Spam Versand (OpenRelay, Hack) über Webbox!

  • sieht krass aus, wie viel da kommt
    ich weiß schon warum mein david (bis jetzt noch) nicht von außen erreichbar ist

    ***********************************************************************************************
    david.fx - 600 User - Windows Server 2008 R2 - 800 GB SAN - VMWare ESxi 5.5
    ***********************************************************************************************

    Einmal editiert, zuletzt von ballogroldo (4. März 2011 um 20:18)

  • Hi @all,

    das ist tatsächlich eine Frechheit, dass eine solche Lücke existiert.
    Ich hatte das gleiche Problem.
    Der betroffene Server wurde über INTL/GSTBOOK dauerhaft mit SPAM-Anfragen belegt.
    ICh habe den Webbox-Dienst beendet, und den Ordner "INTL" umbenannt (da sowieso nicht genutzt).

    Da können wir gespannt sein, wann es eine Lösung hierfür gibt.

    Gruß
    synovatec

  • Schade, dass man im Protokoll keine Uhrzeiten sieht.

    @kingkopy:
    Bei Dir sieht es aber so aus, als ob dem Client die SSL-Verschlüsselung Probleme bereitet. Leitest Du aus SSL mit selbst signiertem Zertifikat um?

    Grüße
    Thomas

  • @ tommy1


    SSL hin oder her was wollen diese IP Adressen auf der WEBBOX? Die haben da nichts verloren....


    soll ich die etwas noch accepten?

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • SSL hin oder her was wollen diese IP Adressen auf der WEBBOX? Die haben da nichts verloren....


    soll ich die etwas noch accepten?

    Natürlich haben die nix auf Deiner Webbox verloren und Du sollst die nicht durchlassen. Ich denke nur, Du hast das Problem vielleicht auch nur zufällig dadurch gelöst, dass Du nur SSL-Verbindungen akzeptierst und die Spam-Programme Dein wahrscheinlich selbst signiertes Zertifikat glücklicherweise nicht akzeptieren, weil Sie es bei keiner Zertifizierungsstelle überprüfen können. Wenn sich allerdings irgendwann ein Spammer die Mühe macht, alle SSL-Fehler einfach zu ignorieren und jedes Zertifikat akzeptiert, könnte er evtl. auch bei Dir durchkommen.

    Grüße
    Thomas

  • Zitat

    wahrscheinlich selbst signiertes Zertifikat glücklicherweise nicht
    akzeptieren, weil Sie es bei keiner Zertifizierungsstelle überprüfen
    können.

    ah stimmt, Super danke :)

    genau so wird es wohl sein.

    da gehts immer noch wild vor.
    New Connection 62.32.80.123 Accepted: 00000956
    Processing New SSL Connection: 00000956
    SSL accept Failed: 00000956
    (00000956) Tx shutdown
    (00000956) close
    Connection Terminated
    New Connection 95.133.175.199 Accepted: 00000948
    Processing New SSL Connection: 00000948
    SSL accept Failed: 00000948
    (00000948) Tx shutdown
    (00000948) close
    Connection Terminated
    New Connection 217.94.240.151 Accepted: 00000956
    Processing New SSL Connection: 00000956
    SSL accept Failed: 00000956
    (00000956) Tx shutdown
    (00000956) close
    Connection Terminated

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • genau so wird es wohl sein.


    Ich denke aber trotzdem, das ist eine Frage der Zeit, denn genau genommen haben die Spammer nur schlampig programmiert. Die Gültigkeit des Zertifikats sollte einem Spammer (aus seiner Sicht) völlig egal sein. So würde ich das zumindest programmieren, wenn ich Spammer wäre. Sobald die den Fehler entdecken, ist Dein Server auch in der Praxis dran, denn Du hast eigentlich schon jetzt ein Open Relay, weil die Verbindung ja seitens des Clients abgebrochen und nicht seitens des Servers geblockt wird.

    Dazu kommt dass Tobit das Ganze egal ist, denn bekannterweise ist Fx2011 ja völlig veraltet und es gibt keine Patches mehr. Da hilft dann nur noch Daumen drücken.

    Viel Glück
    Thomas

  • Hallo Thomas,

    hat das Tobit zu Dir gesagt, dass es Ihnen egal ist oder woher hast Du die Information?
    Hat jemand von Euch diesbezüglich einen Call eröffnet?
    Würde mich sehr interessieren, was Tobit zu der Problematik sagt.

    vg, Arte

  • Zitat

    Sobald die den Fehler entdecken, ist Dein Server auch in der Praxis
    dran, denn Du hast eigentlich schon jetzt ein Open Relay, weil die
    Verbindung ja seitens des Clients abgebrochen und nicht seitens des
    Servers geblockt wird.

    Nene wir nutzen keine Tobit Forms die sind alle weg.... und die PF haben alle Passwörter, da kann niemand Relayen.

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • hat das Tobit zu Dir gesagt, dass es Ihnen egal ist oder woher hast Du die Information?

    Tobit macht grundsätzlich nix mehr an den alten Versionen, das kann man hier im Forum reichlich lesen und entspricht genau meinen Erfahrungen. Es sollen ja alle artig das Update kaufen.


    Nene wir nutzen keine Tobit Forms die sind alle weg.... und die PF haben alle Passwörter, da kann niemand Relayen.

    :thumbup:

    Grüße und allen viel Glück
    Thomas

  • Hi Alex,
    hier mein ähnliches Problem, hast du bereits eine Lösung:

    Diesen Beitrag hatte ich gerade gepostet, ich denke das Problem scheint ja ähnlich zu sein:

    Sehr geehrte Administratoren,
    bevor ich zu meiner Problemschilderung komme, hier ein kurzer Überblick zur Installation:
    Beachtet das ich kein professioneller IT-Admin bin. Falls irgendwelche Einzelheiten fehlen oder falsch beschrieben
    sind einfach nachhaken, dann liefere ich Informationen nach!

    David fx 2011 auf einem 2008 Server (ordentliches Domänennetzwerk) (alle verfügbaren Updates sind geladen)
    16 Benutzer
    AntiVirus über "AntiVir Serverversion"
    David läuft seit ca. 5 Jahren, bisher ohne Probleme.

    - 5 user nutzen den Web-Access
    - 3 user arbeiten hiervon zusätzlich via Iphone mit dem David App + der Cord+Call Dav Sync
    - Den IP-Sync realisieren wir über einen dyndns account
    - Port 81.267 ist in der Firewall offen
    - Port 25 ist DICHT!

    Problem:
    Seit einigen Wochen werden wir, so vermute ich es von einem spammer missbraucht.
    Aufgefallen ist mir dies, als vor einiger Zeit der Postausgang "hing" und im Transit Ordner mails standen die sehr verdächtig nach spam aussahen.
    Daraufhin habe ich mir das ganze angeschaut und mir ist folgendes aufgefallen:
    - Der David System User versucht ständig mails (spam mails) zu versenden (siehe Anhang, Ausgang David System User).


    Info:
    Da wir mit vielen MFC Geräten scan to email betreibeben hatte ich bisweilen die Weiterleitungsfunktion auf "Erlaubte Weiterleitung stehen".
    Diesen Punkt habe ich komplett deaktiviert. Leider trotzdem keine Verbesserung.

    Das einzige was geholfen hat, die Firewall am Router (Linksys VPN Router) komplett dicht zu machen. Hiernach hatte ich für eine halbe Stunde zumindest keine Post im Ausgangsordner vom David System User.
    Also vermute ich das hier das Problem liegt. Kann das denn sein, das der David Server über den Port 81 mails zum versenden annimmt?

    Was kann ich hier tun, wie würdet ihr hier vorgehen?

    Wieso nimmt David überhaupt solche Email entgegeben? Im Moment helfe ich mir mit einer Regel, das kann ja aber keine dauerhafte Lösung sein.

    Wäre super glücklich, wenn mir jemand weiterhelfen kann.

    MfG

    Sebastian Thies

    Einmal editiert, zuletzt von sthies83 (4. April 2012 um 10:25)

  • Die Frage ist immer, wodurch bzw. worüber wird der SPAM versendet. Da gibts eigentlich nur zwei Möglichkeiten:

    Postman
    Wenn hier "Weiterleiten" nicht richtig konfiguriert wurde, dann kann bequem jeder über den David Server versenden. Daher hier niemals "ohne Einschränkung" arbeiten.

    Webbox
    Über das Gästebuch und Kontaktformular wäre so ein SPAM Versand auch möglich. Daher einfach die entsprechenden Formulare löschen oder per HTML Schutzmechanismen einbauen.

  • Danke dir,
    ich glaube ich habs bereits gefunden. Über das Gästebuch im WWW Ordner habe ich entsprechende Einträge gesichtet.
    Daran hats gelegen. Habe den kompletten wold wide web ordern außer den postlagernd einfach gelöscht.

    Ich danke und wünsche schöne Ostertage,

    ciao

  • Ich kann mich aufregen bei so einer Drecksprogrammierung für die man gezahlt hat und nun noch nichtmal ein HOTFIX für den Scheiss rauskommt.

    hoffentlich gibt es mal eine sammelklage.

    ist es wirklich das Tobit Guestbook?

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!