Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exim4 gehackt ?

Frage Linux Linux Netzwerk

Mitglied: linuxmatrix

linuxmatrix (Level 1) - Jetzt verbinden

28.09.2014, aktualisiert 09:29 Uhr, 2293 Aufrufe, 8 Kommentare

Guten Morgen,

hab hier meinen Homewebserver der mir über Debian
Wheezy/nginx/php5/Exim4 Statusmails aufs Handy sendet.

Problem: Irgendein Depp hats geschafft
den als Mailer zu mißbrauchen.


nur per Zufall drübergestolpert da mir
Gmx 'ne Meldung gab daß eine Mail vom WebServ an
sylvia@home.com vor 2 Wochen nicht ordnungsgem.
zustellen konnte. (nie von mir pers. versendet)

Die Logs hab ich nimmer,da ich den
Server vor Tagen zurückgesetzt habe.
(an den Kopf klatsch

Kann ich per exim4 und einer Filterregel
den Versand nur an eine (!) bestimmte
Email Adresse zulassen?

*momentan hab ich mir ein Script gebastelt
das den Verkehr aus der main.log
ausliest und Alarm schlägt wenn ein
anderer Empfänger angegebenwird...
Mitglied: Lochkartenstanzer
LÖSUNG 28.09.2014, aktualisiert um 09:29 Uhr
Zitat von linuxmatrix:

nur per Zufall drübergestolpert da mir
Gmx 'ne Meldung gab daß eine Mail vom WebServ
sylvia@home.com vor 2 Wochen nicht ordnungsgem.
zustellen konnte. (nie von mir pers. versendet)


Hast Du geprüft, ob das nicht einfach nur backscatter ist?

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2014, aktualisiert um 09:35 Uhr
Zitat von linuxmatrix:

Kann ich per exim4 und einer Filterregel
den Versand nur an eine (!) bestimmte
Email Adresse zulassen?

Mit exim weiß ichs nicht, aber mit sendmail (i-bäh) und postfix geht's. Du mußt nur passende rewrite-rules für den empfänger angeben. Aber da exim auf recht mächtig ist, soltle es damit auch gehen. prizipiell muß du einfach nur ein Adresse-Rewriting für die empfänger machen, daß alles auf Deien Zieladresse festtackert.

lks
Bitte warten ..
Mitglied: linuxmatrix
28.09.2014, aktualisiert um 09:39 Uhr
Moin?

...ist leider direkt vom Webserver raus (IP passte)...


sitz grad am BHF bei nem Kaffee,
rätsel grad..

in cgi/php.ini u. cli/php.ini
ist disable_functions mail
eingetragen.... wie kann der dann
mails versenden?

kann ich das s.o zumindest begrenzen?
das mit Alarmscripts ist Ok aber dann
wars ja wieder zu spät.

System wird jeden 2. Tag aktualisiert
(dotdeb Packages) Wordpress usw...
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2014 um 09:43 Uhr
Zitat von linuxmatrix:

in cgi/php.ini u. cli/php.ini
ist disable_functions mail
eingetragen.... wie kann der dann
mails versenden?

"Über Umwege".

Es gibt genügend PHP-exploits, um trotzdem Mails zu verschicken.

(dotdeb Packages) Wordpress usw...

Und wenn wordpress dazukommt, ggf. mit plugins wird es noch schlimmer.

Du solltest mal das loglevel auf debug hochfahren und mitverfolgen, welches script wann die mails verschickt. Oder einfach alles frisch aufsetzen.

lks

PS ich würde einfach per iptables alles amtp/submission nah draußen abstellen und nur zu Deinem Mailserver/smarthost erlauben.
Bitte warten ..
Mitglied: linuxmatrix
28.09.2014 um 11:33 Uhr
will in /etc/exim4/conf.d/rewrite

eine regel generieren à la
alle EmpfängerAdressen auf handybsp15@gmail.com ... ummünzen


..wie stell ich das an ?
so klappts net:


*@*.* handybsp15@gmail.com Tt
Bitte warten ..
Mitglied: LordGurke
28.09.2014 um 17:52 Uhr
Mails kann man auch versenden, indem man mit fsockopen() eine Verbindung zu Port 25 aufbaut.
Hat dann auch den Charme, dass man in den Logfiles des Mailservers nichts finden kann.

Du solltest ja aus den Headern herauslesen können, wann die Mail bei GMX eingeliefert wurde - vielleicht kannst du aus den Webserver- und Syslog-Files etwas zu genau diesem Zeitpunkt finden.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 28.09.2014, aktualisiert um 19:58 Uhr
Zitat von LordGurke:

Mails kann man auch versenden, indem man mit fsockopen() eine Verbindung zu Port 25 aufbaut.

Deswegen iptables, ggf. als Ergänzung

lks
Bitte warten ..
Mitglied: linuxmatrix
28.09.2014 um 19:58 Uhr
Die Logs hab ich ja leider nimmer /

Aber danke! hab ich gerade gesperrt. war bei mir offen... getestet mit nem simplen script....

<?php
if(function_exists('fsockopen')) {
echo "fsockopen ist an";
}
else {
echo "fsockopen ist aus";
}
?>

gibts sonst noch Möglichkeiten um die Mauer höher zu bauen ?
und Einfallstore zu begrenzen ?

: - )
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
Exim4 adress rewriting auf einen (!) Empfänger festnageln?!
Frage von linuxmatrixLinux Netzwerk1 Kommentar

Empfänger Adressen unter exim4 umschreiben aber wie ?! Möchte folgendes einrichten: ALLE Mails die vom Server ausgehen landen AUSSCHLIEßLICH ...

Sicherheit
DSL Zugangsdaten gehackt?
Frage von Mr.HeisenbergSicherheit34 Kommentare

Hallo, nach Erhalt einer sehr hohen Telefonrechnung, bin ich stutzig geworden und habe mir einen Einzelverbindungsnachweis angefordert. Dort ist ...

Windows Server
Server 2003 wurde gehackt was tun ?
Frage von sockel7Windows Server10 Kommentare

Hallo , Ich habe in meinem Unternehmen noch einen Windows Server 2003 in Betrieb !. Dieser wurde nun am ...

Erkennung und -Abwehr
Strato Domain gehackt und gespert
gelöst Frage von Mr.FSB311Erkennung und -Abwehr16 Kommentare

Hallo zusammen, Ich stehe vor folgendem Problem: eine Website die ich betreue ist gehackt und vom Provider (Strato) gesperrt ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 4 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 11 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 22 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless16 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...