evilyves
Newbie
hallo leute!
ich habe in meiner firma folgende problem: seit einigen tagen muss unser mailserver (CobaltCube3/ CobaltOS6.4 - RedHat) unterschiedlich grosse mengen an mails verarbeiten, die nix mit unserer firma zu tun haben. das fuehrt z.T. sogar zum zusammenbruch des systems. ich habe die vorgaenge mal beobachtet:
ein ps -aux zeigt mir mal nur einen sendmail prozess zu unbekannten domains, mal bis zu 6 verschiedenen. diese aendern sich auch staendig.
hier mal ein komplettes ps -aux:
jetzt sehe ich mehrere moeglichkeiten, was passiert:
1. ich werde als spam-relay missbraucht.
dagegen spricht, dass ich in den mailserver-settings nur den versand von mails aus dem ip-bereich 192.168.0.0 erlaube.
2. ein rechner im firmennetzwerk ist mit irgendetwas infiziert und mailt sich 'nen wolf.
hier macht mich allerdings folgendes stutzig: ich habe alle PC's (ein paar Mac's und ein Linux sind auch da) nach viren gescannt und nix gefunden. auch die taskmanager zeigen nix auffaelliges. es laesst sich durch an- und ausschalten der rechner auch nicht feststellen, ob das spam-aufkommen faellt oder steigt. es scheint jedoch, dass wenn alle rechner an sind, die meisten spams verschickt werden.
3. wir werden von aussen mit spam bombardiert und unser server versucht zu antworten
leider kenne ich mich in der interpretation eines mail-headers nicht so aus, deswegen hier mal ein beispiel der im /home/spool/mqueue abgelegten und anscheinend noch nicht versendeten mails:
das ist ein typischer vertreter dieser mails. auffaellig scheint mir auch, dass
sehr oft auftauchte, wenn auch nicht immer. bei vielen anderen tauchten auch ukrainische domains auf. einige wiederum waren nur die antworten der von uns anscheinend "bespammten" server.
alles in allem bin ich ziemlich ratlos, was hier vorsich geht. vieleicht kann einer von euch den mailhaeder interpretieren. ueber nacht lasse ich auch gerade mal einen open-relay-test ueber http://ordb.org/ laufen. mal sehen, was die morgen sagen.
vielen dank fuer eure hilfe im voraus 8o)
ich habe in meiner firma folgende problem: seit einigen tagen muss unser mailserver (CobaltCube3/ CobaltOS6.4 - RedHat) unterschiedlich grosse mengen an mails verarbeiten, die nix mit unserer firma zu tun haben. das fuehrt z.T. sogar zum zusammenbruch des systems. ich habe die vorgaenge mal beobachtet:
ein ps -aux zeigt mir mal nur einen sendmail prozess zu unbekannten domains, mal bis zu 6 verschiedenen. diese aendern sich auch staendig.
hier mal ein komplettes ps -aux:
Code:
[root mqueue]# ps -aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1120 68 ? S Aug03 0:04 init
root 2 0.0 0.0 0 0 ? SW Aug03 0:07 [kflushd]
root 3 0.0 0.0 0 0 ? SW Aug03 0:04 [kupdate]
root 4 0.0 0.0 0 0 ? SW Aug03 0:00 [kpiod]
root 5 0.0 0.0 0 0 ? SW Aug03 0:06 [kswapd]
root 6 0.0 0.0 0 0 ? SW< Aug03 0:00 [mdrecoveryd]
root 7 0.0 0.0 0 0 ? SW< Aug03 0:00 [raid1d]
root 8 0.0 0.0 0 0 ? SW< Aug03 0:00 [raid1d]
root 9 0.0 0.0 0 0 ? SW< Aug03 0:00 [raid1d]
root 10 0.0 0.0 0 0 ? SW< Aug03 0:00 [raid1d]
root 159 0.1 0.1 1172 204 ? S Aug03 2:43 syslogd -m 0
root 168 0.0 0.0 1512 0 ? SW Aug03 0:00 [klogd]
root 210 0.0 0.5 2104 692 ? S Aug03 0:00 /usr/sausalito/sbin/cced
root 378 0.0 0.3 2472 432 ? S Aug03 0:00 slapd
root 382 0.0 0.4 2124 532 ? S Aug03 0:00 /usr/sausalito/sbin/cced
root 383 0.0 0.3 2472 432 ? S Aug03 0:00 slapd
root 386 0.0 0.3 2472 432 ? S Aug03 0:00 slapd
root 620 0.0 0.1 1156 148 ? S Aug03 0:00 crond
root 646 0.0 0.3 1672 468 ? S Aug03 0:00 /usr/sbin/snmpd -f
root 658 0.0 0.1 1136 200 ? S Aug03 0:00 inetd
root 673 0.0 1.3 1684 1676 ? SL Aug03 0:00 ntpd -A
root 723 0.0 0.1 1496 136 ? S Aug03 0:00 sh /usr/bin/safe_mysqld --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/littleblue.tvtpost.de.pid
root 730 0.0 0.0 1084 92 ? S Aug03 0:00 /sbin/lcdsleep
squid 756 0.0 0.0 3632 100 ? S Aug03 0:00 /home/squid2/bin/squid -D -f /etc/squid/squid.conf
squid 757 0.0 3.0 6192 3860 ? S Aug03 0:01 (squid) -D -f /etc/squid/squid.conf
mysql 793 0.0 0.2 11348 364 ? S Aug03 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/littleblue.tvtpost.de.pid --skip-locking
mysql 795 0.0 0.2 11348 364 ? S Aug03 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/littleblue.tvtpost.de.pid --skip-locking
mysql 796 0.0 0.2 11348 364 ? S Aug03 0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/littleblue.tvtpost.de.pid --skip-locking
root 799 0.0 0.0 1080 76 ? S Aug03 0:00 /sbin/consoled /sbin/getty ttyS0 115200
root 5338 0.0 0.6 7536 816 ? S Aug03 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
httpd 5340 0.0 0.6 7636 860 ? S Aug03 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
httpd 5341 0.0 0.7 7636 984 ? S Aug03 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
root 5478 0.0 1.2 7708 1604 ? S Aug03 0:00 /usr/sbin/httpd.admsrv -f /etc/admserv/conf/httpd.conf
httpd 6469 0.0 0.7 7628 980 ? S Aug03 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
root 8308 0.0 0.1 1296 144 ? S Aug03 0:04 in.telnetd: 192.168.1.101
root 8309 0.0 0.1 1972 224 pts/2 S Aug03 0:00 login -- admin
admin 8333 0.0 0.1 1544 188 pts/2 S Aug03 0:00 -bash
httpd 8396 0.0 0.7 7608 964 ? S Aug03 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
httpd 8397 0.0 0.7 7548 900 ? S Aug03 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
root 8978 0.0 0.1 1940 208 pts/2 S Aug03 0:00 su
root 8980 0.0 0.3 1548 504 pts/2 S Aug03 0:01 bash
robert 1761 0.0 2.1 3712 2744 ? S 11:16 0:04 imapd
root 3877 0.0 0.5 1296 648 ? S 11:42 0:00 in.telnetd: 192.168.2.169
root 3878 0.0 0.7 1972 904 pts/3 S 11:42 0:00 login -- admin
admin 3881 0.0 0.6 1536 868 pts/3 S 11:42 0:00 -bash
root 3999 0.0 0.6 1940 860 pts/3 S 11:43 0:00 su
root 4001 0.0 0.6 1540 848 pts/3 S 11:43 0:00 bash
heiko 6105 0.0 0.9 2244 1264 ? S 12:10 0:01 imapd
root 13433 0.0 0.5 1296 644 ? S 13:46 0:00 in.telnetd: 192.168.1.124
root 13434 0.0 0.7 1972 904 pts/0 S 13:46 0:00 login -- admin
admin 13438 0.0 0.6 1540 876 pts/0 S 13:46 0:00 -bash
root 16554 0.0 0.6 1940 860 pts/0 S 14:26 0:00 su
root 16559 0.0 0.6 1548 848 pts/0 S 14:27 0:00 bash
httpd 20536 0.0 3.7 11512 4852 ? S 15:38 0:03 /usr/sbin/httpd.admsrv -f /etc/admserv/conf/httpd.conf
markus 21392 0.0 0.9 2160 1184 ? S 15:50 0:01 imapd
root 23726 0.0 0.7 2492 940 ? S 16:30 0:01 sendmail: accepting connections
root 1317 0.0 1.0 2652 1396 ? S 19:26 0:00 sendmail: server aopfqxcnne@abo-180-92-68.mrs.modulonet.fr [85.68.92.180] cmd read
root 1318 0.0 0.5 2340 708 pts/0 R 19:26 0:00 ps -aux
jetzt sehe ich mehrere moeglichkeiten, was passiert:
1. ich werde als spam-relay missbraucht.
dagegen spricht, dass ich in den mailserver-settings nur den versand von mails aus dem ip-bereich 192.168.0.0 erlaube.
2. ein rechner im firmennetzwerk ist mit irgendetwas infiziert und mailt sich 'nen wolf.
hier macht mich allerdings folgendes stutzig: ich habe alle PC's (ein paar Mac's und ein Linux sind auch da) nach viren gescannt und nix gefunden. auch die taskmanager zeigen nix auffaelliges. es laesst sich durch an- und ausschalten der rechner auch nicht feststellen, ob das spam-aufkommen faellt oder steigt. es scheint jedoch, dass wenn alle rechner an sind, die meisten spams verschickt werden.
3. wir werden von aussen mit spam bombardiert und unser server versucht zu antworten
leider kenne ich mich in der interpretation eines mail-headers nicht so aus, deswegen hier mal ein beispiel der im /home/spool/mqueue abgelegten und anscheinend noch nicht versendeten mails:
Code:
This is a MIME-encapsulated message
--j748amv28728.1123144608/littleblue.tvtpost.de
The original message was received at Thu, 4 Aug 2005 10:36:47 +0200
from fw-axxess.ycn.com [213.147.173.194]
----- The following addresses had permanent fatal errors -----
<on-line_dnepr@ukr.net>
(reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<passion_dev@ukr.net>
(reason: 550 <passion_dev@ukr.net>... mailbox exist, but not used)
<onan@ukr.net>
(reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<passenger@ukr.net>
(reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<patlan@ukr.net>
(reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<onda@ukr.net>
(reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<peenergo@ukr.net>
(reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<patria@ukr.net>
(reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
----- Transcript of session follows -----
... while talking to mxs.ukr.net.:
>>> RCPT To:<passion_dev@ukr.net>
<<< 550 <passion_dev@ukr.net>... mailbox exist, but not used
550 5.1.1 <passion_dev@ukr.net>... User unknown
>>> DATA
<<< 550-http://www.ukr.net/umm.html (ip=213.148.143.242
<<< 550 from=lubvi@podrugi.net.ua.tvtpost.de)
554 5.0.0 <patria@ukr.net>,<peenergo@ukr.net>,<onda@ukr.net>,<patlan@ukr.net>,<passenger@ukr.net>,<onan@ukr.net>,<on-line_dnepr@ukr.net>... Service unavailable
--j748amv28728.1123144608/littleblue.tvtpost.de
Content-Type: message/delivery-status
Reporting-MTA: dns; littleblue.tvtpost.de
Received-From-MTA: DNS; fw-axxess.ycn.com
Arrival-Date: Thu, 4 Aug 2005 10:36:47 +0200
Final-Recipient: RFC822; on-line_dnepr@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200
Final-Recipient: RFC822; passion_dev@ukr.net
Action: failed
Status: 5.1.1
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550 <passion_dev@ukr.net>... mailbox exist, but not used
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200
Final-Recipient: RFC822; onan@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200
Final-Recipient: RFC822; passenger@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200
Final-Recipient: RFC822; patlan@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200
Final-Recipient: RFC822; onda@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200
Final-Recipient: RFC822; peenergo@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200
Final-Recipient: RFC822; patria@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200
--j748amv28728.1123144608/littleblue.tvtpost.de
Content-Type: message/rfc822
Content-Transfer-Encoding: 8bit
Return-Path: <lubvi@podrugi.net.ua.tvtpost.de>
Received: from devel (fw-axxess.ycn.com [213.147.173.194])
by littleblue.tvtpost.de (8.10.2/8.10.2) with SMTP id j748akv28726;
Thu, 4 Aug 2005 10:36:47 +0200
Message-ID: <003201c59932$dd73a3c6$5b5fdef4@vxbluef>
Reply-To: "=?windows-1251?B?WmF5ZGVtIG5hIE9nb25law==?=" <lubvi@podrugi.net.ua.tvtpost.de>
From: "=?windows-1251?B?WmF5ZGVtIG5hIE9nb25law==?=" <lubvi@podrugi.net.ua.tvtpost.de>
To: <on-line_dnepr@ukr.net>, <passion_dev@ukr.net>, <onan@ukr.net>,
<passenger@ukr.net>, <patlan@ukr.net>, <onda@ukr.net>, <peenergo@ukr.net>,
<patria@ukr.net>
Subject: =?windows-1251?B?0Pvt7uog8eH78uAhISEh?=
Date: Thu, 4 Aug 2005 10:34:33 +0200
Organization: =?windows-1251?B?Q29ycG9yYXRpb24=?=
MIME-Version: 1.0
Content-Type: text/plain;
charset="windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
>Óïàë îáúåì ïðîäàæ?
>Íà÷àëüíèê îòäåëà ïðîäàæ íå íàõîäèò ñåáå ìåñòà:)
>Ñêàæèòå åìó ÷òîáû îí çàêàçàë ðàññûëêó ïî ýë. ïî÷òå è Âàø òåëåôîí íå áóäåò ìîë÷àòü!
icq - 243353124
tel + (044) 490-37-51
--j748amv28728.1123144608/littleblue.tvtpost.de--
das ist ein typischer vertreter dieser mails. auffaellig scheint mir auch, dass
Code:
The original message was received at Thu, 4 Aug 2005 10:36:47 +0200
from fw-axxess.ycn.com [213.147.173.194]
alles in allem bin ich ziemlich ratlos, was hier vorsich geht. vieleicht kann einer von euch den mailhaeder interpretieren. ueber nacht lasse ich auch gerade mal einen open-relay-test ueber http://ordb.org/ laufen. mal sehen, was die morgen sagen.
vielen dank fuer eure hilfe im voraus 8o)