Problemen met Qmail - Linux en overige clients

maandag 19 september 2005 22:43

Acties:

Verwijderd

Topicstarter

Hoi,

Ik heb wat problemen, mijn email wordt tegen gehouden door spamcop.net dit komt doordat er allerlei vage processen op mn server draaien als deze:

qmailr 9195 0.0 0.1 4720 824 ? S 22:38 0:00 qmail-remote elux.com anonymous@server branch8304@elux.com

iemand een idee hoe dit tegen te gaan is?

Greetz Toontje

maandag 19 september 2005 22:46

Acties:

blaataaps

Wat voor distributie draai je? Welke versie? Is die uptodate qua security? Welke MTA gebruik je? Waar heb je zelf al gekeken?

maandag 19 september 2005 22:53

Acties:

Jiriki

Dit is toch geen vreemd proces?

qmail-remote elux.com anonymous@server branch8304@elux.com wil zeggen dat qmail-remote mail wil sturen naar server elux.com van anonymous@server voor branch8304@elux.com.

Het enig vreemde is waarom staat er geen fatsoenlijk afzender adres? Foute configuratie van je mail programma? Welk mail programma gebruik je?

"Yes," said the skull. "Quit while you're a head, that's what I say." -- (Terry Pratchett, Soul Music)

maandag 19 september 2005 22:57

Acties:

Hans

hmm 1+1=2. Je hebt een spamcop listing en ziet tevens "vage processen" op je server. Ik wil geen stemming maken maar klinkt als: ofwel je server is een open relay ofwel je hebt een of ander vulnerable (mail) script geinstalleerd staan, ofwel je server is gehacked/gebackdoored.

Wat staat er precies in het spamcop report? paste dat eens (of je IP)

[ Voor 20% gewijzigd door Hans op 19-09-2005 23:00 ]

maandag 19 september 2005 23:05

Acties:

Verwijderd

Topicstarter

het vreemde is dat iedere keer andere adressen zijn! spamcop geeft alleen dat het na bepaalde tijd weer wordt vrij gegeven!

Ik gebruik redhat fedora core 2

maandag 19 september 2005 23:07

Acties:

blaataaps

Verwijderd schreef op maandag 19 september 2005 @ 23:05:
het vreemde is dat iedere keer andere adressen zijn! spamcop geeft alleen dat het na bepaalde tijd weer wordt vrij gegeven!

Ik gebruik redhat fedora core 2

En wat is het antwoord op alle andere relevante vragen die we stellen?

Zonder meer info kunnen wij niet bepalen wat er aan de hand is, als jij qmail gebruikt heb je iets slecht geconfigureerd, als je iets anders gebruikt heb je hoogstwaarschijnlijk een nog groter probleem

We stellen de vragen niet voor niks, zonder veel meer informatie zien wij ook niet wat er aan de hand is.

maandag 19 september 2005 23:14

Acties:

Verwijderd

Topicstarter

De configuratie heeft een jaar lang prima gedraaid, zonder enig probleem er is vrijwel niets gewijzigd!
Qua security: wanneer voldoet dit aan jullie eisen? mijn mailserver is op deze manier geconfigureerd: www.euronet.nl/users/erhnam/linux/qmail/qmail.htm

de afzender is dus een gebruiker die helemaal niet is terug te vinden op mijn mailserver!

wat kan ik doen om jullie van meer info te verstreken

maandag 19 september 2005 23:15

Acties:

blaataaps

Nou, er is al twee keer gevraagd welke mailsoftware je zelf draait,dat staat er inmiddels en wat de precieze inhoud is van het spamcop report.

[ Voor 11% gewijzigd door blaataaps op 19-09-2005 23:17 ]

maandag 19 september 2005 23:18

Acties:

Verwijderd

Topicstarter

Ik werk met vpopmail, qmailadmin, imapcourier, squirrelmail.

hier de link naar het report:
http://www.spamcop.net/w3...kblock&ip=213.233.215.131

maandag 19 september 2005 23:20

Acties:

Hans

en als je dan toch bezig bent, geef ons dan ook even de inhoud van je tcp.smtp en je /var/qmail/supervise/qmail-smtpd/run bestanden.

edit:

mocht je een firewall hebben: als ie net op tilt sloeg over het IP 82.94.244.170 dan was ik dat. Was even aan het kijken of je rare ports open had staan (wat op het eerste gezicht niet het geval is)

[ Voor 47% gewijzigd door Hans op 19-09-2005 23:28 ]

maandag 19 september 2005 23:24

Acties:

Verwijderd

Topicstarter

tcp.smtp:

192.168.1.:allow,RELAYCLIENT=""
127.0.0:allow,RELAYCLIENT=""

/var/qmail/supervise/qmail-smtpd/run:

#!/bin/sh
QMAILDUID=`id -u vpopmail`
NOFILESGID=`id -g vpopmail`
MAXSMTPD=`cat /var/qmail/control/concurrencyincoming`
exec /usr/local/bin/softlimit -m 66000000 \
/usr/local/bin/tcpserver -H -R -l 0 \
-x /home/vpopmail/etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp \
/var/qmail/bin/qmail-smtpd domain.com \
/home/vpopmail/bin/vchkpw /bin/true 2>&1

maandag 19 september 2005 23:46

Acties:

Hans

Mja, lastig, zo van een afstandje. Je zal zelf toch ook wat meer op onderzoek moeten. Kijk bijv. eens in je qmail logfiles of dmv netstat of er "vreemde" IP's jouw SMTP server gebruiken als relay. Check je apache logs of er misschien een CGI script op je server is wat de laatste dagen wel erg populair is (lees: vulnerable). Check of er rare processen draaien etc. etc.

Je hebt overigens een spamcop EN een virbl listing, kwam ik net achter via http://www.dnsstuff.com/tools/ip4r.ch?ip=213.233.215.131

dinsdag 20 september 2005 00:00

Acties:

Verwijderd

Topicstarter

via netstat zie ik al die "vreemde adressen" terug komen ja!

dinsdag 20 september 2005 00:21

Acties:

Hans

Oke, maar we komen een stuk verder als je dan vervolgens ook nog even de output met ons deelt, anders helpt het zo lastig. Ik ben helaas niet telepatisch.

dinsdag 20 september 2005 00:36

Acties:

Verwijderd

Topicstarter

voila, weet niet of verstandig is om alles te posten vandaar...

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 1 ipadres:35070 reda.tyson.com:smtp SYN_SENT
tcp 0 1 ipadres:35075 news.giganews.com:smtp SYN_SENT
tcp 0 1 ipadres:35074 news.isp.giganews.:smtp SYN_SENT
tcp 0 0 localhost.localdo:35068 localhost.localdo:32769 TIME_WAIT
tcp 0 1 ipadres:35066 144.160.103.79:smtp SYN_SENT
tcp 0 1 ipadres:35077 ns.libby.org:smtp SYN_SENT
tcp 0 1 ipadres:35076 209.185.162.155:smtp SYN_SENT
tcp 0 1 ipadres:35064 10.140.30.149:smtp SYN_SENT
tcp 0 0 localhost.localdo:35067 localhost.locald:sunrpc TIME_WAIT
tcp 0 1 ipadres:35065 dis-mail.nhmccd.ed:smtp SYN_SENT
tcp 0 1 ipadres:35072 bilene.virconn.com:smtp SYN_SENT
tcp 0 1 ipadres:35069 207.219.111.23:smtp SYN_SENT
tcp 0 580 ::ffff:192.168.1.10:ssh ::ffff:192.168.1.9:2344 ESTABLISHED
tcp 0 0 ::ffff:192.168.1.1:imap ::ffff:192.168.1.9:1041 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 14 [ ] DGRAM 2552 /dev/log
unix 3 [ ] STREAM CONNECTED 3751591 /tmp/.famzWr0ck
unix 3 [ ] STREAM CONNECTED 3751588
unix 3 [ ] STREAM CONNECTED 1120455 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM CONNECTED 1120454
unix 2 [ ] DGRAM 117053
unix 2 [ ] DGRAM 4115
unix 2 [ ] DGRAM 4085
unix 2 [ ] DGRAM 4072
unix 2 [ ] DGRAM 3993
unix 2 [ ] DGRAM 3346
unix 2 [ ] DGRAM 3230
unix 2 [ ] DGRAM 3197
unix 2 [ ] DGRAM 3180
unix 2 [ ] DGRAM 2999
unix 2 [ ] DGRAM 2618
unix 2 [ ] DGRAM 2560

dinsdag 20 september 2005 10:44

Acties:

WHiZZi

Museumdirecteurtje

Je draait iig geen open relay:

telnet 213.233.215.131 25
Trying 213.233.215.131...
Connected to 213.233.215.131.
Escape character is '^]'.
220 pellios.nl ESMTP
EHLO test.nl
250-pellios.nl
250-PIPELINING
250 8BITMIME
MAIL FROM: test@test.nl
250 ok
RCPT TO: blaat@hotmail.com
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
RCPT TO: ..@yahoo.com
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
quit
221 pellios.nl
Connection closed by foreign host.

Ik ga dus voor een mailscript. Check of er een vreemd proces draait onder een vreemde user (bijv een www-user die een inetd draait oid)

Verder zou ik er een rootkit-checker overheen halen....

[ Voor 18% gewijzigd door WHiZZi op 20-09-2005 10:45 ]

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

dinsdag 20 september 2005 11:05

Acties:

LoBbY_1

Ik heb dat zelfde probleem gehad... Via een PHP-script werden duizenden e-mails verzonden. De enige goede mannier die ik kon vinden om dat aan te pakken was het disabelen van de functie mail() in php. Helaas is dit wel een rigoreuze mannier om zeker te zijn dat er via website's geen mail word verstuurd. Ik heb helaas ook nog niet echt een goede mannier gevonden om dit te onderscheppen.

Een echte golver is nooit uitgeput

dinsdag 20 september 2005 11:32

Acties:

elTigro

Es un Gringo!

Je kunt toch ook nagaan welk script ervoor zorgt dat de mailtjes verzonden worden en vervolgens dit script eens serieus te gaan bekijken

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

dinsdag 20 september 2005 11:43

Acties:

Hans

Zoals ik al zei, ga zelf eens op onderzoek uit. Spit je apache logs uit, kijk in je qmail logs of die outgoing mails verstuurd worden vanaf localhost of vanaf een foreign adres etc...

dinsdag 15 november 2005 00:05

Acties:

Verwijderd

Topicstarter

Hallo mensen daar ben ik weer.

Inmiddels paar weken verder. ben een heel eind gekomen. complete iptables vuurmuur opgezet.
Deze werkt prima zelfs net iets tegoed!

Het probleem:

Ik maak dus gebruik van iptables. ook draai ik samba, wanneer mijn firewall is gestart kan ik vanaf een host niet naar mijn server toe browsen via de hostname. voorbeeld \\server\map kan ik niet bereiken. wat wel lukt is \\ipadres\map\
Zodra ik mijn firewall stop zijn deze problemen verholpen.

Kan iemand mij helpen?

Groet

dinsdag 15 november 2005 08:24

Acties:

DiedX

heeft niemand dit gezien dan?

unix 3 [ ] STREAM CONNECTED 3751591 /tmp/.famzWr0ck

Veel succes. Draai je (of een vriend/klant) PHPBB? Iets in die trend?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 15 november 2005 08:27

Acties:

DiedX

Verwijderd schreef op dinsdag 15 november 2005 @ 00:05:
Hallo mensen daar ben ik weer.

Inmiddels paar weken verder. ben een heel eind gekomen. complete iptables vuurmuur opgezet.
Deze werkt prima zelfs net iets tegoed!

Was jou vorige probleem al verholpen dan? Wellicht is het een idee om dan een nieuw topic te openen?

En samba.... Op een webserver?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 15 november 2005 08:43

Acties:

Verwijderd

Topicstarter

Is dat jouw probleem, met die /tmp/.fam ??

Ja zal een nieuwe topic openen, en ja die server heeft meerdere functies!

woensdag 16 november 2005 13:04

Acties:

DiedX

Verwijderd schreef op dinsdag 15 november 2005 @ 08:43:
Is dat jouw probleem, met die /tmp/.fam ??

Ja zal een nieuwe topic openen, en ja die server heeft meerdere functies!

WTF? Ik (we) proberen je te helpen, en je kat me af? Ik unbookmark dit topic snel, voordat ik een waarschuwing aan mijn broek krijg, maar dit gaat WER-KE-LIJK waar nergens over.

Voor je idee: ik heb het idee dat je:

Ik heb wat problemen, mijn email wordt tegen gehouden door spamcop.net dit komt doordat er allerlei vage processen op mn server draaien als deze:

hierdoor komt, maar blijkbaar heb je daar een ander idee over.
Veel succes!

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 16 november 2005 13:08

Acties:

Spider.007

* Tetragrammaton

DiedX schreef op dinsdag 15 november 2005 @ 08:24:
heeft niemand dit gezien dan?

unix 3 [ ] STREAM CONNECTED 3751591 /tmp/.famzWr0ck

Veel succes. Draai je (of een vriend/klant) PHPBB? Iets in die trend?

Is dat niet gewoon een FAM die daar draait?

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 16 november 2005 13:40

Acties:

DiedX

Met een unix stream, could very well be. Ik weet te weinig van de FAM Daemon, dus ik zal er eens naar kijken

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 23 november 2005 11:10

Acties:

Verwijderd

Topicstarter

Diedx, mijn vraag was niet hoe jij hem op vat....
Ik vroeg gewoon of jij een probleem had "met die /tmp/.fam ??"
Een belangstellende vraag dus, jammer dat je hem zo opvat

Pagina: 1

Reageer