Spam unter qMail mit Plesk

#0
19.08.2007, 12:36
...neu hier

Beiträge: 5
#1 Hallo!

Ich betreibe einen vRoot von Strato unter openSuse 10.1 mit Plesk, und habe seit den letzten Tagen ein massives Spamproblem. Zuerst hat 2 Stunden mein Server spam versand, zum Glück hab ich es schnell bemerkt und das Relais schließen können.

Nun habe ich das Problem, dass ganz besonders ein Mail Account extrem mit Spam zugemüllt wird und dieser anscheinend auch noch innerhalb des System produziert wird.

Ich hab zuerst an ein kaputtes Script gedacht und den Mailserver mal nach http://kb.swsoft.com/article_22_1711_en.html der Pleskanleitung überwacht - ohne Result (einzig geloggt wurden 2 chronevents).

Zitat

Aug 19 04:34:01 h872315 qmail-queue-handlers[9601]: Handlers Filter before-queue for qmail started ...
Aug 19 04:34:01 h872315 qmail-queue-handlers[9601]: from=anonymous@h872315.serverkompetenz.net
Aug 19 04:34:01 h872315 qmail-queue-handlers[9601]: to=root@h872315.serverkompetenz.net
Aug 19 04:34:01 h872315 qmail-queue-handlers[9601]: hook_dir = '/var/qmail//handlers/before-queue'
Aug 19 04:34:01 h872315 qmail-queue-handlers[9601]: recipient[3] = 'root@h872315.serverkompetenz.net'
Aug 19 04:34:01 h872315 qmail-queue-handlers[9601]: handlers dir = '/var/qmail//handlers/before-queue/recipient/root@h872315.serverkompetenz.net'
Aug 19 04:34:01 h872315 qmail: 1187490841.233185 new msg 1647048
Aug 19 04:34:01 h872315 qmail: 1187490841.233305 info msg 1647048: bytes 568 from <anonymous@h872315.serverkompetenz.net> qp 9602 uid 0
Aug 19 04:34:01 h872315 qmail-queue-handlers[9601]: starter: submitter[9602] exited normally
Aug 19 04:34:01 h872315 qmail: 1187490841.244521 starting delivery 9: msg 1647048 to remote root@h872315.serverkompetenz.net
Aug 19 04:34:01 h872315 qmail: 1187490841.244659 status: local 0/10 remote 1/20
Aug 19 04:34:01 h872315 qmail-remote-handlers[9603]: Handlers Filter before-remote for qmail started ...
Aug 19 04:34:01 h872315 qmail-remote-handlers[9603]: from=anonymous@h872315.serverkompetenz.net
Aug 19 04:34:01 h872315 qmail-remote-handlers[9603]: to=root@h872315.serverkompetenz.net
Aug 19 04:34:01 h872315 qmail: 1187490841.260461 delivery 9: failure: Sorry._Although_I'm_listed_as_a_best-preference_MX_or_A_for_that_host,/it_isn't_in_my_control/locals_file,_so_I_don't_treat_it_as_local._(#5.4.6)/
h872315.serverkompetenz.net ist der im Hintergrund arbeitende Server, www.lozziboard.de macht eine Frame-Weiterleitung auf ihn. Jedoch ist bei ihm die Mailfunktionalität deaktiviert in Plesk.

Um ehrlich zu sein, verstehe ich die ganze Situation nicht wirklich. Könnt ihr mir versuchen einen Tipp zu geben?

Sollten noch weitere Informationen nötog sein, liefere ich diese gerne nach!

Vielen Dank für eure Mühe!

Skalar
Seitenanfang Seitenende
19.08.2007, 12:43
Member
Avatar Xeper

Beiträge: 5291
#2

Zitat

Zuerst hat 2 Stunden mein Server spam versand, zum Glück hab ich es schnell bemerkt und das Relais schließen können.
Oje Qmail die FrickelSW, und dann noch als open-relay weißt du sowas testet man BEVOR man den MTA überhaupt in Betrieb nimmt.
Leider gibt es viel zu viele von solchen schlechten Systemen da draussen.

Zitat

h872315.serverkompetenz.net ist der im Hintergrund arbeitende Server, www.lozziboard.de macht eine Frame-Weiterleitung auf ihn. Jedoch ist bei ihm die Mailfunktionalität deaktiviert in Plesk.
Sorry aber Plesk ist eh so ne MüllSW und man muss schon mehr drauf haben um einen MTA aufzusetzen als ein bisschen bunti-klicki.
Ich denke das kommt evntl. immernoch von den Sachen die in der queue-chain liegen versuch die erstmal zu leeren und alle tmp Dateien zu killen, mit dem Zeug da oben kann man eh nix anfangen - Qmail gibt kaum lesbare logs aus.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
19.08.2007, 12:52
...neu hier

Themenstarter

Beiträge: 5
#3 Queue ist gelöscht. Welche tempörären Dateien soll ich denn dazu noch löschen?

Ich bezweifle auch, das Problem eins etwas mit Problem zwei zu tun hat. Einmal wurden Mails nach aussen gesendet, diese landen nun alle in einem Postfach von mir.

Von qMail würde ich ja gerne runter, in Kombination mit Plesk geht das nur leider nicht.

Ansonsten frag ich mich, ob der Ton so angreifend gemeint war, wie ich ihn empfunden hab. Ich denke wir sind alle erwachsene Menschen und können uns in normalen Ton unterhalten. Das Open-Relais war mein Fehler.

Trotzdem Danke für die schnelle Antwort.
Seitenanfang Seitenende
19.08.2007, 13:00
Member
Avatar Xeper

Beiträge: 5291
#4

Zitat

Ich bezweifle auch, das Problem eins etwas mit Problem zwei zu tun hat. Einmal wurden Mails nach aussen gesendet, diese landen nun alle in einem Postfach von mir.
So genau weiß ich das net, wenn du irgendwelche SPAM mailst sonst wohin sendest und die vmbox gibts beim foreign MTA net dann kommt die zu dir zurück im besten Falle bekommst du gar keine Antwort.

Zitat

Von qMail würde ich ja gerne runter, in Kombination mit Plesk geht das nur leider nicht.
Plesk muss au in die Tonne, Qmail alleine ist schon schlimm genug hab über 2 Jahre damit meine Erfahrung gemacht war auch mein erster MTA aber mit Plesk zusammen das ist nen Untergang würd ich ma sagen ;)

Zitat

Ansonsten frag ich mich, ob der Ton so angreifend gemeint war, wie ich ihn empfunden hab. Ich denke wir sind alle erwachsene Menschen und können uns in normalen Ton unterhalten. Das Open-Relais war ein Fehler, den ich nicht sehen konnte, da das Plesk verbockt hatte. Aufgesetzt war der Server richtig.
In der Tat das war er, ich mag Menschen wie dich nicht besonders der Grund liegt dadran das du leider Mittäter bist vor einigen Tagen noch gabs auf einmal soviel Spam im Netz kp was da wieder los war alle möglichen Müllboxen von irgendwelchen naps die irgendwo irgendwie was Schei... oder gar nicht konfiguriert haben.
Ich selbst hab nen FBSD mit Postfix das ist Bombensicher aber Traffic + Load erzeugt es ja leider trozdem am Ende hab ich die Nase voll gehabt von der Schei... und einfach mal den MTA für 1:30h runtergefahren bis sich endlich alle kiddies auf dieser Welt beruhigt haben.

Und Open-Relais kannst du sehr wohl sehen, und auf Plesk schieben bringt au nix du kannst höchstens sagen du hast dich nicht informiert und auch keine Dokumentation gelesen, Qmail hat config Dateien die sind zwar Schei... aber funktionieren auch wenn man die richtig verwendet.
Es ist also deine Schuld.

Zitat

Trotzdem Danke für die schnelle Antwort, auch wenn sie mich nicht wirklich weitergebracht hat.
Ja du bist leider nur ein Opfer, ich finde es auch unverantwortlich das Plesk & Co möchtegern admins vorgaukelt es würde alles so einfach gehen.
Wie lächerlich - MTAs sind bis jetzt das komplizierteste an daemons was ich überhaupt gesehen habe bis jetzt - und wenn man die nicht versteht dann geht der Schuß ganz schnell nach hinten los.
Das Problem in deinem Fall heißt pebcak.
Sorry aber ich kann dir nichts anderes als die Wahrheit sagen so ist das nun mal.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
19.08.2007, 13:14
...neu hier

Themenstarter

Beiträge: 5
#5 Nun, es gelingt mir nun leider nicht zu erraten, woher du weißt, wer ich als Mensch bin und somit ob du mich magst oder nicht, aber das sei dahin gestellt, Freund werden wir ja doch nicht mehr... ;)

Ok, das heißt, Plesk und qmail in die Tonne. Gut hab ich verstanden.

Zur Schuldfrage: War meine erste Reaktion, etwas wütend über dein Posting, habe ich auch oben geändert. Ich bin schuld.

Und über den Rest des Postings schweige ich einfach. Das ich das nicht ideal angegangen habe, weiß ich. Wenn du jetzt einfach geholfen hättest, das Porblem schnell in Griff zu bekommen, hättest du das Beste gemacht, was in der Situation möglich ist. Dein Post ist so leider wertlos.

Danke trotzdem.
Seitenanfang Seitenende
19.08.2007, 13:23
Member
Avatar Xeper

Beiträge: 5291
#6

Zitat

Zur Schuldfrage: War meine erste Reaktion, etwas wütend über dein Posting, habe ich auch oben geändert. Ich bin schuld.
Testen kann man ein Relay zb. mit dnsstuff.com oder ähnliche Seiten.

Zitat

Und über den Rest des Postings schweige ich einfach. Das ich das nicht ideal angegangen habe, weiß ich. Wenn du jetzt einfach geholfen hättest, das Porblem schnell in Griff zu bekommen, hättest du das Beste gemacht, was in der Situation möglich ist. Dein Post ist so leider wertlos.
Ist er nicht er zeigt dir den Weg auf den du gehen musst nämlich RTFM, meinst du das ist so leicht einfach ne Lösung aus dem Ärmel zu schütteln.
Ich kenn deine gesamt Konfiguration nicht, ich hab den MTA nicht aufgesetzt folglich hab ich keinen Schimmer davon was bei dir abgeht.
Das kann ja niemand haben außer du selbst, aber du hast auch keinen wegen Plesk na dann das Schiff sinkt ja eh schon.
Ich kenn mich nur mit meinen MTAs am besten aus weil ich da jede Option eingestellt hab und folglich merk ich mir alles.
Wie schon gesagt MTAs sind extrem kompliziert, ich glaub auch nicht das du sonst jemanden auftreiben kannst der dir sagt "Bewege Schalter X und alles ist wieder in Butter".

Das einzige was man machen könnte wäre mehr Plesk Anhänger zu finden die evntl. alle das exakt selbe Problem haben, wenn du ein Forum mit solchen Leuten finden kannst (hat das Dingen kein Support Forum?) dann kommst du noch am ehesten zu einer Lösung da ja die config Plesk abhänging ist und von Plesk verwaltet wird.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
19.08.2007, 14:05
...neu hier

Themenstarter

Beiträge: 5
#7 Ok, dann ist wohl der einzig vernüftige weg, Plesk in die Tonne zu treten und den Server neu ohne Plesk zu machen.

Ich werde das Relais nochmal testen, Danke für den Link!

Zuzeit hab ich qmail einfach ausgeschaltet, könntest du mir noch sagen, welche tempöreren Dateien ich noch löschen sollte?

EDIT:

Ich hab nochmals mehrere Relaytests drüberlaufen lassen, alle kommen zu einem negativen Ergebniss. Das Problem könnte aber ja noch an einem schlecht geschriebenen Script liegen. Gibt es eine andere Methode als die von mir im Eingangspost beschriebene um den Mailversand von Scripts zu überprüfen?
Dieser Beitrag wurde am 19.08.2007 um 14:31 Uhr von Skalar editiert.
Seitenanfang Seitenende
19.08.2007, 15:48
Member
Avatar Xeper

Beiträge: 5291
#8

Zitat

Zuzeit hab ich qmail einfach ausgeschaltet, könntest du mir noch sagen, welche tempöreren Dateien ich noch löschen sollte?
Naja ich denke es müßte irgendwo in /var sein aber frag mich nicht wo ist schon bissl her seit ich letzte mal QMail benutzt hatte.
Aber jeder MTA hat ja sein Spool directory.

Zitat

Gibt es eine andere Methode als die von mir im Eingangspost beschriebene um den Mailversand von Scripts zu überprüfen?
Naja du solltest deine Leutz schon überwachen die auf deinem Server rumlaufen, dafür gibts ja bei PHP safe_mode etc.
Wenn jemand sich der mail() Funktion bedient solltest du das vielleicht loggen, oder Such mal in den logs des webservers.
Wenn es aber ein Scriptmissbrauch ist kommt die Mail ja auch nicht von aussen sondern über localhost.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
21.01.2010, 18:52
...neu hier

Beiträge: 2
#9 Bei der Suche nach einer Lösung für mein Problem bin ich über diesen Post gestolpert.

Ich bin außerordentlich überrascht über den rüden Umgangston der hier im Forum wohl zu herrschen scheint.

Ich musste spontan über den folgenden Satz schmunzeln der mich beim Anmelden ansprang:

VI. Achte auf den freundlichen Umgangston - Bitte und Danke sind gern gesehen.
Beleidigungen werden nicht toleriert

So, nun zu meinem Problem:

Ich habe bei 1blu einen virtuellen Server gemietet.
Seit einigen Tagen mißbraucht irgendjemand meinen Server zum Versenden von Spams.

Ich habe gleich mal den Apachen gestoppt um zu sehen ob das wohl an einem unsicheren Script liegen könnte.

Trotz deaktivierten Apachen laufen weiterhin Meldungen wie diese in meinem /var/log/mail.info auf:

xxxxxxx qmail-remote-handlers[22309]: to=xxxxxx@xxxxxxxx.xx

Ich dachte der Versand der Mails wäre nur explizit über einen eingerichteten User möglich.

Hat hier bitte jemand einen Hinweis wie ich dem Spamproblem Herr werde?

Bitte keine Antworten wie "Qmail ist eh doof" "wirf Linux in die Tonne" etc.
Seitenanfang Seitenende
03.02.2010, 13:26
Member
Avatar Xeper

Beiträge: 5291
#10 Ist zwar schon was älter, trotzdem antworte ich mal:

Zitat

VI. Achte auf den freundlichen Umgangston - Bitte und Danke sind gern gesehen.
Beleidigungen werden nicht toleriert

Quelle: http://board.protecus.de/t30713.htm#ixzz0eVgYt45t
Das bin ich Spezial, der Admin kennt mich - es hat sich aber gemindert weil ich atm so gut wie keine Zeit habe anderen Leuten beistand zu leisten.
Mitleid oder Verständnis für N00bs die dafür verantwortlich sind das, dass Net zugemüllt und gespammt wird habe ich dennoch bis heute nicht.
Außerdem konnte er sich freuen, bin doch mit der einzige der Ahnung von sowas hat.

Zitat

Bitte keine Antworten wie "Qmail ist eh doof" "wirf Linux in die Tonne" etc.
Was heißt doof, war au mein erster MTA aber wenn du mal Postfix genutzt hast fragst du dich am Ende warum du dich bloß mit Qmail jemals rumgeärgert hast - letztendlich kommts natürlich auf denjenigen an der das einrichtet so wie bei dir auch.

Zitat

xxxxxxx qmail-remote-handlers[22309]: to=xxxxxx@xxxxxxxx.xx

Ich dachte der Versand der Mails wäre nur explizit über einen eingerichteten User möglich.
Vielleicht möchtest du ja mal deine qmail config offerieren, woher soll den irgendjemand außer du wissen wie die aussieht?
Was ist PID 22309 ist das der handler selbst?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
03.02.2010, 13:59
...neu hier

Beiträge: 2
#11 Mittlerweile habe ich das Problem gelöst.
Da hatte jemand eines der Mailpasswörter gebruteforced.

Nachdem ich alle Passwörter geändert hatte war Ruhe.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: