Server für Spammails missbraucht?

  • Moin


    Habe gerade mal mails angerufen bei mir und hatte knapp 5000 neue mails


    Anscheint wurde mein Server wohl missbraucht um Spamsmails zu verschicken.
    Laut Relaytest ist mein System aber nicht offen?


    wie bekomme ich jetzt am besten raus wie das passiert ist?


    viell kann ja mal jemand von euch evtl. mal drüber schauen


    evtl. kann jemand ja auch damit was anfangen - mail logs sind ca. 150MB groß und wachsen weiter an


    hab postfix und dovecot erstmal ausgeschaltet auch


    logauszug aus mail.info


    Edited 2 times, last by Fiesling ().

  • Ändere doch mal das PW deines Mailaccounts.
    Gibt ja mehrere Varianten über die Spam verschickt werden kann.
    Lokaler PC infiziert und nutzt dein Mailkonto im Outlook. PHP Script auf deinem Server was permanent aufgerufen wird und Mails verschickt. Da ist ein Relaytest überhaupt kein Indiz für einen sicheren Server.

  • Hallo,


    bei mir wurde mal ein Joomla gekackt.


    Eine PHP-Datei wurde hochgeladen und dann wurden tausende von Mails versendet.


    Da mal suchen.


    Gruß
    Viktor

    - Distribution: Debian | Release: 8.10 | Codename: jessie

    - i-MSCP Version: i-MSCP 1.5.3 | Build: 20180516 | Codename: Ennio Morricone

    - Plugins installed: ClamAV (v. 1.3.0), Mailgraph (v 1.1.1), OpenDKIM (v 2.0.0), PanelRedirect (v 1.2.0) & SpamAssassin (v 2.0.1)

    - LetsEncrypt (v 3.6.0), PhpSwitcher (v 5.0.5), RoundcubePlugins (v 2.0.2)

  • Ändere doch mal das PW deines Mailaccounts.
    Gibt ja mehrere Varianten über die Spam verschickt werden kann.
    Lokaler PC infiziert und nutzt dein Mailkonto im Outlook. PHP Script auf deinem Server was permanent aufgerufen wird und Mails verschickt. Da ist ein Relaytest überhaupt kein Indiz für einen sicheren Server.

    Das wird regelmäßig geändert das PW.
    Localer PC und so mal überprüft nicht gefunden.

    Hallo,


    bei mir wurde mal ein Joomla gekackt.


    Eine PHP-Datei wurde hochgeladen und dann wurden tausende von Mails versendet.

    Ordner Strucktur sieht OK aus - Kein Verändertes Datum an Datein oder was sonst auffällig war.

    Code
    1. (Authenticated sender: [email protected])


    bedeutet das jemand mit dem zugehörigen Passwort diese Mails versendet


    Meinst du wegen dem hier:



    Code
    1. Received: from [127.0.0.1] (unknown [179.218.69.142])
    2. (Authenticated sender: [email protected])
    3. by panel.bigone1.net (Postfix) with ESMTPA id 993D14CB376;
    4. Thu, 26 Oct 2017 14:24:22 +0200 (CEST)


    Die "unbekannte" IP ist nicht ovn mir - das ist doch aber die VersenderIP die über mein Server die Mails raus gejagt hat?
    Laut Maxmind aus Brasilien (NET Virtua)


    Ich werde es mal weiter beobachten.
    PWs alle geändert.


    Noch erhalte ich ja Hunderte Mails vom Mailer-Deamon - kann also noch nicht sagen ob das Prob aufhört

  • Hi,



    Code
    1. Received: from [127.0.0.1] (unknown [179.218.69.142])

    ist der Sender (also der PC von dem es an deinen Server geht.



    Code
    1. (Authenticated sender: [email protected])


    weist nicht nur auf ein gehacktes Passwort hin, sondern ist der absolute Beweis.


    Passwort ändern und fetich! Do it like the Bastel Brothers ;-)


    LG

  • Hast du fail2ban laufen? Wie war das Passwort aufgebaut? (Anzahl an Zeichen, Sonderzeichen, gross-klein Schreibung, zahlen,...?)
    Könnte es in Passwortlisten aufgetaucht sein? Also 1Support!passWort ist nicht soooo sicher ;-)
    Lg