Spam naar mailadressen uit aliases file

Ik heb een eigen Debian mailserver. Ik gebruik de /etc/aliases file om voor elke site waar ik een mail adres moet achterlaten een nieuwe alias aan te maken. Nu krijg ik sinds een paar dagen spam binnen op mailadressen die uit die aliases file komen. Op zich kan dat, maar wat ik zorgelijk vind is dat er spam naar adressen gestuurd wordt die ik jaren geleden voor het laatst gebruikt heb. De enige manier die ik kan verzinnen hiervoor is dat iemand (of een botje) mijn /etc/aliases file op mijn server gevonden heeft en die nu gebruikt om spam naar toe te sturen.

Die spam is vervelend maar zal binnen een paar dagen wel verdwijnen als de antispam db's bijgewerkt zijn. Waar ik me het meest druk om maak, is dat iemand (of een botje) blijkbaar ergens mijn /etc/aliases file gevonden heeft. En dus ook waarschijnlijk op mijn server is geweest. Dat lijkt me voor een spammer nogal veel gedoe om aan een aantal mailadressen te komen.

Is er iemand anders die deze ervaring ook heeft?

Ik denk dat omdat ik nu op 5 verschillende adressen dezelfde mail gekregen heb. De 5 mail adressen heb ik ooit aangemaakt voor 5 heel verschillende bedrijven. Het toeval lijkt me een beetje te groot dat al die 5 bedrijven een leak hebben. Ik heb daarnaast ook bij haveibeenpawned gekeken en de adressen waar ik de mail op binnen heb gekregen, geven daar geen hit.

Naar aanleiding van je vraag: wat ook zou kunnen is dat er een spam script gebruikt wordt waarbij de spammer zelf mail adressen fabriceert door namen van bekende domeinen aan het domein van mijn mailserver te plakken. Hmmm...

[ Voor 23% gewijzigd door Oeboema op 19-12-2020 17:05 ]

Tsja, daar zit ik zelf ook wel een beetje mee. Ik heb gezocht met chkrootkit en rkhunter, maar geen rare dingen gevonden. Geen hoge CPU loads.

Ik gebruik alleen maar ssh sleutels om in te loggen, maar zag dat er in de sshd config nog wel de optie aanstond om met password in te loggen. Foutje, nu uitgezet. Je kon met 3 normale accounts inloggen op de ssh server, maar alle wachtwoorden waren gegenereerd met een PW manager. Geen recente logins behalve mezelf teruggevonden via lastlog. PermitRootLogin staat op no in sshd config.

Qua software die toegang heeft tot /etc/aliases: dat bestand stond op world-readable (644). Ik heb het nu aangepast. Maar kan me niet herinneren dit ooit veranderd te hebben. Ik zal eens uitzoeken of dat de standaard permissies zijn van een (oude) Debian installer.

Dank voor de antwoorden.

@Wim-Bart Ik draai op de server geen webmail of ftp. Wat ik me nog kan voorstellen is dat er (ooit?) een niet-gepatchte service gedraaid heeft waarmee een hacker een shell heeft kunnen openen. Ik draai Unattended-upgrades, maar sluit niet uit dat dat wel eens een tijdje niet gewerkt heeft omdat security support voor oldstable stopte. Maar om dan alleen maar de aliases file uit te lezen...

@pennywiser Dat van die herinstallatie vrees ik inderdaad ook. Ik ben de enige gebruiker op de server, dus zou moeten kunnen. Maar moet ik even iets langer de tijd voor nemen. Voor nu maar even alle pw's gewijzigd, shells van alle gebruikers behalve mezelf uitgezet, authorized_keys weggegooid.

[ Voor 0% gewijzigd door Oeboema op 19-12-2020 19:51 . Reden: spelling ]

4 van de 5 zijn inderdaad dat soort adressen. LinkedIn/Ikea/yahoo@jouwdomein.nl. Ik zie geen rejects van andere combinaties in de mail log, dus waarschijnlijk is het ‘oogsten’ al eerder gebeurd.

SSH staat open naar internet, maar authenticatie alleen met keys en fail2ban erachter. Lijkt me toch wel veilig genoeg.

Ik heb maar 5 mails gekregen, nu is het weer gestopt. Ik ga het voorlopig maar even aankijken. Bedankt voor alle vragen en tips.