Spam-Schleuder sucht dringend Hilfe

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
Post Reply
alex-kehl
Posts: 36
Joined: Wed 30. May 2018, 12:19

Spam-Schleuder sucht dringend Hilfe

Post by alex-kehl »

Hallo,

seit einigen Tagen wird mein Server als "Spamschleuder" misbraucht. Ich dachte immer, mir kann sowas nicht passieren, da ich Dkim, Dmarc, usw. gesetzt habe, nun hat es mich nach über 5 Jahren eigener Server doch erwischt. Leider kann ich aus der Log nicht erkennen woher das kommt und hoffe nun auf Eure Hilfe. Anbei ein Auszug aus der Log:

Code: Select all

Sep 13 10:33:42 server postfix/smtpd[699843]: connect from localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/smtpd[699843]: 4341068003A7: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/pickup[692753]: 53768680134A: uid=0 from=<dkb.23c2792f@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/smtpd[699843]: 556A0680146A: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/cleanup[699846]: 53768680134A: message-id=<1b12bc63f125f193a86b167c7a7182bc@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: 53768680134A: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: 6727A6801471: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: 53768680134A: from=<dkb.23c2792f@mail1-dkb-de.xyz>, size=29532, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: 71FDB68003A7: uid=0 from=<dkb.96530145@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: 71FDB68003A7: message-id=<0bdcf8e8c382895f60e83ad68d3470fd@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: 71FDB68003A7: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: 8339E6801541: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: 71FDB68003A7: from=<dkb.96530145@mail1-dkb-de.xyz>, size=29532, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: 83A9C680146A: uid=0 from=<dkb.42be95a3@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: 83A9C680146A: message-id=<8e063c781dc05a59a6c19bd93089e3e0@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: 83A9C680146A: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: 9A4C46801552: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: 83A9C680146A: from=<dkb.42be95a3@mail1-dkb-de.xyz>, size=29552, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: 9C9FB6801471: uid=0 from=<dkb.6145bc6f@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: 9C9FB6801471: message-id=<85626e1bb71661734fd134459d3addf6@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: 9C9FB6801471: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: BF3106801632: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: 9C9FB6801471: from=<dkb.6145bc6f@mail1-dkb-de.xyz>, size=29508, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: CCDE96801552: uid=0 from=<dkb.88cc0fc1@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: CCDE96801552: message-id=<3ca89ad34fdc3e024f8d19b4907a063c@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: CCDE96801552: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: DF92A680232C: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: CCDE96801552: from=<dkb.88cc0fc1@mail1-dkb-de.xyz>, size=29513, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: E037A6801541: uid=0 from=<dkb.6ba2dbb2@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: E037A6801541: message-id=<a6f8c8671f0a8dd7630155e7a85d8158@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: E037A6801541: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:43 server postfix/smtpd[699843]: 0F8F2680564A: client=localhost[127.0.0.1]
Sep 13 10:33:43 server postfix/qmgr[2295]: E037A6801541: from=<dkb.6ba2dbb2@mail1-dkb-de.xyz>, size=29518, nrcpt=1 (queue active)
Sep 13 10:33:43 server postfix/pickup[692753]: 194716801632: uid=0 from=<dkb.2ada9abd@mail1-dkb-de.xyz>
Sep 13 10:33:43 server postfix/cleanup[699846]: 194716801632: message-id=<5dcdaf152c07e76c9f2c447f2f0201bc@mail1-dkb-de.xyz>
Sep 13 10:33:43 server opendkim[1022]: 194716801632: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:43 server postfix/smtpd[699843]: 290DA6805657: client=localhost[127.0.0.1]
Sep 13 10:33:43 server postfix/qmgr[2295]: 194716801632: from=<dkb.2ada9abd@mail1-dkb-de.xyz>, size=29497, nrcpt=1 (queue active)
Sep 13 10:33:43 server postfix/pickup[692753]: 29D0B680564A: uid=0 from=<dkb.c8819442@mail1-dkb-de.xyz>
Sep 13 10:33:43 server postfix/cleanup[699846]: 29D0B680564A: message-id=<20abeafe701ef3dadd3415e518671a59@mail1-dkb-de.xyz>
Sep 13 10:33:43 server opendkim[1022]: 29D0B680564A: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:43 server postfix/smtpd[699843]: 3DCE06805659: client=localhost[127.0.0.1]
Sep 13 10:33:43 server postfix/qmgr[2295]: 29D0B680564A: from=<dkb.c8819442@mail1-dkb-de.xyz>, size=29552, nrcpt=1 (queue active)
Sep 13 10:33:43 server postfix/pickup[692753]: 3E6B1680232C: uid=0 from=<dkb.1309f234@mail1-dkb-de.xyz>
Sep 13 10:33:43 server postfix/cleanup[699846]: 3E6B1680232C: message-id=<790d44942a05e0b12144393a74a952c5@mail1-dkb-de.xyz>
Sep 13 10:33:43 server opendkim[1022]: 3E6B1680232C: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:43 server postfix/smtpd[699843]: 56B366805665: client=localhost[127.0.0.1]
Sep 13 10:33:43 server postfix/qmgr[2295]: 3E6B1680232C: from=<dkb.1309f234@mail1-dkb-de.xyz>, size=29499, nrcpt=1 (queue active)
So geht es über Seiten weiter. Wie kann ich herausfinden wer oder was dafür verantwortlich ist? Bin über jeden Strohalm froh, denn ich sehe gerade echt kein Ende.

Vielen Dank schon mal an alle die mir helfen!
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Spam-Schleuder sucht dringend Hilfe

Post by OlliTheDarkness »

**gähn**
Moinsen,
da es zur Zeit wieder massive Angriffe auf WP Seiten gibt, geht meine Vermutung in die Richtung kompromitierte WP Installation.
Wenn kein WP auf dem Server hast, lass dir anzeigen welche(s) lokale Skript / Page da fleißig Aufmerksamkeit generiert.

Den Hinweiß im Panel beachtet ?
Wenn Sie feststellen, dass Ihr Server Spam-E-Mails versendet, könnte die Zeile X-ORIGINATING-SCRIPT im E-Mail-Header Aufschluss geben, welche Datei für den Versand verantwortlich ist.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
christian.john
Posts: 228
Joined: Tue 9. Apr 2019, 16:31
Location: Korschenbroich
Contact:

Re: Spam-Schleuder sucht dringend Hilfe

Post by christian.john »

Prüfe mal, ob du mit den Emails zeitlich zusammenhänge Log-Einträge in den Apache-/User-Logs findest. So bekommst du, wenn du den absender nicht eindeutig zuordnen kannst, zumindest den User und das entsprechende Skript raus. Dann Lücke stopfen oder User-Webspace mal temporär deaktivieren und schauen, ob es besser wird.
Individuelle Entwicklung webbasierter Datenbanksysteme
https://www.john-softwareentwicklung.de
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Spam-Schleuder sucht dringend Hilfe

Post by Tobi »

Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Spam-Schleuder sucht dringend Hilfe

Post by Jolinar »

Oder hier ->
viewtopic.php?p=18846#p18846

Dann mußt du nicht mehrere Configfiles anpassen, was potentielle Fehler minimiert. ;)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Alexander
Keyweb AG
Posts: 3811
Joined: Wed 20. Jan 2016, 02:23

Re: Spam-Schleuder sucht dringend Hilfe

Post by Alexander »

Der Bereich "Fehler & Probleme" ist für Probleme innerhalb von KeyHelp gedacht.

-> Moved to Off Topic.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Spam-Schleuder sucht dringend Hilfe

Post by Florian »

Hallo,

1. Prüfen, ob der Verursacher ein normaler Mail-User ist

Code: Select all

cat /var/log/maillog | grep sasl_username
Taucht hier ein Login exorbitant häufig auf und dies ist nicht gewollt, dann spricht vieles dafür, dass der Account ausgenutzt wird.
Abhilfe: Passwort ändern im Keyhelp

2. Prüfen ob eine Website dafür verantwortlich ist.

Wenn in der Queue noch Mails hängen dann sollte man sich eine davon mal mittels postcat anschauen

Code: Select all

postcat -q MAILID
Die MAILID sieht man in der Mailqueue. Das Vorgehen ist auch im Keyhelp selber beschrieben.

Hier sucht man dann z.B. nach dem Eintrag X-PHP-ORIGINATING-SCRIPT. Taucht das auf hat man schon den Verursacher und die User ID steht auch dabei. Damit dieser Eintrag erscheint muss aber mail.add_x_header in der php.ini auf On stehen.

Als Alternative durchsucht man das access.log eines Users nach POST Requests:

Code: Select all

grep POST access.log
Scripte, die missbraucht werden tauchen hier meist durch zahlreiche Aufrufe auf. Kontaktformulare, Newsletteranmeldungen sind beliebte Ziele.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
BloodOfPanda
Posts: 132
Joined: Wed 6. Feb 2019, 21:46

Re: Spam-Schleuder sucht dringend Hilfe

Post by BloodOfPanda »

OlliTheDarkness wrote: Wed 14. Sep 2022, 03:45 da es zur Zeit wieder massive Angriffe auf WP Seiten gibt, geht meine Vermutung in die Richtung kompromitierte WP Installation.
Wenn kein WP auf dem Server hast, lass dir anzeigen welche(s) lokale Skript / Page da fleißig Aufmerksamkeit generiert.
Dem kann ich mich nur anschließen.
Hatte gestern erst eine WP Instanz wo das der Fall war.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Spam-Schleuder sucht dringend Hilfe

Post by Ralph »

Code: Select all

client=localhost[127.0.0.1]
zeigt das die Mails über ein lokales Script versendet werden oder über Webmail (eventl. auch weitergeleitete Emails).
Ein Angreifer würde sich allerdings die Mühe mit Webmail ersparen und gleich einen Client verwenden (wäre effektiver), also nach einem abgefischten PW für ein Mailkonto sieht es eher nicht aus.
Ein ungesichertes PHP Formular ist hier wohl eher die Ursache, den User ausfindig machen und PHPmail deaktivieren bis die Webanwendung (alle Formulare) ordentlich mit Captcha abgesichert sind und das CMS incl. aller Plugins aktualisiert wurde.
alex-kehl
Posts: 36
Joined: Wed 30. May 2018, 12:19

Re: Spam-Schleuder sucht dringend Hilfe

Post by alex-kehl »

Darf ich Euch nochmals um Hilfe bitten?

Der aktuelle Zwischenstand: Nach Änderung der Passwörter hatte ich zunächst etwa drei Wochen Ruhe, nun fängt es leider wieder an.

Code: Select all

Oct 12 12:25:24 server postfix/smtpd[1942378]: 0ED7C68057AF: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: EEB23680585A: from=<klient.d4fb8e05@email1-identita-csob-cz.xyz>, size=24186, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 18F4F6805918: uid=0 from=<klient.f1d279b8@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942368]: 18F4F6805918: message-id=<93e1cb1b7135ca43c7d8e450394448b4@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 18F4F6805918: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Oct 12 12:25:24 server postfix/smtpd[1942378]: 32F4A680591A: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: 18F4F6805918: from=<klient.f1d279b8@email1-identita-csob-cz.xyz>, size=24180, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 3A04E68057AC: uid=0 from=<klient.253f26ae@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942355]: 3A04E68057AC: message-id=<bf07678c07567dd0650469b6a3732eb1@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 3A04E68057AC: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Oct 12 12:25:24 server postfix/smtpd[1942378]: 51138680591B: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: 3A04E68057AC: from=<klient.253f26ae@email1-identita-csob-cz.xyz>, size=24141, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 5307168057AF: uid=0 from=<klient.231df1a7@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942351]: 5307168057AF: message-id=<d2c410491040be057d1c13f1c758cfb5@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 5307168057AF: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Oct 12 12:25:24 server postfix/smtpd[1942378]: 66E33680591D: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: 5307168057AF: from=<klient.231df1a7@email1-identita-csob-cz.xyz>, size=24168, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 676B1680591B: uid=0 from=<klient.b14ab6c6@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942368]: 676B1680591B: message-id=<de09547247b1109ed6ad463455f703da@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 676B1680591B: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Oct 12 12:25:24 server postfix/smtpd[1942378]: 7BF31680591A: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: 676B1680591B: from=<klient.b14ab6c6@email1-identita-csob-cz.xyz>, size=24190, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 7C119680591E: uid=0 from=<klient.e0e45e3e@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942355]: 7C119680591E: message-id=<63c65c9da118454ab83b1f9782319978@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 7C119680591E: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL


Wie Ihr oben schon geschrieben hattet, soll wohl ein Script für den Sch... verantwortlich sein. So habe ich den Vorschlag angenommen und nach dieser Anleitunghttps://www.matteomattei.com/how-to-log ... -function/ das Script im Ordner www/user1/sendmail/ unter sendmail.php abgelegt.

Auch die Log-Datei habe ich erstellt und diese ist auch vorhanden. Den folgenden Teil habe ich unter dem user1 im Bereich zusätzliche PHP-Einstellungen eingetragen:

Code: Select all

[mail function]
;SMTP = localhost
;smtp_port = 25
sendmail_path = /home/users/user1/www/sendmail
Leider findet keinerlei Auswertung statt. Vielleicht kann mir jemand von Euch nochmal helfen endlich dem Spam den gar aus zu machen.

Vielen Dank schon mal im Voraus
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Spam-Schleuder sucht dringend Hilfe

Post by 24unix »

Hast Du mail() schon bei den disabled PHP-Functions?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
alex-kehl
Posts: 36
Joined: Wed 30. May 2018, 12:19

Re: Spam-Schleuder sucht dringend Hilfe

Post by alex-kehl »

24unix wrote: Fri 14. Oct 2022, 19:29 Hast Du mail() schon bei den disabled PHP-Functions?
Nein, in den disabled steht gar nichts drin und ist somit komplett leer
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Spam-Schleuder sucht dringend Hilfe

Post by Florian »

Hallo,

muss man gar nicht so kompliziert machen.

Es gibt in der php.ini die Option:

mail.add_x_header

Der Wert steht standardmäßig auf Off. Wenn man ihn aktiviert wird das jeweilige Script und die User ID im Mailheader vermerkt. Dann nimmt man sich so eine Spammail aus der Queue und ruft diese wie bereist mitgeteilt mittels postcat -q MailID auf.


PS: Man muss das natürlich in der richtigen php.ini aktivieren, also in der für PHP-FPM bei der System PHP Version und/oder in der jeweiligen php.ini der Keyhelp-PHP-Version
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Spam-Schleuder sucht dringend Hilfe

Post by 24unix »

alex-kehl wrote: Fri 14. Oct 2022, 19:32
24unix wrote: Fri 14. Oct 2022, 19:29 Hast Du mail() schon bei den disabled PHP-Functions?
Nein, in den disabled steht gar nichts drin und ist somit komplett leer
Öhm, das ist ganz und gar nicht gut.

So sieht eine default (von wann auch immer) aus:

Code: Select all

dl, disk_free_space, diskfreespace, stream_socket_sendto, proc_get_status, proc_nice, proc_open, proc_terminate, proc_close, popen, curl_multi_exec, pcntl_exec, pcntl_fork, pcntl_setpriority, symlink, link, posix_kill, posix_mkfifo, posix_setsid, posix_setuid, posix_setpgid, posix_getpwuid, show_source, highlight_file, syslog, error_log, openlog, define_syslog_variables, apache_child_terminate, apache_setenv, apache_note, exec, system, shell_exec, passthru
Die letzen drei sind IMHO sehr wichtig
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Spam-Schleuder sucht dringend Hilfe

Post by Florian »

Wenn der User bekannt ist dann einfach das access.log nach POST Requests durchsuchen wie ebenfalls schonmal geschrieben. Ein Spam Script wird da definitiv auffallen durch zahlreiche Aufrufe
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Post Reply