[Eisfair] Mail relay und spam

[Olaf Jaehrling]

Hallo Micheal,


Michael Röhrig schrieb am 09.09.20 um 21:37:
> Hallo Marcus,
> 
> Vielen Dank für die schnelle Antwort.
> Wo landen die Mail-Only Kennworten nach der Konfiguration über der
> Setup?
> Vielleicht finde ich da etwas?

siehe PM. Mach das mal bitte mit iptables, was ich dir geschrieben habe.
Prüfe zusätzlich noch mit netstat ob Ports offen sind, die du nicht
geöffnet hast
netstat - nlpa zeigt dir jeden offenen Port incl. des entsprechenden
Dienstes und der PID an.

1. Schließe alle Ports (ausser Port 22)
2. Ändere die Mailonly-Passwörter
3. Öffne danach Port 25 und 587
4. Beobachte eine Zeit lang
5. Wenn nichts passiert, dann kannst du davon ausgehen, dass jemand
einen Zugang hat oder einen anderen Weg kennt auf deinen Server.
6. Dann öffne Port 80 und 443
7. Beobachte
8. usw usf.


Beispiel der netstat-Ausgabe
Proto Recv-Q Send-Q Local Address           Foreign Address
State       PID/Program name
tcp        0      0 0.0.0.0:587             0.0.0.0:*
LISTEN      8268/exim

Protokoll tcp Port 587 ist für jeden offen und erreichbar. Verwendet
wird er von Exim mit der PID 8268.

Den Port dicht machen kannst du mit:
iptables -I INPUT -ptcp --dport 587 -j REJECT

Öffnen mit
iptables -D INPUT -ptcp --dport 587 -j REJECT

Meine Vermutung ist, dass du eine Backdoor hast über die der Angreifer
auf deinen Server zugreift. Evlt . auch ein rootkit.

rkhunter könnte dir evlt. helfen.

Wenn du Hilfe brauchst, so kannst du mich auch per Telegram anschreiben.

Gruß

Olaf




> 
> Viele Grüße Michael
> 

-- 
Paketserver: https://ojaehrling.de/eis/index.txt