Bruteforce Angriff hebelt LiveConfig aus, fiktive E-Mail Adresse sendet SPAM - Was könnte man tun?

isphttp.de · Dienstag, 09:02

Guten Morgen,

wir hatten auf einer der Maschinen einen Bruteforce angriff, welcher scheinbar LiveConfig ausgehebelt hat, da über Fiktive E-Mail Adressen munter SPAM versendet wurde und wird, wie z.B

Code

1163B427954     5248 Tue Apr 15 03:53:03  info@howtomeasurecobb.com
(host mx00.emig.gmx.net[212.227.15.9] refused to talk to me: 554-gmx.net (mxgmx009) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MmRkp-1tM8Nz0pmr-00iYBU)
                                         surapa@gmx.net

D228D425F44   106036 Tue Apr 15 03:31:01  astywqy@listinser.mom
(host mx-ha02.web.de[212.227.17.8] refused to talk to me: 554-web.de (mxweb105) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1N94iT-1szUyn2Kud-015ffT)
                                         konditoreikleinschmidt@web.de

85762420187   126595 Tue Apr 15 02:11:38  ymfyypy@nikosale.makeup
(host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx106) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MGwUl-1trbBl15PP-004Z24)
                                         surapa@gmx.net

582AE3826AE    37693 Tue Apr 15 05:26:09  msprvs1=20200Uh5FyTYc=bounces-15996-85049@bounce.ecomailapp.cz
(host mx-ha03.web.de[212.227.15.17] refused to talk to me: 554-web.de (mxweb006) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MBkMK-1tsREU1ycG-00CauW)
                                         konditoreikleinschmidt@web.de

B18AB3DE52A   106063 Mon Apr 14 23:25:58  imduplx@folowaunt.de
(host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx107) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MWxTV-1tXBJb25Yv-00Xq8q)
                                         fritz-muerkens@gmx.de
                                         michaela-muerkens@gmx.de

068BA426C5A   163644 Tue Apr 15 03:42:12  uwzacry@collo.in.rs
(host mx-ha03.web.de[212.227.15.17] refused to talk to me: 554-web.de (mxweb004) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MVdtA-1tcyF045pM-00HjTq)
                                         konditoreikleinschmidt@web.de

0FA722A97C8    26162 Tue Apr 15 04:22:23  jkmsh@thebestone.click
(host mx-ha03.web.de[212.227.15.17] refused to talk to me: 554-web.de (mxweb004) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1Mj8Rl-1tPR5n0zuH-00mojE)
                                         konditoreikleinschmidt@web.de

04E3C407615   126582 Tue Apr 15 00:31:40  oqzyqlk@linkersame.eu
(host mx00.emig.gmx.net[212.227.15.9] refused to talk to me: 554-gmx.net (mxgmx007) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MkpvZ-1tJC9J1grv-00ojcN)
                                         fritz-muerkens@gmx.de
                                         michaela-muerkens@gmx.de

0C9EC409F50   106038 Tue Apr 15 01:03:38  ywhobhj@listinser.mom
(host mx00.emig.gmx.net[212.227.15.9] refused to talk to me: 554-gmx.net (mxgmx007) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.gmx.net/en/case?c=r0302&i=ip&v=5.1.95.175&r=1M58OU-1u3TYg1F7U-005HgA)
                                         surapa@gmx.net

471234111CD   126597 Tue Apr 15 06:40:13  anqarrn@nikosale.makeup
(host mx-ha02.web.de[212.227.17.8] refused to talk to me: 554-web.de (mxweb105) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is block listed. 554 For explanation visit https://postmaster.web.de/en/case?c=r0302&i=ip&v=5.1.95.175&r=1MBRi9-1tsiR70wcJ-00CrOi)
                                         konditoreikleinschmidt@web.de

Alles anzeigen

----

Hat jemand eine Idee, wie man die Lücke ausfindig machen könnte?

TCRserver · Dienstag, 09:16

Brute Force ist jetzt nicht unbedingt eine Lücke...

Wenn man die Zugangsdaten hat, dann hat man "legitimen" Zugriff auf das Mail System.

Hier hilft dann sowas wie fail2ban oder sshguard gegen zu häufige Anmeldeversuche.

Anhand des Log Auszugs kann ich nichts erkennen.

Im Prinzip müsste man die Queue prüfen wo die Mails her kommen, also von welchem Kunden oder ob die von z.B. PHP versendet werden.

Code

cd  /var/spool/postfix
find active bounce deferred incoming maildrop -type f | wc -l

Wenn hier irgendwas größer 10 raus kommt, dann würde ich anfangen die Queue zu prüfen.

Um danach zumindest mal den permanenten Versand zu beenden, könnte man temporär die Mailserver stoppen.

Dann fängt die Suche nach dem Versender innerhalb des Systems an.

mbo · Dienstag, 10:14

Hallo,

bitte als erstes die Mailadressen aus dem Log unkenntlich machen!!

Sicher, dass es LiveConfig war? Könnte auch ein schlecht gesichertes Kontaktformular sein. Am besten einmal die Logfiles nach der Quelle durchsuchen, ggf. auch mal mit postcat die Header anschauen. Sicherlich findet man sogar schon über Zeitstempel-Check die passenden POST-Requests gegen das Formular...

weltmeister · Dienstag, 10:36

Das ganze hat zu 99% nichts mit LiveConfig zu tun.

antondollmaier · Dienstag, 11:27

"pfqueue" drauf werfen und anschauen, woher die Mails kommen. Wie die anderen schon schrieben: zu 100% unabhängig von LiveConfig:

- SMTP-Credentials "abhanden" gekommen (Brute-Force kam mir die letzten 10 Jahre nicht unter)

- ungesichertes Kontaktformular auf dem Webserver (fällt hier aber weg, wenn "howtomeasurecobb.com" nicht bei euch liegt...)

Passwort vom Postfach ändern, Kunde über seinen lokalen Trojaner/Virus informieren, Blacklistings auflösen, Krone richten, weitermachen.

mbo · Dienstag, 13:10

Zitat von antondollmaier

- ungesichertes Kontaktformular auf dem Webserver (fällt hier aber weg, wenn "howtomeasurecobb.com" nicht bei euch liegt...)

Das kommt leider vor, wenn die Absenderadresse als FROM der Mail verwendet wird. Das ist vor allem dann ein Problem, wenn - wie hier - die Mails nicht lokal zugestellt werden, sondern extern. Fehlgeschlagene SPF-Tests lassen grüßen.

Wenn man nach der Mailadresse der Konditorei sucht, findet man die entsprechende Webseite, die auf der IP aus dem Log liegt.

Danke für die Nennung von pfqueue - kannte ich noch gar nicht

isphttp.de · Vor 2 Stunden

Zitat von TCRserver
Brute Force ist jetzt nicht unbedingt eine Lücke...
Wenn man die Zugangsdaten hat, dann hat man "legitimen" Zugriff auf das Mail System.
Hier hilft dann sowas wie fail2ban oder sshguard gegen zu häufige Anmeldeversuche.

Anhand des Log Auszugs kann ich nichts erkennen.
Im Prinzip müsste man die Queue prüfen wo die Mails her kommen, also von welchem Kunden oder ob die von z.B. PHP versendet werden.
Code
cd  /var/spool/postfix
find active bounce deferred incoming maildrop -type f | wc -l
Wenn hier irgendwas größer 10 raus kommt, dann würde ich anfangen die Queue zu prüfen.
Um danach zumindest mal den permanenten Versand zu beenden, könnte man temporär die Mailserver stoppen.
Dann fängt die Suche nach dem Versender innerhalb des Systems an.
Alles anzeigen

Danke für eure Hilfe, dass hat wirklich geholfen, letztlich kam mein Techniker wieder back und hat sich darum gekümmert. Ich habe aber schon mal einiges damit ausschließen können und ich war extrem irritiert, dass kein LC Benutzer vorhanden war, aber scheinbar auch kein Formular ausgenutzt wurde.

LG

Bruteforce Angriff hebelt LiveConfig aus, fiktive E-Mail Adresse sendet SPAM - Was könnte man tun?

Jetzt mitmachen!

Benutzer online in diesem Thema