Hallo

Ich hoffe mir kann jemand helfen ....

Auf Grund einer Abuse Meldung habe ich mir mal die Log angeguckt. Das geht schon seit Tagen so.

Kann mir jemand sagen was das ist. JoeJobs? Oder kommt das doch von meinem Server.
Relaytests sind allesamt negativ.




Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 304BDF22EE3: from=<web13 [at] meinedomain.server4you.de>, size=2481, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 3C1F1F06C01: from=<web13 [at] meinedomain.server4you.de>, size=2438, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 3E938F0F8B9: from=<web13 [at] meinedomain.server4you.de>, size=2465, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/error[18562]: 321ECF0BA26: to=<wagnersimoes3 [at] hotmail.com>, relay=none, delay=130908, delays=130878/30/0/0.15, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[207.46.8.167] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18570]: 2380EF12408: to=<hasaleh7 [at] hotmail.com>, relay=none, delay=64404, delays=64146/258/0/0.15, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18558]: 2D2E0F1F583: to=<eliofamorim [at] hotmail.com>, relay=none, delay=36104, delays=35846/258/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18575]: 25304F0B411: to=<zanaguazzelli [at] hotmail.com>, relay=none, delay=126566, delays=126110/456/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18578]: 667F0F1BBDB: to=<paulapagotti [at] hotmail.com>, relay=none, delay=105806, delays=104377/1429/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.33.135] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 3770DF05C4D: from=<web13 [at] meinedomain.server4you.de>, size=2450, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 31CE2F0FA4D: from=<web13 [at] meinedomain.server4you.de>, size=2447, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 35F3BF0609C: from=<web13 [at] meinedomain.server4you.de>, size=2459, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 3859FF1E68D: from=<web13 [at] meinedomain.server4you.de>, size=2461, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/error[18560]: 3BFDCF15AA2: to=<higosound [at] hotmail.com>, relay=none, delay=62599, delays=62569/30/0/0.14, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[207.46.8.167] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18563]: 254D2F41A4F: to=<gilmar.sarasota [at] hotmail.com>, relay=none, delay=40302, delays=39846/456/0/0.19, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18568]: 614B5F3E146: to=<supercompraspirajanova [at] hotmail.com>, relay=none, delay=44372, delays=42943/1429/0/0.19, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.33.135] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 3389EF196EE: from=<web13 [at] meinedomain.server4you.de>, size=2453, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/error[18578]: 2EFB0F135F2: to=<cesarhalabi [at] hotmail.com>, relay=none, delay=64133, delays=63875/258/0/0.15, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18575]: 3C975F14725: to=<sgmoura10 [at] hotmail.com>, relay=none, delay=106256, delays=106226/30/0/0.11, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[207.46.8.167] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18558]: 25DEFF02A9E: to=<thalita_frigi [at] hotmail.com>, relay=none, delay=67727, delays=67271/456/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18562]: 6DD06F03E01: to=<guijr5 [at] hotmail.com>, relay=none, delay=121829, delays=120399/1429/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.33.135] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18570]: 2264DF17452: to=<osmaldo_paiva [at] hotmail.com>, relay=none, delay=114292, delays=114034/258/0/0.15, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[207.46.8.199] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 36DEFF0DEDE: from=<web13 [at] meinedomain.server4you.de>, size=2456, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/qmgr[22205]: 34374F1D779: from=<web13 [at] meinedomain.server4you.de>, size=2437, nrcpt=1 (queue active)
Jun 25 xx:xx:xx meinedomain postfix/error[18560]: 2EEBEF1EFDA: to=<isasouzaqueiroz_ [at] hotmail.com>, relay=none, delay=36748, delays=36292/456/0/0.18, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO)
Jun 25 xx:xx:xx meinedomain postfix/error[18568]: 657F6F0E9F4: to=<lumalvesi [at] hotmail.com>, relay=none, delay=45879, delays=44450/1429/0/0.19, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx4.hotmail.com[65.55.33.135] while sending RCPT TO)



220 meinedomain.server4you.de ESMTP Postfix [719 ms]
EHLO PWS3.mxtoolbox.com
250-meinedomain.server4you.de
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [719 ms]
MAIL FROM:<supertool [at] mxtoolbox.com>
250 2.1.0 Ok [719 ms]
RCPT TO:<test [at] example.com>
554 5.7.1 <test [at] example.com>: Relay access denied [734 ms]


Abuse Meldung:

Dear Sirs,

The message, whose source code is transcribed below, is a fraud
practiced in Brazil and originated from your server, from the subdomain
[meinedomain.server4you.de].

Please confirm the error and, if possible, take the necessary steps to
inhibit these illegal practices.

Thanks in advance,
LESTCON: parceria em soluções para a indústria do petróleo!
Mauricio Lamenza
Diretor - mauricio.lamenza [at] lestcon.com.br
&lt;mailto:mauricio.lamenza [at] lestcon.com.br&gt;- [+55](21) 99500-5221
LESTCON Construções e Empreendimentos Ltda

rua Newton Prado, 71 a 73 - São Cristóvão T: [+55](21) 3860-7685,
3860-7281, 3860-7812
Rio de Janeiro - RJ - CEP 20.930-445 - Brasil F: [+55](21) 2580-0254
www.lestcon.com.br &lt;http://www.lestcon.com.br&gt; lestcon [at] lestcon.com.br
&lt;mailto:lestcon [at] lestcon.com.br&gt;



From - Wed Jun 24 xx:xx:xx 2015
X-Account-Key: account9
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: &lt;web13 [at] meinedomain.server4you.de&gt;
X-Original-To: mauricio.lamenza [at] lestcon.com.br
Delivered-To: poor [at] spamvictim.tld
Content-Transfer-Encoding: 8bit
Received: from meinedomain.server4you.de (meinedomain.server4you.de [85.35.256.46]) by linux08.vhtelecom.com (Postfix) with ESMTP ID: [ID filtered]
Received-SPF: pass (linux08.vhtelecom.com: domain of meinedomain.server4you.de designates 85.35.256.46 as permitted sender) client-ip=85.35.256.46; envelope-from=web13 [at] meinedomain.server4you.de; helo=meinedomain.server4you.de;
Received: from localhost (localhost [127.0.0.1]) by meinedomain.server4you.de (Postfix) with ESMTP ID: [ID filtered]
X-SpamFlt-Status: Not Detected
X-Virus-Scanned: Debian amavisd-new at meinedomain.server4you.de
X-KASFlt-Status: Method: none
X-KASFlt-Status: Version: 5.2.1
X-KASFlt-Status: LuaCore: 166 2015-02-18_14-37-18 59b0fb5d1fe0bc13ab72a23d6aa445f4185e0a58
X-KASFlt-Status: Lua profiles 73664 [Feb 25 2015]
X-KASFlt-Status: Status: not_detected
X-KASFlt-Status: {Dosetcrawler: probable amspam}
X-KASFlt-Status: Rate: 0
X-SpamFlt-Phishing: Not Detected
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
Received: from meinedomain.server4you.de ([127.0.0.1]) by localhost (meinedomain.server4you.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP ID: [ID filtered]
Received: by meinedomain.server4you.de (Postfix, from userID: [ID filtered]
To: &lt;poor [at] spamvictim.tld&gt;
Subject: Pedagio 23/06/2015
X-PHP-Originating-Script: 5008:index.php
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
From: &lt;adm [at] semparar.com&gt;
Message-ID: [ID filtered]
Date: Wed, 24 Jun 2015 xx:xx:xx +0200 (CEST)

Danke

cu
Huflatisch

Da ist ganz offenbar dein Server gehackt worden (PHP wahrscheinlich).
Du solltest schnellstens den Mailbetrieb entweder komplett stoppen oder zumindest für den User "web13" und dann untersuchen, was da los ist.
Möglichkeiten:
- Eine Lücke in einem CMS wurde ausgenutzt
- ein FTP-Passwort war zu leicht zu raten (oder wurde per Trojaner auf einem PC gefunden, der Zugang zu dem Server hat)
- Shell-Zugang war möglich, Passwort leicht zu raten (oder wurde per Trojaner auf einem PC gefunden, der Zugang zu dem Server hat)

Um einen Hinweis auf die Ursache zu finden, musst du wahrscheinlich einige Megabytes Logfiles durchsuchen.
Zusätzlich solltest du dich fragen, ob alle deine Passwörter sicher sind, ob das CMS und alle Plugins up-to-date sind, ob alle Clients, die schreibenden Zugriff zum Server haben können, zuverlässig gegem Schadsoftware geschützt sind.

hoppala

Ach so, für die Zukunft wäre Monitoring mit einer Meldung an dich, wenn das System sich unnormal verhält, auch nicht dumm. Wenn du von der Kiste normalerweise 1-2 Mails am Tag verschickst, sollten 20 Mails auf einmal zumindest eine Warnung auslösen, eventuell auch einen automatischen Stopp des Mailsystems, wenn z.B. relativ viele Mails abgelehnt werden.

.... mhhh .... Mist

Danke für deine Antwort

unter web13 läuft ein Jommla (eigendlich zwei)
Habe das Verzeichnis unbenannt. den User in der passwd deaktiviert.
verschidene htmls des einen Jommlas haben diverse "href=" Einträge
Postfix lässt sich nicht stoppen .... startet immer wieder
Auf dem Server läuft ispconfig als Serverwaltung
Die ispconfig Passwörter auch geändert
den mysql User auch deaktiviert.

Trotzdem läuft der Spam munter weiter.

Wie kann ich das Script finden (rkhunter findet nichts)

Habe mittlerweile den kompletten client verschoben. keine Verbesserung

cu
Huflatisch

Ah, Joomla...

http://www.golem.de/news/mumblehard-malware-verwandelt-linux-server-in-spam-bots-1504-113827.html

Vielleicht was in dieser Art?

Vermutlich hängt der Queue vom Postfix noch voll und ballert natürlich schon erstellte Mails weiterhin noch raus. Bezüglich Joomla kann ich aus eigener Erfahrung sprechen. Es war eine tödliche Kombination aus falschen Verzeichnisrechten, altem Joomla und einem fehlerhaften Template.
Sieh die auf jeden fall die Logs vom Webserver an - da erkennt man gut, wohin die Zugriffe liefen.

Respekt vor allen die sich einen eigenen Server antun (oder antun müssen)
Ich weiß warum ich da die Finger weglasse ...

Dass postfix sich nicht stoppen lässt, kommt mir sehr merkwürdig vor. Hat dein Hoster da einen automatischen Restart laufen? Oder wird das per crontab-Eintrag, den die Hacker eingerichtet haben, immer neu gestartet?
Auf jeden Fall lässt sich das auf die harte Tour stoppen, indem du /etc/postfix z.B. nach /etc/postfix.stopped umbenennst und dann ein "service postfix stop" ausführst. Wenn Postfix danach immer noch losläuft, würde mich das stark wundern.

hoppala

Hallo

Der mailq war noch mit 10000 Mails gefüllt. nach dem löschen ging es.

Ich habe die betroffene Seite gelöscht und auc die betroffenen User rausgeschmissen.
Scheint zu funktionieren
Danke

cu
Huflatisch