Schwer für mich zu sagen, inwieweit wir betroffen sind. Workaround gibt es jedenfalls anscheinend keinen.
Sicherheitslücke in Dovecot
-
- [erledigt]
- tbc233
-
-
So wie ich sehe, ist Dovecot 2.2.36.3 installiert. Daher sollte die Sicherheitslücke dort noch drin sein.
-
Ich werde zugeballert. Kein freier Speicherplatz um das Update zu installieren.
Anscheinend ein tmp-Verzeichniss, aber wo?
Es können keine Mails gesendet werden.
Bitte um Hilfe.
Danke, Rudix
-
Schaue unter /usr/local, ob dort alte pd-admin-Backups liegen oder lösche alte Dateien aus dem /seu3.
Ansonsten du -h im root-Verzeichnis, dann siehst Du wo und wie viel Speicherplatz belegt ist.
-
Wie meinst Du, Du wirst "zugeballert"?
Zudem: Wenn Du ein Update machst wegen dieser Sicherheitslücke, damit kannst noch warten. Die derzeitige SEU Version hat noch die betroffene Version drin.
-
unable to append to Bounce message
... und das fortlaufend
Sorry, bin gerade auf Radreise und habe nur das Tablet mit juice-ssh zur Verfügung
Grüsse RudiX
-
Das "unable to append to Bounce message" hat zu 99% damit zu tun dass Deine Disk voll ist. Hat nichts mit der Lücke zu tun um die es hier geht.
Du musst dringend rausfinden warum Deine Festplatte so voll ist bzw. platz schaffen.
-
Hab gerade nicht mehr den Befehl parat um mit du - h nach Größe absteigend zu sortieren?
Anders such ich mir den Wolf.
Vermute ein temp-Verzeichniss.
Vielen Dank für die Unterstützung,
Urlaubsgrüsse,
der VeloRudiX
-
Der Befehl du kann glaub ich nicht sortieren. Dies ginge höchstens mit
Ich nutze gerne
Man darf sich nur nicht von den Fehlern mit /proc irritieren lassen.
Ich würde aber Mal bei /usr/local und /var/log schauen. Das sind bei mir oft die ersten Stellen, wo schnell Mal Platz verbraucht wird.
-
Pipe den du -h einfach in eine Datei, dann kannst Du da in Ruhe suchen.
-
Pipe den du -h einfach in eine Datei, dann kannst Du da in Ruhe suchen.
Gemeint ist wohl die Ausgabeumleitung mit > und nicht pipen mit |
Zumindest würde ich es mit
ausführen.
-
Du hast Recht Sumeragi, habe das gerade zu schnell auf dem Handy getippt
-
ich würde erstmal schauen, ob bei den Verzeichnissen etwas auffällt
-
Um wieder zum Thema zu kommen, die neue Serverumgebung mit dem gehärteten Dovecot ist raus. DANKE an Herrn Bradler und sein Team.
-
... so konnte endlich ein Update auf die SE 6.0338 machen, jhedoch laufen in /var/log/ ständig folgende Dateien voll. Und das im Abstand von Bruchteilen einer Sekunde. Was ist da los, stehe anscheinend unter Dauerbeschuss.
HILFE, HILFE, HILFE ....
1.) mail.log
Sep 6 13:13:15 vpscobra qmail: 1567768395.150302 status: local 0/10 remote 19/20
Sep 6 13:13:15 vpscobra qmail: 1567768395.150311 starting delivery 57801: msg 530001 to remote auditor1@eastlandcountytexas.com
Sep 6 13:13:15 vpscobra qmail: 1567768395.150318 status: local 0/10 remote 20/20
Sep 6 13:13:15 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
Sep 6 13:13:15 vpscobra qmail: 1567768395.238074 new msg 537760
Sep 6 13:13:15 vpscobra qmail: 1567768395.238116 info msg 537760: bytes 1403 from <etta@service4it.com> qp 26128 uid 1015
Sep 6 13:13:15 vpscobra qmail-smtpd: domain icarus.freeuk.com not in domains or codomains table
Sep 6 13:13:15 vpscobra qmail-smtpd: domain winderstein.de not in domains or codomains table
Sep 6 13:13:15 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
Sep 6 13:13:15 vpscobra qmail: 1567768395.306396 delivery 57795: deferral: 108.177.127.26_failed_after_I_sent_the_message./Remote_host_said:_421-4.7.0_[185.13.148.168______15]_Our_system_has_detected_that_this_message_is/421-4.7.0_suspicious_due_to_the_very_low_reputation_of_the_sending_IP_address./421-4.7.0_To_protect_our_users_from_spam,_mail_sent_from_your_IP_address_has/421-4.7.0_been_temporarily_rate_limited._Please_visit/421_4.7.0__https://support.google.com/mail/answer/188131_for_more_information._18si2402267ejv.41_-_gsmtp/
Sep 6 13:13:15 vpscobra qmail: 1567768395.306505 status: local 0/10 remote 19/20
Sep 6 13:13:15 vpscobra qmail: 1567768395.306514 starting delivery 57802: msg 530001 to remote auditoria@ctv.es
Sep 6 13:13:15 vpscobra qmail: 1567768395.306522 status: local 0/10 remote 20/20
2.) mail.warn
Sep 6 13:15:28 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain yahoo.com not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain hotmail.com not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain yahoo.es not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain ath.cz not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain hotmail.com not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain yahoo.com not in domains or codomains table
Sep 6 13:15:28 vpscobra qmail-smtpd: domain yahoo.com not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain yahoo.de not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain mail.sce.cz not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain hotmail.com not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain yahoo.com not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain phil.muni.cz not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain hotmail.com not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain orbitsw.de not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
Sep 6 13:15:29 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table
3.) syslog
Sep 6 13:16:20 vpscobra qmail: 1567768580.430553 delivery 60140: failure: Connected_to_104.47.14.33_but_sender_was_rejected./Remote_host_said:_550_5.7.1_Unfortunately,_messages_from_[185.13.148.168]_weren't_sent._Please_contact_your_Internet_service_provider_since_part_of_their_network_is_on_our_block_list_(S3150)._You_can_also_refer_your_provider_to_http://mail.live.com/mail/troubleshooting.aspx#errors._[VI1EUR04FT023.eop-eur04.prod.protection.outlook.com]/
Sep 6 13:16:20 vpscobra qmail: 1567768580.430595 status: local 0/10 remote 19/20
Sep 6 13:16:20 vpscobra qmail: 1567768580.430604 starting delivery 60141: msg 532921 to remote baradero_2005@hotmail.com
Sep 6 13:16:20 vpscobra qmail: 1567768580.430863 status: local 0/10 remote 20/20
Sep 6 13:16:20 vpscobra qmail: 1567768580.445567 new msg 538416
Sep 6 13:16:20 vpscobra qmail: 1567768580.445817 info msg 538416: bytes 781 from <rudi@ullmert.de> qp 1770 uid 1015
Sep 6 13:16:20 vpscobra qmail-smtpd: domain maninet.co.kr not in domains or codomains table
Sep 6 13:16:20 vpscobra qmail: 1567768580.455236 delivery 60138: failure: Connected_to_104.47.14.33_but_sender_was_rejected./Remote_host_said:_550_5.7.1_Unfortunately,_messages_from_[185.13.148.168]_weren't_sent._Please_contact_your_Internet_service_provider_since_part_of_their_network_is_on_our_block_list_(S3150)._You_can_also_refer_your_provider_to_http://mail.live.com/mail/troubleshooting.aspx#errors._[VI1EUR04FT050.eop-eur04.prod.protection.outlook.com]/
Sep 6 13:16:20 vpscobra qmail: 1567768580.455256 status: local 0/10 remote 19/20
Sep 6 13:16:20 vpscobra qmail: 1567768580.455265 starting delivery 60142: msg 530168 to remote barajasmadrid@hotmail.com
Sep 6 13:16:20 vpscobra qmail: 1567768580.455272 status: local 0/10 remote 20/20
Sep 6 13:16:20 vpscobra qmail: 1567768580.483508 delivery 60121: success: 103.224.212.34_accepted_message./Remote_host_said:_250_I've_put_it_in_a_can/
Sep 6 13:16:20 vpscobra qmail: 1567768580.483582 status: local 0/10 remote 19/20
Sep 6 13:16:20 vpscobra qmail: 1567768580.483591 starting delivery 60143: msg 530168 to remote baran@telefonica.net
Sep 6 13:16:20 vpscobra qmail: 1567768580.483599 status: local 0/10 remote 20/20
Sep 6 13:16:20 vpscobra qmail-smtpd: domain goizper.com not in domains or codomains table
Vielen Dank für Euer Feedback zur Abhilfe,
Gruß RudiX
-
Hast Du auf dem Server vielleicht irgendwo ein PHP-Mailformular über das massenhaft eMails versendet werden?
-
Nee, da läuft lediglich eine aktuelle Typo3-Installation, bei der ich soeben das Kontaktformular deaktiviert habe.
Hat aber leider keinen Erfolg gebracht. Müsste eventuell die Maildienste abschalten? Aber ohne Mail ist natürlich schlecht.
Tja, immer noch Dauer-Log-Einträge,
-
Irgendwo muss es ja eine Schwachstelle geben durch die die eMails auf den Server eingeliefert werden.
Schaue doch mal mit lsof -i tcp:25 ob da jemand eMails einliefert.
-
solange nicht klar ist woher es kommt sollte der SMTP Dienst deaktiviert werden. Wird dieser nicht gestoppt, landet man auf immer mehr Blacklists. Und das Delisting ist dann immer zusätzlich Aufwand.
Es muss auch kein Kontaktformular sein. Eine Sicherheitslücke in einem Plugin reicht aus. Dazu sollte man sich das access_log anschauen. Meist hat man eine IP, welche viele POST Anfragen schickt.
Ansonsten kann es auch eine kompromittierte Mailbox sein. Dann sollte eigentlich das Mail-Submission-Limit greifen... Aber hab schon gesehen, dass dieser Wert extrem hoch gesetzt wurde ?
In dem Zusammenhang muss es dann auch nicht unbedingt nur Port 25 sein. Es kann auch über Port 465 und 587 eingeliefert werden.
Die Ausschnitte aus den Logs sind für mich leider unbrauchbar. Ich konnte keine zusammenhängende Zustellung sehen. So hat man ein Indiz auf ein mögliches Problem. Große Logs sollten dann auch besser per txt Datei als Anhang gepostet werden. Macht das Lesen des Threads angenehmer ?
btw gehört dies eher in einen eigenen Thread, da es wohl nichts mit der Sicherheitslücke zu tun hat.
-
lsof -i tcp:25
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
qmail-rem 1431 qmailr 3u IPv4 3526456 0t0 TCP vpscobra.service4it.com:50208->server106.citromail.hu:smtp (ESTABLISHED)
qmail-rem 7924 qmailr 3u IPv4 3551490 0t0 TCP vpscobra.service4it.com:41438->mail3.ciao.com:smtp (ESTABLISHED)
qmail-rem 23519 qmailr 3u IPv4 3624075 0t0 TCP vpscobra.service4it.com:59000->104.28.28.86:smtp (SYN_SENT)
qmail-rem 24148 qmailr 3u IPv4 3615913 0t0 TCP vpscobra.service4it.com:58070->204.11.56.48:smtp (SYN_SENT)
qmail-rem 24310 qmailr 3u IPv4 3614539 0t0 TCP vpscobra.service4it.com:35482->154.197.154.104.bc.googleusercontent.com:smtp (SYN_SENT)
qmail-rem 24321 qmailr 3u IPv4 3615362 0t0 TCP vpscobra.service4it.com:46264->lswww.lehman.com:smtp (SYN_SENT)
qmail-rem 24818 qmailr 3u IPv4 3618731 0t0 TCP vpscobra.service4it.com:55686->us-hpswa-esg-01.alcatel-lucent.com:smtp (SYN_SENT)
qmail-rem 24852 qmailr 3u IPv4 3617937 0t0 TCP vpscobra.service4it.com:34986->cxr.mx.a.cloudfilter.net:smtp (ESTABLISHED)
qmail-rem 24986 qmailr 3u IPv4 3618432 0t0 TCP vpscobra.service4it.com:53354->185.53.177.31:smtp (SYN_SENT)
qmail-rem 25682 qmailr 3u IPv4 3620826 0t0 TCP vpscobra.service4it.com:58362->204.11.56.48:smtp (SYN_SENT)
qmail-rem 26005 qmailr 3u IPv4 3377128 0t0 TCP vpscobra.service4it.com:36888->esa2.hc3370-68.iphmx.com:smtp (ESTABLISHED)
qmail-rem 26069 qmailr 3u IPv4 3622239 0t0 TCP vpscobra.service4it.com:44920->http://www.terra.es:smtp (SYN_SENT)
qmail-rem 26082 qmailr 3u IPv4 3622257 0t0 TCP vpscobra.service4it.com:44922->http://www.terra.es:smtp (SYN_SENT)
qmail-rem 26612 qmailr 3u IPv4 3624196 0t0 TCP vpscobra.service4it.com:54124->hal-9000.nicsys.de:smtp (SYN_SENT)
qmail-rem 26797 qmailr 3u IPv4 3625549 0t0 TCP vpscobra.service4it.com:38192->mail.lsi.usp.br:smtp (ESTABLISHED)
qmail-rem 26902 qmailr 3u IPv4 3624460 0t0 TCP vpscobra.service4it.com:47122->mx0.bresnan.net.msg.chrl.nc.charter.net:smtp (ESTABLISHED)
qmail-rem 26978 qmailr 3u IPv4 3624718 0t0 TCP vpscobra.service4it.com:44488->smtp.theworld.com:smtp (ESTABLISHED)
qmail-rem 26981 qmailr 3u IPv4 3625935 0t0 TCP vpscobra.service4it.com:54416->185.53.178.6:smtp (SYN_SENT)
qmail-rem 26984 qmailr 3u IPv4 3625947 0t0 TCP vpscobra.service4it.com:59286->123.128.17.93.rev.sfr.net:smtp (ESTABLISHED)
sagt mir jetzt aber nix ;-((
Die Sache hat sich inzwischen auch beruhigt.