssl 10:08 0:00 /usr/sbin/nscd
root 678 0.0 0.0 16440 540 ? Ss 10:08 0:00 /usr/sbin/famd
root 689 0.0 0.0 4392 648 ? Ss 10:08 0:00 /usr/sbin/dovec
root 691 0.0 0.2 65636 3140 ? S 10:08 0:00 dovecot-auth
vmail 697 0.0 3.1 105816 41560 ? S 10:08 0:00 spamd child
vmail 698 0.0 3.1 105816 41560 ? S 10:08 0:00 spamd child
dovecot 700 0.0 0.1 14332 2004 ? S 10:08 0:00 managesieve-log
dovecot 701 0.0 0.1 14332 2004 ? S 10:08 0:00 managesieve-log
dovecot 702 0.0 0.1 14332 2004 ? S 10:08 0:00 managesieve-log
proftpd 709 0.0 0.1 77636 1764 ? Ss 10:08 0:00 proftpd: (accep
root 724 0.0 0.0 15780 872 ? Ss 10:08 0:00 /usr/sbin/cron
root 739 0.0 0.3 127968 4568 ? Ss 10:09 0:00 /usr/sbin/apach
root 755 0.4 0.5 227464 6996 ? Sl 10:09 1:32 /usr/bin/python
root 1318 0.0 1.1 71244 15032 ? Ss 10:09 0:00 /usr/bin/perl /
www-data 3060 0.0 0.2 127968 2984 ? S 12:55 0:00 /usr/sbin/apach
10002 3066 0.0 2.8 214724 36900 ? S 12:55 0:03 /usr/bin/php-cg
9999 3069 0.0 2.4 213768 32180 ? S 12:55 0:02 /usr/bin/php5-c
10002 3071 0.0 1.0 191488 13232 ? S 12:55 0:01 /usr/bin/php-cg
10002 3073 0.0 0.8 188320 11040 ? S 12:55 0:00 /usr/bin/php-cg
10002 3075 0.0 0.8 188320 11040 ? S 12:55 0:00 /usr/bin/php-cg
10001 3084 0.0 1.0 192552 14104 ? S 12:55 0:00 /usr/bin/php-cg
www-data 3195 0.0 0.2 128152 3848 ? S 12:59 0:00 /usr/sbin/apach
www-data 3579 0.0 0.3 128200 4060 ? S 13:05 0:00 /usr/sbin/apach
10002 3583 0.0 0.9 188780 12088 ? S 13:06 0:00 /usr/bin/php-cg
10002 4062 0.0 2.8 215004 37192 ? S 13:12 0:00 /usr/bin/php-cg
dovecot 4126 0.0 0.1 14224 1988 ? S 13:24 0:00 imap-login
dovecot 4288 0.0 0.1 14224 1988 ? S 13:32 0:00 imap-login
dovecot 4296 0.0 0.1 14216 1976 ? S 13:32 0:00 pop3-login
www-data 4316 0.0 0.3 128192 3956 ? S 13:37 0:00 /usr/sbin/apach
www-data 4538 0.0 0.3 128332 4184 ? S 13:43 0:00 /usr/sbin/apach
www-data 4540 0.0 0.2 128176 3864 ? S 13:44 0:00 /usr/sbin/apach
www-data 4582 0.0 0.3 128260 4100 ? S 13:52 0:00 /usr/sbin/apach
www-data 4583 0.0 0.2 128116 3744 ? S 13:52 0:00 /usr/sbin/apach
www-data 4919 0.0 0.2 128152 3812 ? S 15:01 0:00 /usr/sbin/apach
www-data 4921 0.0 0.3 128264 4040 ? S 15:01 0:00 /usr/sbin/apach
10002 4999 0.0 0.8 188320 10824 ? S 15:24 0:00 /usr/bin/php-cg
root 5242 0.0 0.2 65424 3448 ? S 16:20 0:00 dovecot-auth -w
dovecot 5244 0.0 0.1 14224 1992 ? S 16:20 0:00 imap-login
dovecot 5249 0.0 0.1 14216 1980 ? S 16:20 0:00 pop3-login
dovecot 5250 0.0 0.1 14216 1976 ? S 16:20 0:00 pop3-login
www-data 5308 0.0 0.2 128196 3932 ? S 16:23 0:00 /usr/sbin/apach
root 5373 0.0 0.0 42812 1172 ? Ss 16:26 0:00 /usr/sbin/sshd
root 5381 0.0 0.2 66356 3020 ? Ss 16:27 0:00 sshd: carsten [
carsten 5384 0.0 0.1 66492 1632 ? S 16:27 0:00 sshd: carsten [at] p
carsten 5385 0.0 0.1 15200 1960 pts/0 Ss 16:27 0:00 -sh
root 5421 0.0 0.0 37060 1288 pts/0 S 16:28 0:00 su
root 5422 0.0 0.1 14736 1724 pts/0 S 16:28 0:00 bash
root 5423 0.0 0.0 9872 900 pts/0 R+ 16:28 0:00 ps -e u

TillP
03.01.2012, 16:19
Ok, dovecot macht IMAP, was macht dann der Courier?

Auf jeden Fall haben Courier und Dovecot für meinen Geschmack zu viele Prozesse mit root laufen, das lässt sich sicherer konfigurieren. Ist aber andererseits auch nicht die riesige Sicherheitslücke.

Aber die Aussage vom Provider klingt fast so, als sei der Angriff auf Providerseite erfolgt und nicht bei dir...
Aber der Argumentation des Providers kann ich nicht folgen, dass Mails vom Host-Server auf die VPS verteilt werden... Das klingt irgendwie komisch.

Chinchilla
03.01.2012, 17:01
Aber die Aussage vom Provider klingt fast so, als sei der Angriff auf Providerseite erfolgt und nicht bei dir...
Aber der Argumentation des Providers kann ich nicht folgen, dass Mails vom Host-Server auf die VPS verteilt werden... Das klingt irgendwie komisch.

Das würde bedeuten, daß ein Hacker an einen Super-Admin-User gekommen ist und damit root-Rechte auf den einzelnen VPS hat. Ich bin zwar kein Spezialist in den Dingen, aber bei dem Gedanken bekomme ich Bauchschmerzen.

Bei dem folgenden Prozeß bin ich mir nicht sicher, ob der wirklich unter root laufen muß:
root 739 0.0 0.3 127968 4568 ? Ss 10:09 0:00 /usr/sbin/apach

TillP
03.01.2012, 17:05
Bei dem folgenden Prozeß bin ich mir nicht sicher, ob der wirklich unter root laufen muß:
root 739 0.0 0.3 127968 4568 ? Ss 10:09 0:00 /usr/sbin/apach

Das ist der Hauptprozess, der läuft als root und startet die anderen Prozesse mit eingeschränkten Rechten. Das ist kein Problem.

Chinchilla
03.01.2012, 17:34
Danke, sowas hatte ich schon vermutet und auch mit meinem Server abgeglichen.

carsten.gentsch
05.01.2012, 08:17
Hallo hat sich erledigt Server geht mich nichts mehr an mein Chef hat von nichts ne Ahnung alles gelöscht und gekündigt da. Er meinte auch ich hatte den FTP gepacht und solche Sachen. Ja als Studierter EDV hat man schon Plan davon.... mir wird nur noch schlecht die Firma hat einen neuen Server bestellt den ich nicht administrieren werden ;)
Das will Chef selber machen na da freu ich mich schon drauf ;)
Manche müssen es auf die Harte Tour lernen.... man man