pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » Open-Relay auf nicht vorhandenes E-Mail-Postfach » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (4): « vorherige 1 2 [3] 4 nächste » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Open-Relay auf nicht vorhandenes E-Mail-Postfach
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.390

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von monderka
ich glaube ich bin ein Stück weiter bei meinem Phänomen.
Kann es sein das wenn in einem Kunden kein E-Mailpostfach angelegt ist, aber das Systempasswort ausgespäht wurde, man mit jeder beliebiger E-Mailadresse und dem Systempasswort SMTP einliefern kann?


Nein, es sei denn, es wird überall das selbe Passwort verwendet.
12.06.2014 17:17 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 372

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

ich habe heute das gleiche Problem:

folgender User verschickt massenhaft Mails, obwohl es diesen Account gar nicht gibt...
code:
1:
Oct 27 14:25:37 vs qmail: 1414416337.206856 info msg 942930: bytes 4069 from <postmaster@stt-meisterschaft.at> qp 8566 uid 1108Oct 27 14:25:37 vs qmail: 1414416337.226565 new msg 942931

Hat jemand diesbezüglich eine Lösung gefunden?

__________________
Beste Grüße,
Patrick
27.10.2014 14:28 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 649
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Das sieht eher nach einem gehackten / missbrauchten Skript aus. Weil über PHP Skripte generierte Mails gehen mit postmaster@domain raus.

Schau das Du eins der Mails in die Finger kriegst (mitunter durch durchforsten des /var/qmail/queue verzeichnisses). Dann schau in den Header, dort gibts eine Zeile "X-PHP-Originating-Script" (oder so ähnlich), wo Du siehst mit welchem Script das Mail erzeugt worden ist.

__________________
Beste Grüße,
Michael
27.10.2014 14:35 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 372

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi,

Danke für die rasche Antwort. Im Header kommt das X-PHP Flag leider nicht vor..
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
Received: (qmail 8468 invoked by uid 1108); 27 Oct 2014 06:22:33 -0000
Date: 27 Oct 2014 06:22:33 -0000
Message-ID: <20141027062233.8467.qmail@vs.secbit.eu>
To: kmurphy@sonoma-county.org
Subject: Ship Notification
From: "FedEx International MailService" <support@stt-meisterschaft.at>
X-Mailer: XimianEvolution1.4.6
Reply-To: "FedEx International MailService" <support@stt-meisterschaft.at>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------1414390953544DE4A9B0773"

------------1414390953544DE4A9B0773
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
Received: (qmail 8566 invoked by uid 1108); 27 Oct 2014 13:25:37 -0000
Date: 27 Oct 2014 13:25:37 -0000
Message-ID: <20141027132537.8565.qmail@vs.secbit.eu>
To: matt@dbqscrewproducts.com
Subject: Free Pizza
From: "Pizza Hut" <support@stt-meisterschaft.at>
X-Mailer: Spmailver8.5
Reply-To: "Pizza Hut" <support@stt-meisterschaft.at>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------1414416337544E47D12DEB9"

------------1414416337544E47D12DEB9
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit

und da steht auch wieder, dass die mail von "support@.." verschickt wird..

Ich habe aber noch folgendes gefunden:
chkrootkit:
Checking `bindshell'... INFECTED (PORTS: 465)

__________________
Beste Grüße,
Patrick

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von riedlit: 27.10.2014 14:50.

27.10.2014 14:48 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 649
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ok, in dem Fall lieg ich mit meiner Vermutung bezüglihc missbrauchtem Skript falsch.

__________________
Beste Grüße,
Michael
27.10.2014 15:12 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 372

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Habe den Kunden jetzt aber gesperrt, und es ist ruhig.. hmm.. was könnte das sonst sein?

Danke!

__________________
Beste Grüße,
Patrick
27.10.2014 15:23 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.399

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Also für mich sieht es so aus, als wenn in dem Kunden-Web doch irgendwas installiert ist, denn wenn es nach der Sperre weg ist, woher soll es sonst kommen.
27.10.2014 21:07 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
VeNoM
Mitglied


Dabei seit: 14.01.2008
Beiträge: 485

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Da das mit einem Script augenscheinlich flach fällt, müsstest Du Logeinträge finden bei dem Logindaten übermittelt werden. Sollte eigentlich im mail.log zu finden sein wenn ich mich nicht irre.

__________________
Gruß
/VeNoM
28.10.2014 06:39 VeNoM ist offline E-Mail an VeNoM senden Beiträge von VeNoM suchen Nehme VeNoM in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 649
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Naja, wäre eine smtp Authentifizierung durchgeführt worden, müsste es ebenfalls eine header zeile dazu geben...

__________________
Beste Grüße,
Michael
28.10.2014 07:29 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
VeNoM
Mitglied


Dabei seit: 14.01.2008
Beiträge: 485

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Jau, aber der Log sieht auch nicht vollständig aus. Da fehlt meines Erachtens noch einiges.

__________________
Gruß
/VeNoM
28.10.2014 08:54 VeNoM ist offline E-Mail an VeNoM senden Beiträge von VeNoM suchen Nehme VeNoM in Deine Freundesliste auf
Seiten (4): « vorherige 1 2 [3] 4 nächste » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » Open-Relay auf nicht vorhandenes E-Mail-Postfach

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de