Spamproblem - Mails von eigener E-Mail-Adresse

<hotte> · 21. Februar 2013

Hallo!

Wir setzen einen openSUSE 11.0 Rootserver bei 1&1 ein.
Auf diesem laufen u.A. ein Plesk 10
ein qmail und ein apache2

Unsere Domain nennen wir einfach mal http://www.domain.de
Wir haben 300 E-Mail Accounts. Die meisten nach dem Schema: "v.nachname@domain.de"

Wir haben seit kurzem ein massives SPAM-Problem.
Viele unserer Mitarbeiter bekommen SPAM mails von

"v.nachname@domain.de" an "v.nachname@domain.de"; "m.mustermann@domain.de"; usw...

Was mich nun stark verunsichert ist, dass die Mails
1.) Nicht im qmail-log drinstehen. (/var/log/mail.info) - und da steht normal wirklich jede noch so kleine Information drin.
2.) Ca 90% der gefakten Absender Adressen wirklich exisitieren!

Z.B. ruft der Herr Müller ganz entsetzt an, dass er von seiner eigenen Adresse "m.mueller@domain.de" eine E-Mail über irgendwelchen Pharma-Dreck bekommen hat.
Diese Mail wurde laut Outlook heute um 06:29 verschickt. Im Maillog von heute finde ich aber keinen Eintrag zu dieser Mail!

Wie gehe ich nun vor, um das Problem zu bekämpfen?
Dass man eine Absender-Adresse faken kann ist mir klar, aber woher hat der Spammer die ganzen Informationen?! Und wieso stehen diese Mails nicht im Log?

Viele Grüße
Hotte

uhelp · 21. Februar 2013

Poste mal ein, zwei Header solcher Spammails.

Da habt ihr euren Mailserver wohl nicht so im Griff. Insbesondere der SMTP Teil...

Und um darauf zu antworten, wäre doch wohl mindestens die Angabe der verwendeten Software samt Versionen und die jeweiligen Konfiguration wichtig.

Oder du hast dieses Problem, auf das mich Trekkie00 aufmerksam machte:
grassierende Infektion von Servern

slughorn · 21. Februar 2013

Eine ähnliche Erfahrung habe ich vor Jahren auch gemacht, als ich noch die "Fenster" XP auf meinem privaten Rechner hatte. Plötzlich erhielt E-Mails von mir und der Rechner brauchte ewig zum Booten und zum Ausschalten. Ich hatte damals eine Neuinstallation durchgeführt und das Problem war weg. Es könnte folglich sein, dass der Server etwas häßliches abbekommen hat.

Sauerland · 21. Februar 2013

Zitat von <hotte>

Wir setzen einen openSUSE 11.0 Rootserver bei 1&1 ein.

Das wird aber schon lange nicht mehr mit Sicherheitsupdates versorgt:
http://en.opensuse.org/Lifetime

<hotte> · 21. Februar 2013

Vielen Dank für die Antworten!

Das klingt gar nicht gut. Vor allem dass die eingesetzte Version schon dermaßen veraltet ist.
Ich bin kein Admin, habe nur Basic-Linux Kenntnisse und diese nur mit Debian...

Hier ein Mail-Header einer Spam Mail. In der Logdatei mail.info ist diese Mail wieder nicht zu finden...
Genau diese Mail hat ein Großteil unserer Mitarbeiter allein heute schon 2-3 Mal bekommen.

Code

DomainKey-Status: no signature
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on
        	s11234567.onlinehome-server.info
X-Spam-Level: ****
X-Spam-Status: No, score=4.2 required=5.0 tests=BAYES_00,HTML_MESSAGE,
        	HTML_TAG_BALANCE_BODY,MIME_HTML_ONLY,MISSING_MID,RCVD_IN_PBL,RCVD_IN_XBL,
        	RDNS_DYNAMIC autolearn=no version=3.2.4
Received: (qmail 28276 invoked from network); 21 Feb 2013 15:14:45 +0100
Received: from 190-178-160-151.speedy.com.ar (HELO ?190.178.160.151?) (190.178.160.151)
  by mail.unsere-domain.de with SMTP; 21 Feb 2013 15:14:45 +0100
Date: Thu, 21 Feb 2013 11:28:51 -0300
From: <a.gaulocher@unsere-domain.de>
Cc: <info@unsere-domain.de>,
        	<b.leimgruber@unsere-domain.de>,
        	<b.wesle@unsere-domain.de>,
        	<bernhard@unsere-domain.de>,
        	<buchhaltung@unsere-domain.de>,
        	<d.felix@unsere-domain.de>
To: <a.gaulocher@unsere-domain.de>
Cc: <info@unsere-domain.de>,
        	<b.leimgruber@unsere-domain.de>,
        	<b.wesle@unsere-domain.de>,
        	<bernhard@unsere-domain.de>,
        	<buchhaltung@unsere-domain.de>,
        	<d.felix@unsere-domain.de>
Subject: Kundenbetreuer
X-Mailer: beq
MIME-Version: 1.0
Content-Type: text/html;
        	charset=unicode
Content-Transfer-Encoding: 7bit

Alles anzeigen

Qmail-Version ist 1.03

Code

apropos qmail
dot-qmail (5)    	- control the delivery of mail messages
qmail (7)        	- overview of qmail documentation
qmail-clean (8)  	- clean up the queue directory
qmail-command (8)	- user-specified mail delivery program
qmail-control (5)	- qmail configuration files
qmail-getpw (8)  	- give addresses to users
qmail-header (5) 	- format of a mail message
qmail-inject (8) 	- preprocess and send a mail message
qmail-limits (7) 	- artificial limits in the qmail system
qmail-local (8)  	- deliver or forward a mail message
qmail-log (5)    	- the qmail activity record
qmail-lspawn (8) 	- schedule local deliveries
qmail-newmrh (8) 	- prepare morercpthosts for qmail-smtpd
qmail-newu (8)   	- prepare address assignments for qmail-lspawn
qmail-pop3d (8)  	- distribute mail via POP
qmail-popup (8)  	- read a POP username and password
qmail-pw2u (8)   	- build address assignments from a passwd file
qmail-qmqpc (8)  	- queue a mail message via QMQP
qmail-qmqpd (8)  	- receive mail via QMQP
qmail-qmtpd (8)  	- receive mail via QMTP
qmail-qread (8)  	- list outgoing messages and recipients
qmail-qstat (8)  	- summarize status of mail queue
qmail-queue (8)  	- queue a mail message for delivery
qmail-remote (8) 	- send mail via SMTP
qmail-rspawn (8) 	- schedule remote deliveries
qmail-send (8)   	- deliver mail messages from the queue
qmail-showctl (8)	- analyze the qmail configuration files
qmail-smtpd (8)  	- receive mail via SMTP
qmail-start (8)  	- turn on mail delivery
qmail-tcpok (8)  	- clear TCP timeout table
qmail-tcpto (8)  	- print TCP timeout table
qmail-users (5)  	- assign mail addresses to users

Alles anzeigen

uhelp · 21. Februar 2013

Der Header führt zu:

Zitat

inetnum: 190.178/15
status: allocated
aut-num: N/A
owner: Telefonica de Argentina
ownerid: AR-TEAR7-LACNIC
responsible: Agust�n Gomez Dhers
address: AV. ING. HUERGO, 723, GERENCIA DE REQUERIMIENTOS JUDICIALES
address: 1065 - Buenos Aires - CF
country: AR
phone: +54 8102220102 []
owner-c: TEA
tech-c: TEA
abuse-c: TEA
inetrev: 190.178/15

Alles anzeigen

Das sind die Braven.

Ein etwas aussagefähigeres Ergebnis bring:

Zitat

nmap -Pn -O 190.178.160.151

Starting Nmap 6.01 ( http://nmap.org ) at 2013-02-21 16:53 CET
Nmap scan report for 190-178-160-151.speedy.com.ar (190.178.160.151)
Host is up (0.31s latency).
All 1000 scanned ports on 190-178-160-151.speedy.com.ar (190.178.160.151) are filtered (846) or closed (154)
Device type: switch|broadband router|media device|firewall
Running: HP embedded, Motorola embedded, Netgear embedded, Netopia embedded, Teltronics embedded, ZyXEL ZyNOS 3.X|4.X
OS CPE: cpe:/o:zyxel:zynos:3 cpe:/o:zyxel:zynos:4 cpe:/o:zyxel:zynos
Too many fingerprints match this host to give specific OS details

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 43.84 seconds

Alles anzeigen

Das alles heißt letztlich, dass wir -wie immer- nichts wissen.
Dass die Geschichte von der argentinischen Telekom ausgeht, genauer: von einem Router, Schwitch, Bridge oder was auch immer; jedenfalls keine Workstation, deutet daraufhin, dass diese Jungs NICHT in Argentinien sitzen (müssen).
Es kommt auch das BKA, NSA oder die Chinesen oder sonstwer in Frage.

Hast du überprüft, ob der Fall in meinem ersten Post zutrifft?

Ich denke die Kiste ist für die bösen Jungs offen.
Sie scheinen den Server komplett kontrollieren zu können.

Anmerkung: Man könnte da schon noch mehr rausfinden.
Nur ist das in De illegal.
Dazu müsstet ihr jemanden schriftlich und rechtsverbindlich beauftragen.
Der dann seinerseits in kontrollierter Umgebung, forensisch nachweisbar, auch nur das rausfindet.
Mag es einige geben, die das trotzdem machen: Sei gewarnt! Das endet meist böse.

Überprüfe lieber sorgfältig das System.
( lastb, last, messages, ssh config, usw.)
Und mache es dicht, dichter und noch dichter.

Was ich ganz vergaß: Der Mailserver selbst scheint "brav" zu sein. Wenngleich ich insgesamt die Rechte deutlich restriktiver auslegen würde.

slughorn · 21. Februar 2013

Hey Jungs,

ich habe ergänzend noch folgende Seite gefunden: Honeypot, mit paar Hinweisen auf einen Spammer.

Gruß

Wolfgang

<hotte> · 22. Februar 2013

Vielen Dank für die ausführliche Antwort!

Zitat

Hast du überprüft, ob der Fall in meinem ersten Post zutrifft?

Habe mir den Link und die weiterführenden Links angesehen. Sämtliche Dateien im /lib und /lib64 Verzeichnis sind mindestens 3 Jahre alt.
Es gibt keine "libkeyutils.so.1.9" sondern nur eine

Code

ls -la | grep libkeyutils
-rwxr-xr-x  1 root root   10640 Jun  6  2008 libkeyutils-1.2.so
lrwxrwxrwx  1 root root  	18 May 12  2009 libkeyutils.so.1 -> libkeyutils-1.2.so

Code

lastb
lastb: /var/log/btmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging lastb info.

Was hat das zu bedeuten? Ich habe deise Datei sicher nicht gelöscht. Wurde diese Datei mutwillig gelöscht oder kann das auch ein Fehler sein?

last zeigt viele ftp-Zugriffe, die aber OK sind.
messages ist sehr groß. Hauptsächlich stehen pop3d und imap Zugriffe drin.

Code

Feb 21 15:15:33 s15349137 sshd[28506]: Invalid user testuser from 210.21.6.107
Feb 21 15:15:37 s15349137 sshd[28525]: Invalid user testuser2 from 210.21.6.107
Feb 21 15:15:41 s15349137 sshd[28547]: Invalid user testuser from 210.21.6.107
Feb 21 15:15:44 s15349137 sshd[28553]: Invalid user testuser from 210.21.6.107
usw...

Sonst ist da imho nichts auffälliges. Aber das ist ja nur die Datei von heute.
Ich werde mal noch ältere Logdateien ansehen...

Die Argentinische IP habe ich mal mit iptables gesperrt. Mal schauen ob es was bringt.
Hat jemand vielleicht noch einen Link oder eine Software wie ich das System durchchecken lassen kann?
Wie gesagt bin ich kein Admin, aber wenn ich ein paar Stichworte und Tipps bekomme, dann schaff ich es schon mich damit auseinanderzusetzen.

Viele Grüße und vielen Dank für die ganzen Antworten!

Flytronik · 22. Februar 2013

Hallo hotte, kannst du bitte mal die Ausgabe von

lsof und lsof -i zeigen?

slughorn · 22. Februar 2013

Zitat von <hotte>
Code
lastb
lastb: /var/log/btmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging lastb info.
Was hat das zu bedeuten? Ich habe deise Datei sicher nicht gelöscht. Wurde diese Datei mutwillig gelöscht oder kann das auch ein Fehler sein?

Ich vermute, dass diese Datei absichtlich von irgend einem Spam-Programm gelöscht wurde. Diese Datei ist standardmäßig in openSUSE, weil hier die bösartigen Einlogversuche registriert werden. Siehe hier lastb(1) - Linux man page.

Spamproblem - Mails von eigener E-Mail-Adresse

Neuinstallation leap 15.5: init Prozess scheitert beim Booten - Kernel Panik

Grafik ruckelt beim Filme schauen

Tastaturabfrage unter C

USB WLAN Sticks für Opensuse?

USB Kamera nur von Zoom benutzbar

MichaRadius

A_Kueb

Kukulkan

vpn

Nidrnox

Teilen

Tags