Open Relay HILFFEEEE.

  • Hi Leute, oder Björn?? vielleicht DU??

    So, nun hat's mich auch erwischt. Mein Server arbeitet als Spamverteiler.
    Von Frederik gab's dazu schon einen Thread der genau passt. Im Administrator-User werden im Verzeichnis OUT Massen an Mails erzeugt, die dann im Hintergrund munter verschickt werden. Löschen kann ich soviel ich will, das ist wie im Märchen der Süsse Brei. Je mehr gelöscht wird umso mehr wird erzeugt. Jetzt habe ich erstmal den Stecker gezogen ( ja bei mir geht das, weil ja Wochenende ist) Das Relay schließen und nur noch authorisierte Mails zulassen ist mir schon klar. (Hinterher jedenfalls) Aber wer kann mir einen Tipp geben wie ich die bereits vorhandenen Spam-Quellen auf meinem Rechner abschießen kann. Da werden aus irgendeiner Mail mit Hyrogliphen aus Asien Massen an Rundsendemails generiert. Lesen kann ich nichts, weil ich den asiatischen Zeichensatz logischerweise nicht installiert habe.
    Das Protokoll und das Auftragsverzeichnis im DvISE ist knallevoll mit Mails und wächst und wächst.

    Wen hier jemand was zur Abhilfe weiß, bitte Schritt für Schritt für mich erklären. Geht immer davon aus, daß ich davon KEINE Ahnung, zumindest davon, habe weil es totales Neuland für mich ist..


    Grüsse Walter

  • Hi!

    Hmm, hört sich übel an...

    Hat dein Server direkt am Netz gehangen? Ich mein so, dass jemand per SMTP Mails einliefern konnte?

    Ich denke nicht dass der Angreifer über eine Rundsendeliste versendet hat.
    Er hat wohl eher eine Mail an deinen David mit massenhaft externen Empfängern geschickt, der diese dann weitergeleitet hat.

    Im Ausgang des Admins dürften nur die schon versendeten stehen....

    Hast du mal nach Viren/Würmern gesucht? Vielleicht hat der Angreifer dich aus deinem eigenen Netz angegriffen?

    Also die Kompromittierte Kiste würde ich ersteinmal nicht mehr ans Netz hängen solange nicht bis ins kleinste geklärt ist warum das passiert ist.

    Hast du unter Postman->Datenbanken->Gültige Domains deine Domain(s) eingetragen?

    So aus der Ferne kann ich ohne Logs etc. nicht viel mehr sagen...

    Gruß

    Björn

  • Hallo Björn, hallo Leute,
    da liegen die Nerven blank, kann ich nur sagen. Erstmal Danke für's mitlesen und die Fragen beantworte ich nun. Proxy habe ich keinen. Mit dem offenen Herzen im Netz.
    Wie es passiert ist? Ganz einfach nur die beiden Haken " Weiterleitung + Ohne Einschränkungen" im Postman setzen, das ist alles. ( Man sollte mich erschlagen ) Ich schwöre ich weiß nicht wieso das passieren konnte. Es ist so, daß per SMTP ein Mail mit ein paar tausend eMailadressen zur Weiterleitung eingeschleust wurde. Ein Wahnsinn. So, genug gejammert. Ich habe brutal das "David " Verzeichnis so wie es ist auf DVD weggesichert und dann David von der Platte gebürstet. Nun das Backup vom Donnerstag, denn da gings noch, auf eine andere Platte zurückgesichert und dann wieder an die alte Stelle zurückkopiert. Nun waren natürlich alle Freigaben weg. Aber DvISE läuft wieder.
    Zwei Virenscanner haben nix gefunden was aber nichts bedeuten muß. Jetzt bin ich dabei die Clients wieder an's Laufen zu bringen. Noch bekomme ich die hier Meldung " Die Nachricht konnte nicht versendet werden" nichtmal im internen Netz bekomme ich ein Mail rum. Woran liegtn das schon wieder ??? Freigabe ??
    Zwei Virenscanner haben nix gefunden was aber nichts bedeuten muß. (Übrigens ich kann nun ein paar Gig Chinamails auf DVD günstig abgeben) Nun bin ich natürlich dabei alles zu unternehmen dass sich sowas nicht wiederholt. Das Handbuch ist schon ganz heiß. Vielleicht hat jemand noch einen Tipp was ich am Besten eintrage die Domain (Danke Björn) war auch nicht eingetragen. Was ist noch zu empfehlen, ich habe nur ein paar User (Clients), also das wäre nicht viel Arbeit wenn ich da was verbessern könnte.
    Nochmal Danke für das mitlesen vielleicht hilfts anderen Fehler zu vermeiden.
    Grüsse Walter

  • Hi!

    Also, es wäre gut, wenn du ersteinmal deinen Blutdruck mit ein paar Litern Kaffee senkst... :D

    Dann:
    1. Besorg dir einen Router. Der macht das Ganze um Welten sicherer.

    Dann leitest du nur die Ports von außen auf den Server weiter, die du _unbedingt_ benötigst.
    Das heißt: Wenn du keinen Zugriff auf den Server (Webbox, SMTP-Zugriff von Außen) gebrauchst, keinen Port weiterleiten. Für das Abholen oder das versenden von Mails brauchst du das nicht.

    Sieh dir jeden Punkt deiner Konfig, besonders die des Postman an und überlege warum du diese gesetzt hast (oder nicht gesetzt hast).

    Anschließend solltest du dir die DVD nehmen und mal nachsehen, ob du noch an infos kommst, wer das war und von wo.

    Gruß

    Björn

  • Hallo Björn,
    habe die Lage wieder im Griff, bin abgekühlt und der Router SMC 7008 brummt auch schon. Ohne den offenen Port 25 wird's aber nicht gehen. Ich kann sonst keine Mails über SMTP senden . Die Clients laufen nun auch wieder, es waren nicht die Freigaben sondern wieder mal die verlorenen Verzeichnisrechte (eigentlich klar, wenn man alles neu macht.) Einen Tip brauche ich aber schon wieder. Ich kann ja im Router die Ports Intern beliebig belegen. Z.B. extern 25 intern 92 oder so. David muß ich das aber auch beibringen, daß er auf einer anderen Portnummer lauscht. Geht das so einfach, denn ich will auch den Webaccess wieder verwenden? Das Prinzip ist mir schon klar, aber die Umsetzung klemmt noch etwas.

    Grüsse Walter

  • Hi!

    Bevor du Ports in Richtung von außen nach innen öffnest, solltest du am besten dir ein paar Grundlegende Kenntnisse zu TCP/IP und Firewalling anlesen, falls du diese noch nicht besitzt.

    Auf _keinen Fall_ solltest du den Port 25 von außen nach innen durchleiten. Für das Versenden von Mails reicht es, den Port von innen frei zu geben, dies sollte aber in jedem Router Standardeinstellung sein.

    Zitat

    Z.B. extern 25 intern 92 oder so. David muß ich das aber auch beibringen, daß er auf einer anderen Portnummer lauscht.

    Warum willst du das machen?

    Theoretisch reicht es, wenn du den Port 80 an den David weiterleitetst. Allerdings kann ich dir nicht sagen, wie sicher die Webbox ist. Zusätzlich empfehle ich dir, den Port 443 auch (oder nur diesen) durchzureichen und in der Webboy ein TLS Zertifikat einzubinden. Dann werden schon mal nicht mehr die Benutzerdaten etc der Webbox unverschlüsselt durchs Netz geschickt.

    Generell gilt, dass keine Ports von außen (WAN) erreichbar sein sollten, es sei denn, du brauchst es unbedingt (z.B. WebAccess).

    Gruß

    Björn

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!