[Postfixbuch-users] verseuchte Spamuser

Sandy Drobic postfixbuch-users at drobic.de
Mi Feb 18 11:29:04 CET 2009


Andre Hübner wrote:
> Hallo Liste,
> 
> habe aktuell das Problem das Spam direkt von eingeloggten Usern auf dem
> Server in die Warteschlange gestellt wird.
> Offenbar handelt es sich um kompromittierte Systeme der User wo
> irgendwelche Trojaner aktiv geworden sind.
> Teilweise wird der Spam von extern per smtp-auth eingeliefert was ich
> durch ein paar smtpd-limits verzögere.
> Teilweise werden aber auch Scripte per ftp  hochgeladen die dann
> automatisiert aufgerufen werden und die Mails so direkt vom Server aus
> einliefern.
> Hier fehlt mir momentan noch das richtge Mittel dies zu verhindern oder
> zu verzögern. Diese Scripte werden dann auch automatisiert gelöscht so
> das ich nur die Einträge in den ftp-Logs finde aber die Scripte selber
> nicht mehr. Mit den Scripten könnte ich dann Signaturen für unseren
> Scanner machen was bei anderen Schadprogrammen schon gut geholfen hat.
> Für die internen Scripte fehlt mir momentan der Ansatz. Ich kann ja
> nicht einfach pop-before-smtp deaktivieren oder $mynetworks nicht mehr
> zulassen damit diese scripte ins leere laufen
> Gibt es etwas sinnvolles was ich da tun könnte?

Offenbar gibt es bei dir zuviele Möglichkeiten, wie man dein System ausnutzen
kann. Du wirst deine gesamte Architektur überdenken müssen. Das ist keine
Sache, die mit ein paar Konfigurationsänderungen erledigt ist. :-/

Ich nehme an, dass du einen Webserver hast, der mit auf dem Postfix-Mailserver
läuft. Der Webserver ist immer eine breite Front, die nicht einfach
abzudichten ist. Wenn die User dann noch eigene Scripte hochladen können, ist
wirklich die Sau am toben.

Deshalb würde ich zuerst den Mailserver abkoppeln und abdichten. Danach ist
dann zu klären, warum der Webserver so offen ist. Dazu gehören
Sicherheitspatche ebenso wie das Verwalten von Passwörtern und der Kontakt zum
Kunden.

Es gibt viele Möglichkeiten, die man einsetzen kann, um den Schaden zumindest
zu begrenzen. Wichtig ist dabei vor allem, dass man den Ursprung der Spams
schnell indentifizieren und eingrenzen kann. Wenn die User von ihrer eigenen
Domain nur mit der eigenen Absenderadresse Mails versenden dürfen, ist schon
viel geschafft. Dann kann man auch erheblich besser selektiv sperren, wenn das
Kind in den Brunnen gefallen ist.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com



Mehr Informationen über die Mailingliste Postfixbuch-users