Aber die IP des Servers scheint schon geblacklistet zu sein und diese vielen Verbindung zeugen davon das dort anscheinend massenhaft Spam auf die Reise geht. Also irgendwo muss es eine Schwachstelle geben.
Sicherheitslücke in Dovecot
-
- [erledigt]
- tbc233
-
-
Was sagt denn
Damit kann man sich die Mail-Queue ansehen. Dort kann man sich dann einzelne Mails heraus picken und mit
sich die Mail anschauen. Für 12345 muss die Nummer/ID aus der Liste genommenen werden.
Anhand der Mail-Headers kann man dann die Zustellung sehen. Dort sieht man dann auch ob die Mail z.B. per Skript oder per smtp-auth eingeliefert wurde.
-
da scrollt eine ewige Liste über den Schirm, konnte ja auf Grund meiner 2 wöchigen Radreise nix unternehmen.
570454 (8, L)
Return-path: #@[]
From: MAILER-DAEMON@vpscobra.service4it.com
To: postmaster@vpscobra.service4it.com
Subject: failure notice
Date: 2 Sep 2019 20:46:25 -0000
Size: 22600 bytes
577193 (8, L)
Return-path: #@[]
From: MAILER-DAEMON@vpscobra.service4it.com
To: postmaster@vpscobra.service4it.com
Subject: failure notice
Date: 2 Sep 2019 23:27:29 -0000
Size: 22157 bytes
567510 (8, L)
Return-path: #@[]
From: MAILER-DAEMON@vpscobra.service4it.com
To: postmaster@vpscobra.service4it.com
Subject: failure notice
Date: 2 Sep 2019 09:10:16 -0000
Size: 20918 bytes
571259 (8, L)
Return-path: #@[]
From: MAILER-DAEMON@vpscobra.service4it.com
To: postmaster@vpscobra.service4it.com
Subject: failure notice
Date: 2 Sep 2019 16:46:24 -0000
Size: 23209 bytes
Messages in local queue: 34952
Messages in remote queue: 50761
Beispiel eines Aufrufs:
root@vpscobra:/var/log# /usr/local/pd-admin2/sbin/qmHandle -v533539
--------------
MESSAGE NUMBER 533539
--------------
Received: (qmail 471 invoked by alias); 6 Sep 2019 10:55:38 -0000
Delivered-To: postmaster@vpscobra.service4it.com
X-Originally-To: postmaster@vpscobra.service4it.com
Received: (qmail 413 invoked for bounce); 6 Sep 2019 10:55:38 -0000
Date: 6 Sep 2019 10:55:38 -0000
From: MAILER-DAEMON@vpscobra.service4it.com
To: postmaster@vpscobra.service4it.com
Subject: failure notice
Hi. This is the qmail-send program at vpscobra.service4it.com.
I tried to deliver a bounce message to this address, but the bounce bounced!
Sorry, no mailbox here by that name. (#5.1.1)
--- Below this line is the original bounce.
Return-Path: <>
X-PDA-ORIGIN: vpscobra.service4it.com
Received: (qmail 369 invoked for bounce); 6 Sep 2019 10:55:38 -0000
Date: 6 Sep 2019 10:55:38 -0000
From: MAILER-DAEMON@vpscobra.service4it.com
To: rudi@ullmert.de
Subject: failure notice
Hi. This is the qmail-send program at vpscobra.service4it.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
108.177.127.27 failed after I sent the message.
Remote host said: 550-5.7.1 [185.13.148.168 18] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending IP
550-5.7.1 address. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. c25si2633731eja.337 - gsmtp
108.177.127.27 failed after I sent the message.
Remote host said: 550-5.7.1 [185.13.148.168 18] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending IP
550-5.7.1 address. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. z42si3335139edz.23 - gsmtp
108.177.127.27 failed after I sent the message.
Remote host said: 550-5.7.1 [185.13.148.168 18] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending IP
550-5.7.1 address. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. j12si2513525edn.348 - gsmtp
--- Below this line is a copy of the message.
Return-Path: <rudi@ullmert.de>
X-PDA-ORIGIN: vpscobra.service4it.com
Received: (qmail 1702 invoked from network); 6 Sep 2019 10:47:27 -0000
Received: by simscan 1.4.0 ppid: 31791, pid: 1641, t: 0.8763s
scanners: clamav: 0.101.4/m:58/d:25564
Received: from unknown (HELO ?127.0.0.1?) (rudi@ullmert.de@200.49.55.66)
by 0 with SMTP; 6 Sep 2019 10:47:26 -0000
To: juliovalentin910@gmail.com, dg66675@gmail.com, bad52363@gmail.com
From: rudi@ullmert.de
Subject: Dating inveiglement
Message-ID: <2A0373EA.2414427@ullmert.de>
Date: Fri, 6 Sep 2019 06:47:32 -0400
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:38.0) Gecko/20100101
Thunderbird/38.2.0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
=20
Predictable occasion will unexpectedly turn into something forbidden!
http://pimpri-jalsen.com/calendar/wordcraft_unmourning.html
Sincerely yours
root@vpscobra:/var/log#
Na, sagt mir wenig.
-
hier sieht man es. Die Mailbox wurde gehackt. Als erstes das Passwort der Mailbox ändern. Das Passwort sollte nicht mehr verwendet werden.
Danach sollte
ausführen. Im nächsten Schritt bereinigt man die Mail-Queue. Mit
Damit bekommt man eine Liste mit Treffern. Hängt man -d hinten dran, werden die Treffer gelöscht.
Achtung!
Bevor man löscht muss sichergestellt sein, dass qmail-send gestoppt wurde. Dies kann man mit
Hier darf es keine Treffer geben. Erst wenn es keine remote Prozesse mehr gibt, dürfen die Mails gelöscht werden. Ansonsten gibt's mit qmail Probleme.
-
... so nun kommt etwas interessantes mit dem Mail-Account meines Neffen
Sep 6 12:36:13 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <300>, limit = <300>, rcptcount = <2>: account suspended
Sep 6 12:38:24 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <300>, limit = <300>, rcptcount = <7>: account suspended
Sep 6 12:43:38 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <300>, limit = <300>, rcptcount = <4>: account suspended
Sep 6 12:44:13 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <300>, limit = <300>, rcptcount = <7>: account suspended
Sep 6 12:44:13 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <300>, limit = <300>, rcptcount = <1>: account suspended
Sep 6 12:46:22 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <300>, limit = <300>, rcptcount = <5>: account suspended
Sep 6 12:55:55 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <295>, limit = <300>, rcptcount = <6>: account suspended
Sep 6 12:55:58 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <299>, limit = <300>, rcptcount = <5>: account suspended
Sep 6 12:57:04 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <299>, limit = <300>, rcptcount = <2>: account suspended
Sep 6 13:02:44 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <299>, limit = <300>, rcptcount = <4>: account suspended
Was ist bitte ein "throttleuser", wird über diesen Account gespamt???
Ich habe diesen Mail-Account heute nachmittag gelöscht und eben nachgeschaut, der existiert nicht?
-
Hallo Sumeragi,
die Mailbox rudi@ullmert.de existiert schon lange nicht mehr, zumindest nicht in der pdadmin-Oberfläche?
Kann es sein, das diese neu angelegt wurde und in der pdadmin-Oberfläche nicht sichtbar ist?
Danke Dir
-
Throttleuser bedeutet "Benutzer drosseln". Der kompromittierte Account ist "jens@ullmert.de".
-
ps aux | grep remote
qmailr 1192 0.0 0.0 15280 1604 ? S 22:22 0:00 qmail-remote seastem.com etta@service4it.com j.girard@seastem.com
root 3416 0.0 0.0 12780 976 pts/0 S+ 22:42 0:00 grep remote
qmailr 3654 0.0 0.0 15280 1612 ? S 22:24 0:00 qmail-remote kring.co.uk etta@service4it.com jacko@kring.co.uk
qmailr 7645 0.0 0.0 15280 1612 ? S 22:26 0:00 qmail-remote buchanemb.ndo.co.uk etta@service4it.com james@buchanemb.ndo.co.uk
qmailr 21334 0.0 0.0 15280 1560 ? S 22:33 0:00 qmail-remote vcu.edu etta@service4it.com jefritz@vcu.edu
service/apache24: up (pid 507) 6764 seconds
/service/clamd: up (pid 477) 6766 seconds
/service/dovecot22: up (pid 488) 6764 seconds
/service/FPM-ullmedbo-7.3.99: up (pid 500) 6764 seconds
/service/FPM-veloddbi-7.2.99: up (pid 497) 6764 seconds
/service/FPM-veloddbi-7.3.99: up (pid 498) 6764 seconds
/service/mysqld: up (pid 480) 6764 seconds
/service/proftpd: up (pid 495) 6764 seconds
/service/qmail-msa: up (pid 478) 6764 seconds
/service/qmail-send: up (pid 486) 6764 seconds, want down
/service/qmail-smtpd: up (pid 3465) 2 seconds
/service/spamd: up (pid 483) 6764 seconds
qmail-send will sich anscheinend nicht beenden?
Den Mail-Account jens@ullmert.de habe ich bereits vor Stunden gelöscht.
Danke für Deinen Support,
-
Das kann schon Mal etwas dauern, da ja noch Verbindungen offen sind. Man muss warten bis diese beendet wurden.
-
die Mail-Logs laufen immer noch voll, das "Spammen" nimmt kein Ende. Habe inzwischen ein cron-Job eingerichtet der alle 2 Stunden die mail-Log-files löscht und neu anlegt.
Fragen:
1.) Ich habe dc-ssl-install.sh ausgeführt, jetzt könnte ich doch die Ports 25 und 110 blocken, aber wie?
2.) Bringt es was Fail2Ban wie in den HowTo's beschrieben zu installieren, ist die Anleitung aktuell?
3.) Wie bekomme ich diese Spammer los, gibt es in qmail eine Sicherheitslücke oder wie kann das passieren?
Vielen Dank für die Unterstützung,
RudiX
-
Also Ports sperren ist einfach:
iptables -A INPUT -p tcp --dport 25 -j DROP
(Hält nur bis zum Reboot)Aber besser Du schaust nach dem Problem, wie von Sumeragi beschrieben.
-
Die Frage ist ja weiterhin "wie wird der Spam eingeliefert?".
Anhand der letzten Beiträge schien es ja eine kompromittierte Mailbox zu sein. Dies halte ich auch weiterhin für am wahrscheinlichsten. Die Mail Queue enthielt zuletzt über 50.000 Mails. Diese gilt es nun zu sichten. Hat man identifiziert wie die Mail(s) eingeliefert wurde(n), kann man den Zugang sperren. Anschließend löscht man sämtliche Mails aus der Queue, die so eingeliefert wurden.
-
/usr/local/pd-admin2/shin/qmail-remove -p "(rudi@ullmert.de@(rudi@ullmert.de@"
... das habe ich nun mit allen vorhandenen Postfächern durchgeführt.
bei allen kommt:
....
636372: no
791116: no
567510: no
571259: no
0 file(s) match
Daher gibt es nichts mit -d zu löschen.
Die Mail Queue enthielt zuletzt über 50.000 Mails.
woher weißt Du das die MailQueue über 50.000 Mails enthielt?
Was nun?
Gruß RudiX
-
Steht oben in Deinem Post: Messages in remote queue: 50761
-
Ich sehe gerade, dass ich ein Copy & Paste Fehler in meinem Post hatte. Es wurde "(rudi@ullmert.de@(" doppelt eingefügt. Mit -p gibt man ein Zeichenfolge an.
Man muss sich zunächst Mails in der Queue anschauen und anhand des Mail-Headers schauen wie die Mail eingeliefert wurde. Bei dem Beitrag oben wurde die Mail über die Mailbox rudi@ullmert.de eingeliefert. Daher auch dies als Angabe bei -p
-
ps aux | grep remote
qmailr 2468 0.0 0.0 15280 1580 ? S 20:56 0:00 qmail-remote stillville.com rudi@ullmert.de ayokunle@stillville.com
qmailr 2907 0.0 0.0 15280 1556 ? S 20:56 0:00 qmail-remote mirant.com etta@service4it.com rishad.patel@mirant.com
qmailr 3035 0.0 0.0 15280 1540 ? S 20:56 0:00 qmail-remote wilnetonline.com etta@service4it.com rishishp@wilnetonline.com
root 4048 0.0 0.0 12780 964 pts/0 S+ 20:58 0:00 grep remote
qmailr 14714 0.0 0.0 15280 1556 ? S 20:49 0:00 qmail-remote wxn.com etta@service4it.com mwixson@wxn.com
qmailr 16451 0.0 0.0 15280 1576 ? S 20:49 0:00 qmail-remote 9gmail.com rudi@ullmert.de lancegrunerud@9gmail.com
Also heißt der vollständige Befehl:
/usr/local/pd-admin2/sbin/qmail-remove -p "(rudi@ullmert.de@"
Man muss sich zunächst Mails in der Queue anschauen und anhand des Mail-Headers schauen wie die Mail eingeliefert wurde
302190: yes
294577: yes
540102: yes
622488: yes
621959: yes
782706: yes
... und wie schaue ich nun die Mail in der Queue an?
DANKE
-
Hat Sumeragi oben schon geschrieben:
/usr/local/pd-admin2/sbin/qmHandle -v12345 -
... oh sorry, die Sache stresst mich, aber
root@vpscobra:/var/log# /usr/local/pd-admin2/sbin/qmHandle -v533154
--------------
MESSAGE NUMBER 533154
--------------
Received: (qmail 12743 invoked by alias); 6 Sep 2019 13:12:27 -0000
Delivered-To: postmaster@vpscobra.service4it.com
X-Originally-To: postmaster@vpscobra.service4it.com
Received: (qmail 12728 invoked for bounce); 6 Sep 2019 13:12:27 -0000
Date: 6 Sep 2019 13:12:27 -0000
From: MAILER-DAEMON@vpscobra.service4it.com
To: postmaster@vpscobra.service4it.com
Subject: failure notice
Hi. This is the qmail-send program at vpscobra.service4it.com.
I tried to deliver a bounce message to this address, but the bounce bounced!
Sorry, no mailbox here by that name. (#5.1.1)
--- Below this line is the original bounce.
Return-Path: <>
X-PDA-ORIGIN: vpscobra.service4it.com
Received: (qmail 12627 invoked for bounce); 6 Sep 2019 13:12:27 -0000
Date: 6 Sep 2019 13:12:27 -0000
From: MAILER-DAEMON@vpscobra.service4it.com
To: rudi@ullmert.de
Subject: failure notice
Hi. This is the qmail-send program at vpscobra.service4it.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
108.177.127.27 failed after I sent the message.
Remote host said: 550-5.7.1 [185.13.148.168 18] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending IP
550-5.7.1 address. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. a54si3084990edc.333 - gsmtp
108.177.127.27 failed after I sent the message.
Remote host said: 550-5.7.1 [185.13.148.168 18] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending IP
550-5.7.1 address. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. f31si3345499ede.253 - gsmtp
<oberyfrancisobery@gmail.com>:
108.177.127.27 failed after I sent the message.
Remote host said: 550-5.7.1 [185.13.148.168 18] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending IP
550-5.7.1 address. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. h4si2893524edd.189 - gsmtp
108.177.127.27 failed after I sent the message.
Remote host said: 550-5.7.1 [185.13.148.168 18] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending IP
550-5.7.1 address. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. e26si3426422ede.133 - gsmtp
17.172.34.9 failed after I sent the message.
Remote host said: 550 5.7.1 [CS02] Message rejected due to local policy. Please visit https://support.apple.com/en-us/HT204137
--- Below this line is a copy of the message.
Return-Path: <rudi@ullmert.de>
X-PDA-ORIGIN: vpscobra.service4it.com
Received: (qmail 10456 invoked from network); 6 Sep 2019 11:19:00 -0000
Received: by simscan 1.4.0 ppid: 8940, pid: 10360, t: 1.0016s
scanners: clamav: 0.101.4/m:58/d:25564
Received: from unknown (HELO ?127.0.0.1?) (rudi@ullmert.de@114.6.196.46)
by 0 with SMTP; 6 Sep 2019 11:18:59 -0000
From: rudi@ullmert.de
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
Mime-Version: 1.0 (1.0)
Subject: hey- =?UTF-8?B?d2hhdOKAmXM=?= up
Message-Id: <959FF8A7-F67F-50F4-0FF0-FEF2DC48B0FF@ullmert.de>
Date: Fri, 6 Sep 2019 07:19:05 -0400
To: oberyfrancisobery@gmail.com, victorcarnete23@icloud.com,
silvercreek303@gmail.com, swallax53@gmail.com, mjmsiy1608@gmail.com
X-Mailer: iPad Mail (12H143)
=20
Female from your furtive dreams a couple of blocks away from you canno=
t stop dreaming of enjoying each other=E2=80=99s tirelessness!
http://www.clearvieweyehospita…dar/Pilea_colpindach.html
Female from your furtive dreams a couple of blocks away from you canno=
t stop dreaming of enjoying each other=E2=80=99s tirelessness!
Playful girls from the place you know can make you hot with their natu=
ral craze
... so die Mails werden anscheinend über @gmail.com und @icloud.com eingeliefert.
Die werde ich jetzt mal auf die "Blacklist" setzen oder kann man da sonst noch etwas tun?DANKE
-
... das ist ein Fass ohne Boden
-
Das scheinen Bounces auf die verschickten eMails zu sein.