[Gelöst] Hilfe: David scheint SPAM-Mails zu generieren

netmax · 30. Mai 2012

Hi all,

ich habe hier gerade eine sehr mysteriöse Situation: Alle 30 Minuten finde ich exakt 3 Spam-Mails in meinem "Unverteilt"-Ordner, Inhalt variiert:

Code

35Mm Lumix Review, <a 
href="http://daeeqmmqtbip.blogtrue.com/article/7057065/Fathers-Day-Unique-Gifts- 


Engraved">Father's Day Unique Gifts Engraved</a>,  :-P, <a 


href="F">http://upbucocsncb.blogtrue.com/article/7022348/Fathers-Day-Thoughts-Nz">F 


athers Day Thoughts Nz</a>,  34673, <a 
href="http://mnmlqjhiuqk.blogtrue.com/article/7164016/Electronic-Cigarette-Vapor 


-Harmful">Electronic Cigarette Vapor Harmful</a>,  797, <a 


href="http://pizvvsxoap.blogtrue.com/article/7032014/Electronic-Cigarette-Wowche 


r">Electronic Cigarette Wowcher</a>,  856, <a 
href="Father's">http://sfqnjiol.blog.cz/1205/father-s-day-sacred-songs">Father's 
Day 
Sacred Songs</a>,  8DD, <a 
href="E">http://urorgdjmos.blogtrue.com/article/7053614/E-Cigarette-Curve">E 


Cigarette Curve</a>,  860, <a 
href="Win">http://cpcbxpnnslf.blogtrue.com/article/7013088/Windows-8-Cuando-Sale">Win 


dows 8 Cuando Sale</a>,  :-[[[, <a 
href="Father's">http://zntwkpon.blog.cz/1205/father-s-day-kindergarten-essay">Father's 


Day Kindergarten Essay</a>,  99734, <a 
href="http://dnebmoiwrqdh.blogtrue.com/article/7138943/Jewish-Fathers-Day-Quotes 


">Jewish Father's Day Quotes</a>,  770, <a 
href="Fathers">http://arvlmurs.blog.cz/1205/fathers-day-1-jordan">Fathers 
Day 1 Jordan 
</a>,  >:-D, <a 
href="Father's">http://fzjxqjmi.blog.cz/1205/father-s-day-lunch-ideas-new-dad">Father's 


Day Lunch Ideas New Dad</a>,  8((, <a 
href="http://kgymftwyxndpmu.blogtrue.com/article/7151092/Microsoft-Windows-8-Tpb 


">Microsoft Windows 8 Tpb</a>,  stnfmh, <a 
href="http://axtlrvdzwukndh.blogtrue.com/article/7006682/Smoke-Free-Electronic-C 


igarette-Uk">Smoke Free Electronic Cigarette Uk</a>,  182, <a 


href="http://celqhponvjstls.blogtrue.com/article/7151536/Purl-Bee-Fathers-Day-Ti 


e">Purl Bee Father's Day Tie</a>,  dfksk, <a 
href="Fathers">http://zvxwrmqb.blog.cz/1205/fathers-day-ideas-party">Fathers 
Day Ideas 
Party</a>,  644, <a 
href="http://anlryleeynocd.blogtrue.com/article/7036467/E-Cigarette-And-Airplane 


s-Egypt">E Cigarette And Airplanes Egypt</a>,  =-[[, <a 


href="http://knsdnlwfjprevd.blogtrue.com/article/7007582/Electronic-Cigarette-Sa 


fety-2011">Electronic Cigarette Safety 2011</a>,  :], <a 


href="http://eeyxeifmgmyg.blogtrue.com/article/7040966/Electronic-Cigarette-Revi 


ew-Taste">Electronic Cigarette Review Taste</a>,  =-P, <a 


href="http://zcyiebzjjfj.blogtrue.com/article/7152514/Fathers-Day-Presents-Ideas 


-From-Daughter">Fathers Day Presents Ideas From Daughter</a>,  nlw, 
<a 
href="Father's">http://ebvkatvf.blog.cz/1205/father-s-day-thoughts-june-2013">Father's 


Day Thoughts June 2013</a>,  okz, <a 
href="http://lvoayocbcx.blogtrue.com/article/7158030/Fathers-Day-Quotes-Sarcasti 


c">Fathers Day Quotes Sarcastic</a>,  8-PP, <a 
href="http://knbgpxfhbdcq.blogtrue.com/article/7017377/Electronic-Cigarette-Buy- 


Com">Electronic Cigarette Buy Com</a>,  mij, <a 
href="http://phtiszxqjhdw.blogtrue.com/article/7013204/Electronic-Cigarette-Kala 


mazoo-Michigan">Electronic Cigarette Kalamazoo Michigan</a>,  
>:-]], <a 
href="E">http://vobotlucihc.blogtrue.com/article/7030800/E-Cigarette-Juice-Skin">E 


Cigarette Juice Skin</a>,  supqt,  




------------------------------------------------------------------------ 




Sender: 
Yqwuujsv

Alles anzeigen

Absender ist jeweils eine zufällige Buchstabenkombinaion, gerichtet an "webmaster@meinedomain.de", wobei meinedomain.de meine primäre David-Domain ist.

Ich versuche irgendwie an den Ursprung der seltsamen Mails zu kommen, aber die Logs meines vorgeschalteten Spam-Proxy sind komplett einwandfrei.

Im Eingangsprpotokoll des David finde ich die Mails wie folgt (Beispiel):
Betreff: hfjdksafjsdfzho
Zeit/Datum: Zeitstempel der Mail
von: fjlsdlkjdf@fkodpfmk.com
An: webmaster@meinedomain.de
Port: Internal (!!!!)
Benutzer: David Archive

Nächster Versuch:

Alle Ports für den Externzugriff (SMTP, AMTP AUTH, IMAP) auf den David blockiert, Mail Access Server-Dienst gestoppt (Holt damit keine Mails mehr von meinem Rootserver ab) - und immer noch "entstehen" diese eMails.

Postman-Status zeigt mir nur, dass David die Nachrichten mangels lokaler Zustellbarkeit an meinen Smarthost weitersendet, allerdings ist das Fenster auch viel zu klein und zu kurz (FRAGE: Kann ich irgendwie David dazu bringen, "richtige" Logfiles für die Dienste auf die Platte zu schreiben?)

Ein Rechtsklick im David Client auf solch eine Mail -> Eigenschaften -> Erweitert: Es kommt nur das Fenster "Keine erweiterten Eigenschaften vorhanden" - also keinerlei SMTP-Kommunikation, Headerinformationen etc.

Im Moment bin ich völlig ratlos und für jeden Hinweis dankbar, wie ich Informationen über die Entstehung der Spam-Mails erhalten kann!

Spike · 30. Mai 2012

Könnte ein SPAM versand per webbox (Gästebuch oder Kontaktformular) sein. Würde mal testweise die webbox beenden um der Ursache auf den Grund zu gehen oder einfach Gästebuch und Kontaktformular löschen, wenn die Beispielseiten eh nicht benutzt werden.

netmax · 30. Mai 2012

Hi Spike,

sehr guter Tipp, danke!

Ich hatte im Ausgangsbuch des David System User eine Art "Autoreply" an den vermeintlichen Absender gefunden mit dem Text:

Code

Thanks for your message to meinedomein.de.  
The message has been forwarded  to  
the relevant person and will be taken care of immediately. 


Your  company name meinedomein.de

Nachdem ich mir einen Lupus gesucht hatte, wo David diesen Autoresonder erzeugt, fand ich genau dieses Template jetzt in den WWW-Templates der Webbox unter "INTL / Contact". Heiße Spur!

Letztendlich konnte ich das Problem exakt nachstellen, indem ich den Pfad des Formulars in den Webbrowser eingab ... da ist dann nix mehr mit Passwortabfrage. Also muss der oder "das" Angreifer(tool) doch sehr gezielt auf einen David am Webport abgescannt haben ... eher ungewöhnlich da David nicht gerade ein weltweit sehr verbreiteter Mailserver ist.

Dann ändere ich mal eben den ganzen Default-Krams in der Webbox um und es sollte damit gut sein.

Danke nochmal!

Marco

[Gelöst] Hilfe: David scheint SPAM-Mails zu generieren

Jetzt mitmachen!

Teilen