[Postfixbuch-users] verseuchte Spamuser
Bjoern Meier
bjoern.meier at googlemail.com
Mi Feb 18 11:12:20 CET 2009
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
hi,
Andre Hübner wrote:
> Hallo Liste,
>
> habe aktuell das Problem das Spam direkt von eingeloggten Usern auf
> dem Server in die Warteschlange gestellt wird. Offenbar handelt es
> sich um kompromittierte Systeme der User wo irgendwelche Trojaner
> aktiv geworden sind. Teilweise wird der Spam von extern per
> smtp-auth eingeliefert was ich durch ein paar smtpd-limits
> verzögere. Teilweise werden aber auch Scripte per ftp hochgeladen
> die dann automatisiert aufgerufen werden und die Mails so direkt
> vom Server aus einliefern. Hier fehlt mir momentan noch das richtge
> Mittel dies zu verhindern oder zu verzögern. Diese Scripte werden
> dann auch automatisiert gelöscht so das ich nur die Einträge in den
> ftp-Logs finde aber die Scripte selber nicht mehr. Mit den Scripten
> könnte ich dann Signaturen für unseren Scanner machen was bei
> anderen Schadprogrammen schon gut geholfen hat. Für die internen
> Scripte fehlt mir momentan der Ansatz. Ich kann ja nicht einfach
> pop-before-smtp deaktivieren oder $mynetworks nicht mehr zulassen
> damit diese scripte ins leere laufen Gibt es etwas sinnvolles was
> ich da tun könnte?
>
> Danke, Andre --
Damit ich das richtig verstehe, es ist möglich bei dir etwas per 'FTP
hochzuladen UND automatisiert auszuführen? Wie war deine Domäne? Nur
so, für meine Blacklist.
Im Ernst, In so einem IP-Loggen, dann FTP dicht machen, zur Not mit
iptables wenns gar nicht anders geht.
Man man, Trojaner ... bin ich froh, dass es snort gibt. Selbst wenn
ich dann einen Zombie im Netz hätte. Spätestens beim Verbinden zum
Botnet hätte ich ihn. Meine User dürfen mit unserem Mailrelay gar
nicht direkt in Kontakt treten, der akzeptiert Mails fürs Relay nur
von einer bestimmtem IP (Exchange-Server) und danach wird auch noch
mal aussortiert.
Gruß,
Björn
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFJm98EFNk/pPWhp1gRAu+HAJ0bOsognGDAL8eOaPU84lVNR+2+1QCglc7g
iu1ffwlXXGSkx4Yatn4youY=
=biT3
-----END PGP SIGNATURE-----
Mehr Informationen über die Mailingliste Postfixbuch-users