Sicherheitslücke in Dovecot

  • Also heisst das Abwarten und Tee trinken???

    Das halte ich für eine schlechte Idee. Die Situation ist in meinen Augen nicht abschließend geklärt.


    Für mich stellt es sich so dar, dass die Mailboxen rudi@ullmert.de und jens@ullmert.de kompromittiert wurden und massenhaft Spam verschickt haben. Es ist nicht klar, ob weiterhin Spam in der Mail-Queue ist und versucht wird zugestellt zu werden. Zudem werden durch Löschung der Mailboxen weitere Bounce-Mails generiert. Der Ablauf:

    1. Spam-Mail wird versandt
    2. Empfänger lehnt Mail ab, weil
      1. Empfänger nicht vorhanden
      2. Mail als Spam erkannt
      3. Server auf Blacklist
    3. Empfänger schickt Bounce-Mail mit der Info
    4. Mail kann nicht zugestellt werden, da Mailbox auf vpscobra.service4it.com gelöscht (Sorry, no mailbox here by that name.)
    5. Es wird eine Bounce-Mail mit dieser Info verschickt
    6. Zurück zu Punkt 2 => Schleife

    Da das Problem nicht vollständig untersucht ist kann auch nicht ausgeschlossen werden, dass nicht doch noch eine Mailbox kompromittiert/gehackt ist.


    Mit gehackt ist übrigens nicht gemeint, dass da irgendwo ein Mensch sitzt und sich in 80er-Jahre-Manier "reingehackt hat". Eher war das Passwort zu schwach und wurde per Brute-Force-Attacken herausgefunden. Oder ein Trojaner hat die Zugangsdaten auf einem PC/Tablet/Smartphone ausgespäht. Auch kann es sein, dass Mail-Adresse und das gleiche Passwort bei einem Drittanbieter hinterlegt waren und dieser z.B. ein Datenleck hatte. Die Passwörter sollten daher nicht mehr verwendet werden.


    Hinzu kommt, dass man vielleicht nach und nach nicht mehr auf Spam-Blacklists landet, jedoch durch die Vielzahl an Bounces auf Blacklists wie backscatterer.org landet. Wenn hier nur abgewartet wird, kann man am Ende nur noch mehr Arbeit/Probleme bekommen. Zudem bedeutet abwarten, dass der reguläre Mail-Verkehr solange auch gestört ist. Ich weiß auch nicht in wie weit abwarten nicht auch fahrlässiges Verhalten ist.

    ... UND WAS HEISST DAS NUN ?

    Ich habe ein wenig den Eindruck, dass hier eine fertige Copy & Paste Lösung gesucht wird. Diese kann man hier aber nicht bieten. Das System ist unbekannt, da man kein Zugriff darauf hat. Die gegeben Informationen sind teils unvollständig. Daher können nur Hinweise und Tipps gegeben werden.


    Man sollte sich mit /usr/local/pd-admin2/sbin/qmHandle und /usr/local/pd-admin2/sbin/qmail-remove befassen. Führt man die Befehle ohne Argumente aus, erhält man eine kleine Hilfe. Zudem sollte man sich auch mit der Analyse von Mail-Header [1] [2] auseinander setzen. Ist man sich unsicher kann der Mail-Header hier gepostet werden. Hier mal zwei Beispiele, die bei Spam-Versand meist vorkommen:


    Received: from unknown (HELO ?127.0.0.1?) (info@beispiel.de@1.2.3.4) => info@beispiel.de@1.2.3.4 bedeutet, es wurde sich von der IP 1.2.3.4 mit dem Benutzernamen info@beispiel.de angemeldet. Hier kann auch die LoginID, anstelle der Mail-Adresse stehen.


    X-SCRIPT-FILENAME: /home/loginid/www.beispiel.de/skript.php => Hier wurde die Mail durch skript.php generiert. Dies kann ein Kontaktforumlar sein, eine Sicherheitslücke in der Anwendung oder auch eine kompromittierte Datei.


    Es sollte dann, wie zuvor angeführt, qmail-send gestoppt werden, damit keine weiteren Mails versandt werden. Nun muss man mit qmHandle die Mail-Queue sichten. Mails mit "Subject: failure notice" oder "From: MAILER-DAEMON@vpscobra.service4it.com" können dabei ignoriert werden bzw. imho sogar direkt mit qmail-remove aus der Mail-Queue entfernt werden. Dies sind Bounce-Mails. Damit wird man vermutlich auch schon ein Großteil an Mails wieder los. Wenn dann noch Spam-Mails vorhanden sind, muss man den Mail-Header analysieren. Ziel sollte es sein, dass in der Mail-Queue keine oder nur noch reguläre/legitime Mails vorhanden sind.

  • so es wird immer seltsamer und heftiger


    root@vpscobra:/# df -h

    Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf

    udev 2,0G 0 2,0G 0% /dev

    tmpfs 396M 45M 351M 12% /run

    /dev/vdb1 13G 9,1G 2,7G 78% /

    tmpfs 2,0G 0 2,0G 0% /dev/shm

    tmpfs 5,0M 0 5,0M 0% /run/lock

    tmpfs 2,0G 0 2,0G 0% /sys/fs/cgroup

    /dev/vdb2 37G 6,3G 29G 18% /home

    /dev/vda6 4,6G 20M 4,3G 1% /space

    /dev/vda1 922M 23M 836M 3% /boot

    tmpfs 396M 0 396M 0% /run/user/1000


    Überall genug Speicherplatz vorhanden, jedoch wenn ich bspw. crontab -e aufrufe kommt die Meldung:

    root@vpscobra:/# crontab -e

    /tmp/crontab.uYOyWD: Auf dem Gerät ist kein Speicherplatz mehr verfügbar

    Creation of temporary crontab file failed - aborting


    Mache ich ein du oder df scheint alles o.k., was ist da los???

    root@vpscobra:/# du -h /tmp/

    4,0K /tmp/.ICE-unix

    4,0K /tmp/.font-unix

    4,0K /tmp/.X11-unix

    4,0K /tmp/systemd-private-b1398b79c19043df8f188f4721de763d-systemd-timesyncd.service-vAxDTt/tmp

    8,0K /tmp/systemd-private-b1398b79c19043df8f188f4721de763d-systemd-timesyncd.service-vAxDTt

    4,0K /tmp/.XIM-unix

    4,0K /tmp/.Test-unix

    136K /tmp/

    root@vpscobra:/# df -h /tmp/

    Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf

    /dev/vdb1 13G 9,1G 2,7G 78% /


    Ich werd noch wahn....., schalte gleich den Server ab, traurig.

  • DANKE für die Loschung, wollte dies selbst vornehmen, aber hatte keine Berechtigung.

    das Foto ... usw war im Linux-Log nicht zu sehen. Anscheinend ist mein Server bzw. meine Mailadressen kompromitiert worden.

    Bin noch auf der Suche nach der Ursache,

    Vielen DANK, Gruß RudiX

    • Offizieller Beitrag

    Ja, der Thread hat sich etwas verlaufen.


    Check mal mit df -i ob Deine Platte keine Inodes mehr hat. Soweit ich das mitbekommen habe, ist die Kiste ja aufgrund Deines Urlaubs oder so relativ lange in dem angegriffenen Zustand dahin gelaufen. Eine Theorie wäre, dass Dir so dermaßen viele Spams (zuzüglich Bounces darauf) eingliefert wurden, dass die Platte keine inodes mehr hat.

  • auf / sind keine Inodes mehr frei

    df -i

    Dateisystem Inodes IBenutzt IFrei IUse% Eingehängt auf

    udev 505237 346 504891 1% /dev

    tmpfs 506356 415 505941 1% /run

    /dev/vdb1 830688 830688 0 100% /

    ...

    so, habe inzwischen das Rettungssystem gestartet, Platz geschaffen, neu gebootet und als erstes mit svc -d /service/qmail-send die weitere Auslieferung von Mails gestoppt.


    Doch was nun? Bin bereit den Server neu zu installieren, jedoch benötige konstruktiven Input zu folgenden Szenarien:


    1.) Ziel ist es mit einer Debian-Minimal-Installation und der pdadmin-Verwaltung einen sicheren Server aufzusetzen, der zudem einfach zu warten ist.

    - es wird lediglich Typo3, eventuell auch noch eine OwnCloud installiert
    - es wird der Mailservice benötigt


    Auf dem Server werden, außer evtl. meinem Neffen keine Kunden eingerichtet, der Server dient lediglich privaten Zwecken.


    Fragen:

    a) kann ich meine Domains velodream.de und ullmert.de überhaupt noch nutzen oder geht dann das ganze Maleur von vorne los?
    b) wie halte ich die Spamangriffe auf den Server fern?


    Vielen Dank für Euer Feedback, RudiX

    • Offizieller Beitrag

    Deine Domains sind im Normfalfall außer Gefahr. Du bist zwar ziemlich sicher auf einem Berg voller Blacklists gelandet, aber diese blacklisten in aller Regel ja die IP und nicht die Domain. Stampf den Server ein und hol Dir einen neuen mit neuer IP. Ist zwar nicht besonders fair dem gegenüber, der als nächster diese IP bekommt, aber da mussten wir alle mal durch und Du bist die Sorge schneller los.


    Für den sicheren Einsatz empfiehlt sich starke Kennwörter zu verwenden und fail2ban einzusetzen. Typo3 sollte immer aktuell gehalten werden.


    Bei mir geht seit längerem kein Server mehr ohne fail2ban online. Damit kriegt man die Passwortattacken ganz gut in den Griff.


    In deinem Fall wäre weiters zu klären, warum es kein vernünftiges Mail Limit gab. Normalerweise wird im Angebot ja festgelegt, wieviele Mails man in welchem Zeitraum verschicken darf. Diese Mechanismus verhindert meist Schlimmeres. UND er hat den Nachteil, dass er nicht für Mails zieht, die über Scripte eingeliefert wurden. Deswegen würde ich in Deinem Fall nochmal klären ob der ganze Mist nicht doch eher auf ein veraltetes Webscript zurückzuführen ist.


    Owncloud... Ich würds mir nicht antun in Zeiten in denen man Nextcloud Instanzen bei allen möglichen Anbietern voll gewartet um ein paar Euro mieten kann. Wenn Du es dennoch machen willst, würde ich es auf einem eigenen Server machen.

  • das ist mit ziemlicher Sicherheit die Mailadresse meines Neffen Jens

    Sep 10 12:11:17 vpscobra perl: throttleuser: login = <jens@ullmert.de>, current = <99>, limit = <50>, rcptcount = <4>: account suspended


    Ich arbeite zwar schon seit vielen Jahren mit Linux, Debian und pdadmin, aber diese Sache übersteigt meine Linux-Kenntnisse. Zur genauen Analyse habe ich nicht das erforderliche Fachwissen im Bereich qMail oder Mailverkehr überhaupt.


    Gruß RudiX

    • Offizieller Beitrag

    vielen Dank für Dein Feedback. Meinst Du damit den Punkt Mail-Submission limitieren und Drosselintervall?
    Aber der zieht doch lediglich wenn "Reines Email-Hosting" aktiviert ist.


    Ja, den mein ich. Und nein, der zieht immer (Ausnahme wie gesagt Mails die per Script oder auf der Kommandozeile erstellt wurden). Gott sei Dank.

    • Offizieller Beitrag

    Ich stelle mal die Frage, warum dann überhaupt einen eigenen Server. Ich denke bei den wenigen Ansprüchen wäre es auch mit einem Hosting-Paket getan und Du musst Dir keine Gedanken über den Server oder ähnliches machen. Wenn Du mehr Leistung haben willst, dann haben ja z.B. B&K auch "Managed Server", dann musst Du Dich um nichts kümmern.

  • Genau diese Frage habe ich mir mittlerweile auch gestellt, jedoch möchte ich gerne bei B&K bleiben, da ich bei Herrn Bradler und seinem Team seit Jahren bin und auch großes Vertrauen habe. Aber B&K bietet meines Wissens kein Hosting-Paket an.
    Bei meinen Ansprüchen wäre ein "managed Server" wie mit Kanonen auf Spatzen geschossen, total oversized. Das ist für meine privaten Zwecke auch nicht wirtschaftlich. der monatliche Kostenfaktor ist mir dann doch etwas hoch.

    Na, ich werde mal überlegen, wie ich das alles am besten mache.