Page 1 of 1
Spam-Schleuder sucht dringend Hilfe
Posted: Tue 13. Sep 2022, 23:35
by alex-kehl
Hallo,
seit einigen Tagen wird mein Server als "Spamschleuder" misbraucht. Ich dachte immer, mir kann sowas nicht passieren, da ich Dkim, Dmarc, usw. gesetzt habe, nun hat es mich nach über 5 Jahren eigener Server doch erwischt. Leider kann ich aus der Log nicht erkennen woher das kommt und hoffe nun auf Eure Hilfe. Anbei ein Auszug aus der Log:
Code: Select all
Sep 13 10:33:42 server postfix/smtpd[699843]: connect from localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/smtpd[699843]: 4341068003A7: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/pickup[692753]: 53768680134A: uid=0 from=<dkb.23c2792f@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/smtpd[699843]: 556A0680146A: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/cleanup[699846]: 53768680134A: message-id=<1b12bc63f125f193a86b167c7a7182bc@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: 53768680134A: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: 6727A6801471: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: 53768680134A: from=<dkb.23c2792f@mail1-dkb-de.xyz>, size=29532, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: 71FDB68003A7: uid=0 from=<dkb.96530145@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: 71FDB68003A7: message-id=<0bdcf8e8c382895f60e83ad68d3470fd@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: 71FDB68003A7: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: 8339E6801541: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: 71FDB68003A7: from=<dkb.96530145@mail1-dkb-de.xyz>, size=29532, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: 83A9C680146A: uid=0 from=<dkb.42be95a3@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: 83A9C680146A: message-id=<8e063c781dc05a59a6c19bd93089e3e0@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: 83A9C680146A: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: 9A4C46801552: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: 83A9C680146A: from=<dkb.42be95a3@mail1-dkb-de.xyz>, size=29552, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: 9C9FB6801471: uid=0 from=<dkb.6145bc6f@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: 9C9FB6801471: message-id=<85626e1bb71661734fd134459d3addf6@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: 9C9FB6801471: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: BF3106801632: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: 9C9FB6801471: from=<dkb.6145bc6f@mail1-dkb-de.xyz>, size=29508, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: CCDE96801552: uid=0 from=<dkb.88cc0fc1@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: CCDE96801552: message-id=<3ca89ad34fdc3e024f8d19b4907a063c@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: CCDE96801552: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:42 server postfix/smtpd[699843]: DF92A680232C: client=localhost[127.0.0.1]
Sep 13 10:33:42 server postfix/qmgr[2295]: CCDE96801552: from=<dkb.88cc0fc1@mail1-dkb-de.xyz>, size=29513, nrcpt=1 (queue active)
Sep 13 10:33:42 server postfix/pickup[692753]: E037A6801541: uid=0 from=<dkb.6ba2dbb2@mail1-dkb-de.xyz>
Sep 13 10:33:42 server postfix/cleanup[699846]: E037A6801541: message-id=<a6f8c8671f0a8dd7630155e7a85d8158@mail1-dkb-de.xyz>
Sep 13 10:33:42 server opendkim[1022]: E037A6801541: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:43 server postfix/smtpd[699843]: 0F8F2680564A: client=localhost[127.0.0.1]
Sep 13 10:33:43 server postfix/qmgr[2295]: E037A6801541: from=<dkb.6ba2dbb2@mail1-dkb-de.xyz>, size=29518, nrcpt=1 (queue active)
Sep 13 10:33:43 server postfix/pickup[692753]: 194716801632: uid=0 from=<dkb.2ada9abd@mail1-dkb-de.xyz>
Sep 13 10:33:43 server postfix/cleanup[699846]: 194716801632: message-id=<5dcdaf152c07e76c9f2c447f2f0201bc@mail1-dkb-de.xyz>
Sep 13 10:33:43 server opendkim[1022]: 194716801632: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:43 server postfix/smtpd[699843]: 290DA6805657: client=localhost[127.0.0.1]
Sep 13 10:33:43 server postfix/qmgr[2295]: 194716801632: from=<dkb.2ada9abd@mail1-dkb-de.xyz>, size=29497, nrcpt=1 (queue active)
Sep 13 10:33:43 server postfix/pickup[692753]: 29D0B680564A: uid=0 from=<dkb.c8819442@mail1-dkb-de.xyz>
Sep 13 10:33:43 server postfix/cleanup[699846]: 29D0B680564A: message-id=<20abeafe701ef3dadd3415e518671a59@mail1-dkb-de.xyz>
Sep 13 10:33:43 server opendkim[1022]: 29D0B680564A: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:43 server postfix/smtpd[699843]: 3DCE06805659: client=localhost[127.0.0.1]
Sep 13 10:33:43 server postfix/qmgr[2295]: 29D0B680564A: from=<dkb.c8819442@mail1-dkb-de.xyz>, size=29552, nrcpt=1 (queue active)
Sep 13 10:33:43 server postfix/pickup[692753]: 3E6B1680232C: uid=0 from=<dkb.1309f234@mail1-dkb-de.xyz>
Sep 13 10:33:43 server postfix/cleanup[699846]: 3E6B1680232C: message-id=<790d44942a05e0b12144393a74a952c5@mail1-dkb-de.xyz>
Sep 13 10:33:43 server opendkim[1022]: 3E6B1680232C: s=default d=mail1-dkb-de.xyz a=rsa-sha256 SSL
Sep 13 10:33:43 server postfix/smtpd[699843]: 56B366805665: client=localhost[127.0.0.1]
Sep 13 10:33:43 server postfix/qmgr[2295]: 3E6B1680232C: from=<dkb.1309f234@mail1-dkb-de.xyz>, size=29499, nrcpt=1 (queue active)
So geht es über Seiten weiter. Wie kann ich herausfinden wer oder was dafür verantwortlich ist? Bin über jeden Strohalm froh, denn ich sehe gerade echt kein Ende.
Vielen Dank schon mal an alle die mir helfen!
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Wed 14. Sep 2022, 03:45
by OlliTheDarkness
**gähn**
Moinsen,
da es zur Zeit wieder massive Angriffe auf WP Seiten gibt, geht meine Vermutung in die Richtung kompromitierte WP Installation.
Wenn kein WP auf dem Server hast, lass dir anzeigen welche(s) lokale Skript / Page da fleißig Aufmerksamkeit generiert.
Den Hinweiß im Panel beachtet ?
Wenn Sie feststellen, dass Ihr Server Spam-E-Mails versendet, könnte die Zeile X-ORIGINATING-SCRIPT im E-Mail-Header Aufschluss geben, welche Datei für den Versand verantwortlich ist.
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Wed 14. Sep 2022, 08:16
by christian.john
Prüfe mal, ob du mit den Emails zeitlich zusammenhänge Log-Einträge in den Apache-/User-Logs findest. So bekommst du, wenn du den absender nicht eindeutig zuordnen kannst, zumindest den User und das entsprechende Skript raus. Dann Lücke stopfen oder User-Webspace mal temporär deaktivieren und schauen, ob es besser wird.
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Wed 14. Sep 2022, 08:37
by Tobi
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Wed 14. Sep 2022, 08:56
by Jolinar
Oder hier ->
viewtopic.php?p=18846#p18846
Dann mußt du nicht mehrere Configfiles anpassen, was potentielle Fehler minimiert.
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Wed 14. Sep 2022, 09:16
by Alexander
Der Bereich "Fehler & Probleme" ist für Probleme innerhalb von KeyHelp gedacht.
-> Moved to Off Topic.
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Wed 14. Sep 2022, 11:37
by Florian
Hallo,
1. Prüfen, ob der Verursacher ein normaler Mail-User ist
Code: Select all
cat /var/log/maillog | grep sasl_username
Taucht hier ein Login exorbitant häufig auf und dies ist nicht gewollt, dann spricht vieles dafür, dass der Account ausgenutzt wird.
Abhilfe: Passwort ändern im Keyhelp
2. Prüfen ob eine Website dafür verantwortlich ist.
Wenn in der Queue noch Mails hängen dann sollte man sich eine davon mal mittels postcat anschauen
Die MAILID sieht man in der Mailqueue. Das Vorgehen ist auch im Keyhelp selber beschrieben.
Hier sucht man dann z.B. nach dem Eintrag X-PHP-ORIGINATING-SCRIPT. Taucht das auf hat man schon den Verursacher und die User ID steht auch dabei. Damit dieser Eintrag erscheint muss aber mail.add_x_header in der php.ini auf On stehen.
Als Alternative durchsucht man das access.log eines Users nach POST Requests:
Scripte, die missbraucht werden tauchen hier meist durch zahlreiche Aufrufe auf. Kontaktformulare, Newsletteranmeldungen sind beliebte Ziele.
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Wed 14. Sep 2022, 13:42
by BloodOfPanda
OlliTheDarkness wrote: ↑Wed 14. Sep 2022, 03:45
da es zur Zeit wieder massive Angriffe auf WP Seiten gibt, geht meine Vermutung in die Richtung kompromitierte WP Installation.
Wenn kein WP auf dem Server hast, lass dir anzeigen welche(s) lokale Skript / Page da fleißig Aufmerksamkeit generiert.
Dem kann ich mich nur anschließen.
Hatte gestern erst eine WP Instanz wo das der Fall war.
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Fri 16. Sep 2022, 09:16
by Ralph
zeigt das die Mails über ein lokales Script versendet werden oder über Webmail (eventl. auch weitergeleitete Emails).
Ein Angreifer würde sich allerdings die Mühe mit Webmail ersparen und gleich einen Client verwenden (wäre effektiver), also nach einem abgefischten PW für ein Mailkonto sieht es eher nicht aus.
Ein ungesichertes PHP Formular ist hier wohl eher die Ursache, den User ausfindig machen und PHPmail deaktivieren bis die Webanwendung (alle Formulare) ordentlich mit Captcha abgesichert sind und das CMS incl. aller Plugins aktualisiert wurde.
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Fri 14. Oct 2022, 19:19
by alex-kehl
Darf ich Euch nochmals um Hilfe bitten?
Der aktuelle Zwischenstand: Nach Änderung der Passwörter hatte ich zunächst etwa drei Wochen Ruhe, nun fängt es leider wieder an.
Code: Select all
Oct 12 12:25:24 server postfix/smtpd[1942378]: 0ED7C68057AF: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: EEB23680585A: from=<klient.d4fb8e05@email1-identita-csob-cz.xyz>, size=24186, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 18F4F6805918: uid=0 from=<klient.f1d279b8@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942368]: 18F4F6805918: message-id=<93e1cb1b7135ca43c7d8e450394448b4@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 18F4F6805918: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Oct 12 12:25:24 server postfix/smtpd[1942378]: 32F4A680591A: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: 18F4F6805918: from=<klient.f1d279b8@email1-identita-csob-cz.xyz>, size=24180, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 3A04E68057AC: uid=0 from=<klient.253f26ae@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942355]: 3A04E68057AC: message-id=<bf07678c07567dd0650469b6a3732eb1@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 3A04E68057AC: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Oct 12 12:25:24 server postfix/smtpd[1942378]: 51138680591B: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: 3A04E68057AC: from=<klient.253f26ae@email1-identita-csob-cz.xyz>, size=24141, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 5307168057AF: uid=0 from=<klient.231df1a7@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942351]: 5307168057AF: message-id=<d2c410491040be057d1c13f1c758cfb5@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 5307168057AF: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Oct 12 12:25:24 server postfix/smtpd[1942378]: 66E33680591D: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: 5307168057AF: from=<klient.231df1a7@email1-identita-csob-cz.xyz>, size=24168, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 676B1680591B: uid=0 from=<klient.b14ab6c6@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942368]: 676B1680591B: message-id=<de09547247b1109ed6ad463455f703da@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 676B1680591B: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Oct 12 12:25:24 server postfix/smtpd[1942378]: 7BF31680591A: client=localhost[127.0.0.1]
Oct 12 12:25:24 server postfix/qmgr[1880840]: 676B1680591B: from=<klient.b14ab6c6@email1-identita-csob-cz.xyz>, size=24190, nrcpt=1 (queue active)
Oct 12 12:25:24 server postfix/pickup[1942143]: 7C119680591E: uid=0 from=<klient.e0e45e3e@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server postfix/cleanup[1942355]: 7C119680591E: message-id=<63c65c9da118454ab83b1f9782319978@email1-identita-csob-cz.xyz>
Oct 12 12:25:24 server opendkim[861]: 7C119680591E: s=default d=email1-identita-csob-cz.xyz a=rsa-sha256 SSL
Wie Ihr oben schon geschrieben hattet, soll wohl ein Script für den Sch... verantwortlich sein. So habe ich den Vorschlag angenommen und nach dieser Anleitung
https://www.matteomattei.com/how-to-log ... -function/ das Script im Ordner www/user1/sendmail/ unter sendmail.php abgelegt.
Auch die Log-Datei habe ich erstellt und diese ist auch vorhanden. Den folgenden Teil habe ich unter dem user1 im Bereich zusätzliche PHP-Einstellungen eingetragen:
Code: Select all
[mail function]
;SMTP = localhost
;smtp_port = 25
sendmail_path = /home/users/user1/www/sendmail
Leider findet keinerlei Auswertung statt. Vielleicht kann mir jemand von Euch nochmal helfen endlich dem Spam den gar aus zu machen.
Vielen Dank schon mal im Voraus
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Fri 14. Oct 2022, 19:29
by 24unix
Hast Du mail() schon bei den disabled PHP-Functions?
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Fri 14. Oct 2022, 19:32
by alex-kehl
24unix wrote: ↑Fri 14. Oct 2022, 19:29
Hast Du mail() schon bei den disabled PHP-Functions?
Nein, in den disabled steht gar nichts drin und ist somit komplett leer
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Fri 14. Oct 2022, 19:36
by Florian
Hallo,
muss man gar nicht so kompliziert machen.
Es gibt in der php.ini die Option:
mail.add_x_header
Der Wert steht standardmäßig auf Off. Wenn man ihn aktiviert wird das jeweilige Script und die User ID im Mailheader vermerkt. Dann nimmt man sich so eine Spammail aus der Queue und ruft diese wie bereist mitgeteilt mittels postcat -q MailID auf.
PS: Man muss das natürlich in der richtigen php.ini aktivieren, also in der für PHP-FPM bei der System PHP Version und/oder in der jeweiligen php.ini der Keyhelp-PHP-Version
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Fri 14. Oct 2022, 19:37
by 24unix
alex-kehl wrote: ↑Fri 14. Oct 2022, 19:32
24unix wrote: ↑Fri 14. Oct 2022, 19:29
Hast Du mail() schon bei den disabled PHP-Functions?
Nein, in den disabled steht gar nichts drin und ist somit komplett leer
Öhm, das ist ganz und gar nicht gut.
So sieht eine default (von wann auch immer) aus:
Code: Select all
dl, disk_free_space, diskfreespace, stream_socket_sendto, proc_get_status, proc_nice, proc_open, proc_terminate, proc_close, popen, curl_multi_exec, pcntl_exec, pcntl_fork, pcntl_setpriority, symlink, link, posix_kill, posix_mkfifo, posix_setsid, posix_setuid, posix_setpgid, posix_getpwuid, show_source, highlight_file, syslog, error_log, openlog, define_syslog_variables, apache_child_terminate, apache_setenv, apache_note, exec, system, shell_exec, passthru
Die letzen drei sind IMHO sehr wichtig
Re: Spam-Schleuder sucht dringend Hilfe
Posted: Fri 14. Oct 2022, 19:44
by Florian
Wenn der User bekannt ist dann einfach das access.log nach POST Requests durchsuchen wie ebenfalls schonmal geschrieben. Ein Spam Script wird da definitiv auffallen durch zahlreiche Aufrufe