Hackerangriff auf Mailboxen über spamd?

  • Hi @ all,

    nachdem ich bereits von meiner eigenen Mailadresse Rudi@Ullmert.de seltsame Mails von einem angeblichen Hacker empfangen habe, habe ich meine Mailbox gelöscht und eine Weiterleitung auf ein anderes Postfach eingerichtet. Nutzt aber bisher nix, da ich heute wieder Mails von dem gelöschten o.g. Mailadresse bekam. Nun habe ich die Logs in genau dieser Uhrzeit durchsucht und folenden Log-Auszug in dieser Zeit gepostet.
    Fragen:
    Kann es ein, dass mein spamd (siehe Fettdruck) gehackt wurde?

    Wie stelle ich diesen Hacker von gslapanice.cz ausser Gefecht?


    Apr 21 03:40:28 vpscobra greylisting[10684]: sender stepankova@gslapanice.cz, address 212.96.162.153 bypassed: SPF ok.

    Apr 21 03:40:28 vpscobra spamd[8262]: spamd: got connection over /var/spamd/spamd.sock

    Apr 21 03:40:28 vpscobra spamd[8262]: spamd: handle_user (getpwnam) unable to find user: 'rudi@ullmert.de'

    Apr 21 03:40:28 vpscobra spamd[8262]: spamd: processing message <aoul253-937bo9-96@gslapanice.cz> for rudi@ullmert.de:1022

    Apr 21 03:40:29 vpscobra pdadmin[10690]: User report@service4it.com: smtp-auth login failed from 103.231.139.248 (no such user)

    Apr 21 03:40:29 vpscobra spamd[8262]: spamd: clean message (3.6/5.0) for rudi@ullmert.de:1022 in 1.1 seconds, 250026 bytes.

    Apr 21 03:40:29 vpscobra spamd[8262]: spamd: result: . 3 - BAYES_00,HTML_IMAGE_ONLY_04,HTML_MESSAGE,LOCALPART_IN_SUBJECT,MIME_HTML_MOSTLY,MPART_ALT_DIFF,TO_NO_BRKTS_HTML_IMG scantime=1.1,size=250026,user=rudi@ullmert.de,uid=1022,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/spamd/spamd.sock,mid=<aoul253-937bo9-96@gslapanice.cz>,bayes=0.000000,autolearn=no autolearn_force=no

    Apr 21 03:40:29 vpscobra qmail: 1555810829.763035 new msg 551

    Apr 21 03:40:29 vpscobra qmail: 1555810829.763092 info msg 551: bytes 250478 from <stepankova@gslapanice.cz> qp 10692 uid 1016

    Apr 21 03:40:29 vpscobra qmail: 1555810829.770649 starting delivery 191: msg 551 to local eventnbl-ullmert.de-rudi@ullmert.de

    Apr 21 03:40:29 vpscobra qmail: 1555810829.770697 status: local 1/10 remote 0/20

    Apr 21 03:40:29 vpscobra qmail: 1555810829.895113 new msg 42

    Apr 21 03:40:29 vpscobra qmail: 1555810829.895162 info msg 42: bytes 250633 from <srs-SRS0=vE/2/zXt=SX=gslapanice.cz=stepankova@vpscobra.service4it.com> qp 10699 uid 1027



    Vielen Dank für Eure Hilfe,

    Gruß RudiX

  • iptables -A INPUT -s 212.96.162.0/24 -p TCP -j DROP


    und weg issser ;)

    Durch das /24 hieße es wohl eher "und weg isset". Denn man sperrt dadurch ein komplettes Subnetz und nicht bloß eine IP.


    Die IP selber scheint derzeit noch nicht auf einer Blacklist. Im whois zur IP kann man jedenfalls eine abuse Mail-Adresse entnehmen. Der Spamversand sollte auch gemeldet werden. So tut man auch etwas Gutes für andere Nutzer und verhindert (hoffentlich) weiteren Spam.

  • Ich sperre immer gleich das ganze Netz, denn oft kommen Attacken danach von einer anderen IP aus dem gleichen Netz und so ist meist Ruhe.

    Mache ich auch. Nur wollte ich das Detail mit dem Subnetz erwähnt haben, da dies für den Einen oder Anderen nicht direkt ersichtlich sein könnte. Wäre dies z.b. eine Telekom IP könnte die Sperrung des Subnetzes andere Probleme nach sich ziehen.