Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 19

Thema: assp konfigurieren - Spam in Ordner schieben

  1. #1
    Neues Mitglied
    Registriert seit
    09.11.2011
    Beiträge
    6

    Standard assp konfigurieren - Spam in Ordner schieben

    Hallo!

    Ich habe eine Frage! Kennt sich jemand mit der Anti-Spam Lösung assp aus? Hab nur das Englische Forum gefunden.

    Installiert habe ich es bereits erfolgreich, aber da dass Admin Interface so unübersichtlich ist finde ich die Funktionen nicht.

    Ich nutze es mit Postfix auf einem ispCP Server.

    Ist es möglich, dass assp den erkannten Spam in einen Ordner des Users verschiebt? Ähnlich wie bei Google etc.
    Sodass der User sehen kann welche Spam Mails er bekommen hat?

    Vielen Dank!

  2. #2
    Mitglied
    Registriert seit
    06.10.2008
    Ort
    Rhein-Main Gebiet
    Beiträge
    123

    Standard

    m.E. nein. ASSP kann aber spam mit {spam} taggen. Jeder Mailclient sollte in der Lage sein das dann in den Junkordner zu verschieben. Bis der Bayes trainiert ist sollte man das eh so machen.

  3. #3
    Neues Mitglied
    Registriert seit
    09.11.2011
    Beiträge
    6

    Standard

    wie unf wo genau kann ich das denn Einstellen bzw. muss ich vorhher noch was deaktivieren?

    Im Moment hab ich All Test Mode On
    Werden da Alle Nachrichten trotzdem zugestellt oder kann es sein dass der Sender schon ein Error bekommt

    Und der User gar nicht merkt, dass er eine Nachricht hat.

  4. #4
    Mitglied
    Registriert seit
    06.10.2008
    Ort
    Rhein-Main Gebiet
    Beiträge
    123

    Standard

    das ist unter "Testmode/Spam Control" und heißt "Prepend Spam Subject (spamSubject)". Da schreibt man z.B. "{SPAM}" rein, das wird dann dem Mailsubjekt vorangestellt.

    Wenn "All TestModes ON Getting Started (allTestMode)" aktiv ist, werden alle Mails zugestellt, aber mit dem Inhalt von "Prepend Spam Subject (spamSubject)" markiert.

    Oder man setzt unter "Copy Spam/Ham" eine Adresse in "Copy Spam/Ham Copy Spam and Send to this Address (sendAllSpam)", dann werden alle spams an die dort angegebene Adresse weitergeleitet. Das macht Sinn, wenn man den Usern nicht zutraut selber den Bayes über assp-spam bzw. assp-notspam anzulernen.

  5. #5
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    HAllo habe heute bei 2 Servern ein sehr eigenartiges Erlebnis gehabt.
    Mailquee voll zum versenden aber der Server ist kein open Relay?
    es hat jemand versucht als root mails zu versenden, dabei ist der ssh abgeschaltet udn wird nur bei bedarf zugeschaltet und auch sonst hat keiner Zugang. In den Logs steht auch nichts drin. Das verstehe ich nciht es müsste zumindest der root stehen?
    Das komische daran ist das es bei 2 Servern so war oder ist?
    Etwas neues scheint sich hier zu tun weiß jemand mehr?

    Zu dem noch waren unheimlich viele Prozesse am laufen, die server haben alle Updates und werden regelmäßig mit rutkithunter gescannt und auf relay getestet.
    Selbst als Postix gestoppt wurde wurden die mails im que immer mehr hab dann 13000 gelöscht da der server sowieso nur 10 gleichzeitig ausliefert.
    Bei 2 servern beim selben provider wurde versucht als root mails zu senden? der zugriff erfolgte aber nciht über die beiden server denn die logs zeigen nichts.
    Gruß Carsten
    Geändert von carsten.gentsch (02.01.2012 um 23:15 Uhr)

  6. #6
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.478

    Standard

    root heißt ja nur, dass der Nutzer root-Rechte hatte. Das heißt ja nicht, dass jemand über ssh verbunden war.
    Genauso gut kann es irgend ein anderes Programm mit Root-Rechten und Sicherheitslücke sein oder eben eine "einfache" Rechte-Eskalation von z.B. dem Apache auf Root.

    Postfix stoppen verhindert den Versand, wenn die Mails aber lokal erstellt werden, landen die natürlich trotzdem in der queue.

    Die Logs sind natürlich nicht aussagekräftig, sofern es einen Angreifer mit Root-Rechten gibt. Der kann sich natürlich auch aus den Logs löschen.


    Aber da lässt sich so wenig zu sagen.... Wie sind die Server konfiguriert und vor allem: Was stand in den Mails?
    Kann auch einfach ein Amok laufender Cronjob sein...

  7. #7
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    na pfisching versuche URGENT: Please confirm your shipping address.

    hauptsächlich an aol, hotmail Adressen nur in englisch. Entweder gibts ne neue Lücke oder es hat sich jemand zugriff beim Provider verschafft. Nur hat bei uns keiner root rechte außer der Provider rund ich. Bisher habe ich nichts gefunden und es laufen nur Standartanwendungen drauf wie wp oder php. Es fing an mit elend vielen Prozessen die am laufen waren aber wie das bei 2 Servern gleichzeitig zudem muss man sich erst auf dem Server zum root machen. So was hatte ich noch nie gehabt mein Provider weiß auch keinen Rat bisher. Und ssh wird erst gestartet von hand läuft sonst nicht.
    Im Apache log stand nichts drin soweit ich gesehen haben.
    Muss ich mal schauen wie das weiter geht. Zum Glück stand der mailversand auf max 10 Empfänger gleichzeitig. Aber wenn er die rechte gabt hat hätte er die Einstellungen im Post fix doch ändern können oder?

    ach ja bei allen mails stand als Absender root@vservesowieso.de keine domain nichts
    Geändert von carsten.gentsch (03.01.2012 um 00:03 Uhr)

  8. #8
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.478

    Standard

    Das ist der Standardversender für lokal erzeugte Mails...

    WP und PHP dürfte schon mal erklären, wie der Angreifer reingekommen ist. Bei systematischem Angriff einer bestimmten WP-Version ist es auch nicht verwunderlich, wenn direkt beide Server betroffen sind.

    Doofe Frage: Taucht das Root-Passwort bzw. die Zugangsdaten zu den Admin-Tools auch irgendwo in der SQL-Datenbank zu WP auf?
    Oder läuft der Indianer gar als Root?

    Mein Verdacht:

    Schritt 1) Angriff auf WP, durch irgend einen Exploit darin hatte der Angreifer dann eine Shell (gibt da nette PHP-Skripte, die einem eine Shell als Webseite anbieten, man muss also nur auf dem Rechner einmal wget starten, das Skript irgendwo ins www-Verzeichnis legen und dann das Skript im Browser aufrufen)

    Schritt 2) Rechte-Eskalation von Apache auf root. (Je nach Konfiguration, Patchstand und Wiederverwendung von Passwörtern mehr oder weniger trivial)

    Schritt 3) Versand von Spam!


    Die Einstellungen im Postfix ändert der nicht, viel zu kompliziert. Und die erste Testmail ist ja vermutlich durchgegangen. Da werden dann einfach viele Mails erstellt in der Hoffnung, dass die durchgehen. Langes überwachen der Server ist zu aufwendig, außerdem läuft man dann Gefahr, irgendwann entdeckt zu werden.

    Gegebenenfalls können die Schritte sogar komplett über entsprechende Tools automatisiert werden, also so kompliziert ist das eigentlich gar nicht...

  9. #9
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    943

    Standard

    Wordpress erst wieder alles ge updatet am WE Version ist aktuell. Die root Daten stehen da nciht drin in den WP DB. Alles extra und einzeln jeweils anderer Server. Habe die Verzeichnisse angesehen nichts gefunden derartiges. Auch im tmp war nichts drin keine neuen User nichts. Mein Provider hat die Server und ich denke ein paar mehr noch offfline genommen für Test und Arbeiten dran. scanne regelmäßig mit rootkithunter und alle updates werden ausgeführt. Habe auch sonst keine Auffälligkeiten gefunden. Ich weiß also nicht wie das gegangen war udn wieso es beim Provider nicht aufgefallen ist bzw. er jetzt solche Probleme hat.

    Was meinst DU mit
    Oder läuft der Indianer gar als Root?
    wie weiß ich das oder sehe ich das? Ist eine Syscp Install auf Debian Lenny.

    Gruß carsten

    Ich stelle gerade fest das einige meiner webs nicht mehr erreichbar sind bei 3 verschiedenen Providern muss wohl wieder was unterwegs sein.
    Geändert von carsten.gentsch (03.01.2012 um 00:36 Uhr)

  10. #10
    Chinchilla
    Gast

    Standard

    Unter welchem User der apache läuft, siehst Du mit dem Kommando ps -e

    wie schon beschrieben sieht es so aus als wäre jemand über WP und/oder php rein gekommen. Eine Shell braucht er dann nicht, es reicht, wenn er ein scipt einschleusen und starten kann. Die versendeten Mails wurden offensichtlich mit sendmail oder Versand aus php gestartet.

    Ein Paßwort steht in der Konfigurationsdatei von WP. Viele Admins verwenden hier das gleiche Paßwort wie für den Server oder andere User. Wenn die konfigurationsdatei durch falsche Rechtevergabe offen liegt, kann das Paßwort in falsche Hände geraten.

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen