Hallo,
mein Server landet seit heut auf der Spamhaus Blacklist CBL.
Folgendes steht da: It appears to be infected with a spam sending trojan, proxy or some other form of botnet.
Wie finde ich heraus, welcher Kunde das Problem verursacht? Die Logs sind ja doch recht umfangreich.
-
-
Logs des phpmailers und dort nach dem Sendeintervall filtern... Ansonsten filterst du deine Kunden nach den installierten CMS aus (Stichwort Jooma XD)
-
-
Ich schau mir z.B. syslog an und habe folgende Zeilen:
Display MoreCode- Oct 10 21:02:44 srv postfix/smtpd[2741]: connect from srv.domain.de.local[127.0.0.1]
- Oct 10 21:02:44 srv postfix/smtpd[2741]: warning: numeric domain name in resource data of MX record for martha.com: 0.0.0.0
- Oct 10 21:02:44 srv postfix/smtpd[2741]: 703FAB0D86: client=srv.domain.de.local[127.0.0.1]
- Oct 10 21:02:45 srv postfix/cleanup[3397]: 703FAB0D86: message-id=1eccd6d0ffe4dfd0d13923a2c7d47214@list.ru
- Oct 10 21:02:45 srv postfix/qmgr[4817]: 703FAB0D86: from=<[email=VfCdDiZAepfugKf@list.ru]VfCdDiZAepfugKf@list.ru[/email]>, size=4086, nrcpt=1 (queue active)
- Oct 10 21:02:45 srv postfix/smtpd[2741]: disconnect from srv.domain.de.local[127.0.0.1]
- Oct 10 21:02:45 srv postfix/smtp[3405]: initializing the client-side TLS engine
- Oct 10 21:02:45 srv postfix/smtp[3405]: warning: numeric domain name in resource data of MX record for martha.com: 0.0.0.0
- Oct 10 21:02:45 srv postfix/smtpd[2741]: connect from srv.domain.de[91.250.xx.xxx]
- Oct 10 21:02:45 srv postfix/smtp[3405]: warning: host 0.0.0.0[0.0.0.0]:25 greeted me with my own hostname srv.domain.de
- Oct 10 21:02:45 srv postfix/smtp[3405]: warning: host 0.0.0.0[0.0.0.0]:25 replied to HELO/EHLO with my own hostname srv.domain.de
- Oct 10 21:02:45 srv postfix/smtp[3405]: 703FAB0D86: to=<[email=hejapqoksl@martha.com]hejapqoksl@martha.com[/email]>, relay=0.0.0.0[0.0.0.0]:25, delay=1, delays=1/0.02/0/0, dsn=5.4.6, status=bounced (mail for m$
- Oct 10 21:02:45 srv postfix/smtpd[2741]: disconnect from srv.domain.de[91.250.xx.xxx]
- Oct 10 21:02:45 srv postfix/cleanup[3397]: 79924B0DA7: message-id=<[email=20141010190245.79924B0DA7@srv.domain.de]20141010190245.79924B0DA7@srv.domain.de[/email]>
- Oct 10 21:02:45 srv postfix/bounce[3406]: 703FAB0D86: sender non-delivery notification: 79924B0DA7
- Oct 10 21:02:45 srv postfix/qmgr[4817]: 79924B0DA7: from=<>, size=5895, nrcpt=1 (queue active)
- Oct 10 21:02:45 srv postfix/qmgr[4817]: 703FAB0D86: removed
- Oct 10 21:02:45 srv postfix/smtp[3405]: setting up TLS connection to mxs.mail.ru[94.100.180.150]:25
Stutzig macht mich "connect from srv.domain.de.local[127.0.0.1]".
Also ich kann das nicht eindeutig einem Kunden zuordnen.Wo finde ich das phpmailer Logfile? Danke!
-
Evt. ist folgender Beitrag interessant:
http://www.pc-freak.net/blog/f…-spammer-scripts-servers/PS: das Thema ist nicht imscp-relevant und wird deswegen zu Offtopic verschoben
PS²: hab mal um deinen Logausschnitt den Codetag eingefügt. Nächstes mal bitte auf die Syntax achten -
-
Ok, Danke.
Wie kann ich denn gloabl phpmail deaktivieren? Momentan gehe ich in jede einzelne php.ini und setze mail bei disable_Functions mit ein. Kann ich dies nicht für den kompletten Server? -
Du kannst die template files editieren und dann das Setupskript neu ausführen. Ansonsten gibts je nach Implementierung (itk, fpm, fcgi) master config files...
-
-
wenn das script nicht den php mailer verwendet wirst du in diesem log nichts finden. Ausserdem geht der phpmailer ja auch über postfix raus, also müsste man den traffic dort sehen.
Ich vemute eher du hast PHP scripts drauf welche das SMTP Protokoll direkt implementieren und so senden. Komplett an postfix vorbei.
Führe mal folgendes aus:
Es zeigt dir offene SMTP Verbindungen. Du musst das unter Umständen aber in einer Schleife (oder von Hand) mehrfach ausführen, denn nur wenn du es genau zum Zeitpunkt der Verbindung ausführst, zeigt es dir was an. Dann würdest du aber sehen welcher User das ist.
Sinnvoll um solche Scripts zu blocken ist aber etwas in der Art:
Code- # Allow internal mail delivery
- iptables -A OUTPUT -d 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
- # Allow external mail delivery from root
- iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j ACCEPT
- # Allow external mail delivery from postfix
- iptables -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner postfix -j ACCEPT
- # Reject all other mail packets
- iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
Damit erlaubst du nur root und postfix Verbindungen auf den Port 25 herzustellen. PHP Scripts die versuchen am Mailer vorbeizugehen kannst du so blocken. Scripts die den PHP Mailer benutzen hast du aber eh im Postfix log bzw. im php Mail Log.
-
Danke für die Infos. Ich habe nun erstmal per iptables den russischen IP Block gesperrt. Mit maldet habe ich alle Dateien mit Änderungen in den letzten Tagen überprüft und einen Treffer gefunden. Allerdings ist für diesen Kunden mail schon in der php.ini deaktiviert. Jetzt ist zumindest erstmal Ruhe. Wie oft darf man denn den Eintrag von der Blacklist entfernen?
-
-
Wie oft darf man denn den Eintrag von der Blacklist entfernen?
QuoteIf it keep relisting, we will stop delisting it.
As we said earlier, we have zero tolerance for reinfections. -
Hab doch noch was gefunden. Bin über den Webtraffic auf die betreffende Datei gekommen. War, wie bereits erwähnt, ein Joomla Problem. In der entsprechenden php Datei standen dann u.a. Google Mailserver und welche aus Russland drin. Danke euch nochmal für die Hinweise.
-
