Sicherheitslücke in Dovecot

  • Hab gerade nicht mehr den Befehl parat um mit du - h nach Größe absteigend zu sortieren?

    Anders such ich mir den Wolf.

    Vermute ein temp-Verzeichniss.

    Vielen Dank für die Unterstützung,

    Urlaubsgrüsse,

    der VeloRudiX

  • Der Befehl du kann glaub ich nicht sortieren. Dies ginge höchstens mit

    Bash
    du -h | sort -rh

    Ich nutze gerne

    Bash
    find / -type d -exec du -Sh {} \+ | sort -rh | head -30

    Man darf sich nur nicht von den Fehlern mit /proc irritieren lassen.


    Ich würde aber Mal bei /usr/local und /var/log schauen. Das sind bei mir oft die ersten Stellen, wo schnell Mal Platz verbraucht wird.

  • ... so konnte endlich ein Update auf die SE 6.0338 machen, jhedoch laufen in /var/log/ ständig folgende Dateien voll. Und das im Abstand von Bruchteilen einer Sekunde. Was ist da los, stehe anscheinend unter Dauerbeschuss.

    HILFE, HILFE, HILFE ....


    1.) mail.log

    Sep 6 13:13:15 vpscobra qmail: 1567768395.150302 status: local 0/10 remote 19/20

    Sep 6 13:13:15 vpscobra qmail: 1567768395.150311 starting delivery 57801: msg 530001 to remote auditor1@eastlandcountytexas.com

    Sep 6 13:13:15 vpscobra qmail: 1567768395.150318 status: local 0/10 remote 20/20

    Sep 6 13:13:15 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table

    Sep 6 13:13:15 vpscobra qmail: 1567768395.238074 new msg 537760

    Sep 6 13:13:15 vpscobra qmail: 1567768395.238116 info msg 537760: bytes 1403 from <etta@service4it.com> qp 26128 uid 1015

    Sep 6 13:13:15 vpscobra qmail-smtpd: domain icarus.freeuk.com not in domains or codomains table

    Sep 6 13:13:15 vpscobra qmail-smtpd: domain winderstein.de not in domains or codomains table

    Sep 6 13:13:15 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table

    Sep 6 13:13:15 vpscobra qmail: 1567768395.306396 delivery 57795: deferral: 108.177.127.26_failed_after_I_sent_the_message./Remote_host_said:_421-4.7.0_[185.13.148.168______15]_Our_system_has_detected_that_this_message_is/421-4.7.0_suspicious_due_to_the_very_low_reputation_of_the_sending_IP_address./421-4.7.0_To_protect_our_users_from_spam,_mail_sent_from_your_IP_address_has/421-4.7.0_been_temporarily_rate_limited._Please_visit/421_4.7.0__https://support.google.com/mail/answer/188131_for_more_information._18si2402267ejv.41_-_gsmtp/

    Sep 6 13:13:15 vpscobra qmail: 1567768395.306505 status: local 0/10 remote 19/20

    Sep 6 13:13:15 vpscobra qmail: 1567768395.306514 starting delivery 57802: msg 530001 to remote auditoria@ctv.es

    Sep 6 13:13:15 vpscobra qmail: 1567768395.306522 status: local 0/10 remote 20/20


    2.) mail.warn

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain yahoo.com not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain hotmail.com not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain yahoo.es not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain ath.cz not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain hotmail.com not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain yahoo.com not in domains or codomains table

    Sep 6 13:15:28 vpscobra qmail-smtpd: domain yahoo.com not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain yahoo.de not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain mail.sce.cz not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain hotmail.com not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain yahoo.com not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain phil.muni.cz not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain hotmail.com not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain orbitsw.de not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table

    Sep 6 13:15:29 vpscobra qmail-smtpd: domain gmail.com not in domains or codomains table


    3.) syslog

    Sep 6 13:16:20 vpscobra qmail: 1567768580.430553 delivery 60140: failure: Connected_to_104.47.14.33_but_sender_was_rejected./Remote_host_said:_550_5.7.1_Unfortunately,_messages_from_[185.13.148.168]_weren't_sent._Please_contact_your_Internet_service_provider_since_part_of_their_network_is_on_our_block_list_(S3150)._You_can_also_refer_your_provider_to_http://mail.live.com/mail/troubleshooting.aspx#errors._[VI1EUR04FT023.eop-eur04.prod.protection.outlook.com]/

    Sep 6 13:16:20 vpscobra qmail: 1567768580.430595 status: local 0/10 remote 19/20

    Sep 6 13:16:20 vpscobra qmail: 1567768580.430604 starting delivery 60141: msg 532921 to remote baradero_2005@hotmail.com

    Sep 6 13:16:20 vpscobra qmail: 1567768580.430863 status: local 0/10 remote 20/20

    Sep 6 13:16:20 vpscobra qmail: 1567768580.445567 new msg 538416

    Sep 6 13:16:20 vpscobra qmail: 1567768580.445817 info msg 538416: bytes 781 from <rudi@ullmert.de> qp 1770 uid 1015

    Sep 6 13:16:20 vpscobra qmail-smtpd: domain maninet.co.kr not in domains or codomains table

    Sep 6 13:16:20 vpscobra qmail: 1567768580.455236 delivery 60138: failure: Connected_to_104.47.14.33_but_sender_was_rejected./Remote_host_said:_550_5.7.1_Unfortunately,_messages_from_[185.13.148.168]_weren't_sent._Please_contact_your_Internet_service_provider_since_part_of_their_network_is_on_our_block_list_(S3150)._You_can_also_refer_your_provider_to_http://mail.live.com/mail/troubleshooting.aspx#errors._[VI1EUR04FT050.eop-eur04.prod.protection.outlook.com]/

    Sep 6 13:16:20 vpscobra qmail: 1567768580.455256 status: local 0/10 remote 19/20

    Sep 6 13:16:20 vpscobra qmail: 1567768580.455265 starting delivery 60142: msg 530168 to remote barajasmadrid@hotmail.com

    Sep 6 13:16:20 vpscobra qmail: 1567768580.455272 status: local 0/10 remote 20/20

    Sep 6 13:16:20 vpscobra qmail: 1567768580.483508 delivery 60121: success: 103.224.212.34_accepted_message./Remote_host_said:_250_I've_put_it_in_a_can/

    Sep 6 13:16:20 vpscobra qmail: 1567768580.483582 status: local 0/10 remote 19/20

    Sep 6 13:16:20 vpscobra qmail: 1567768580.483591 starting delivery 60143: msg 530168 to remote baran@telefonica.net

    Sep 6 13:16:20 vpscobra qmail: 1567768580.483599 status: local 0/10 remote 20/20

    Sep 6 13:16:20 vpscobra qmail-smtpd: domain goizper.com not in domains or codomains table


    Vielen Dank für Euer Feedback zur Abhilfe,

    Gruß RudiX

  • Nee, da läuft lediglich eine aktuelle Typo3-Installation, bei der ich soeben das Kontaktformular deaktiviert habe.

    Hat aber leider keinen Erfolg gebracht. Müsste eventuell die Maildienste abschalten? Aber ohne Mail ist natürlich schlecht.


    Tja, immer noch Dauer-Log-Einträge,

  • solange nicht klar ist woher es kommt sollte der SMTP Dienst deaktiviert werden. Wird dieser nicht gestoppt, landet man auf immer mehr Blacklists. Und das Delisting ist dann immer zusätzlich Aufwand.


    Es muss auch kein Kontaktformular sein. Eine Sicherheitslücke in einem Plugin reicht aus. Dazu sollte man sich das access_log anschauen. Meist hat man eine IP, welche viele POST Anfragen schickt.


    Ansonsten kann es auch eine kompromittierte Mailbox sein. Dann sollte eigentlich das Mail-Submission-Limit greifen... Aber hab schon gesehen, dass dieser Wert extrem hoch gesetzt wurde ?

    In dem Zusammenhang muss es dann auch nicht unbedingt nur Port 25 sein. Es kann auch über Port 465 und 587 eingeliefert werden.


    Die Ausschnitte aus den Logs sind für mich leider unbrauchbar. Ich konnte keine zusammenhängende Zustellung sehen. So hat man ein Indiz auf ein mögliches Problem. Große Logs sollten dann auch besser per txt Datei als Anhang gepostet werden. Macht das Lesen des Threads angenehmer ?


    btw gehört dies eher in einen eigenen Thread, da es wohl nichts mit der Sicherheitslücke zu tun hat.

  • lsof -i tcp:25

    COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

    qmail-rem 1431 qmailr 3u IPv4 3526456 0t0 TCP vpscobra.service4it.com:50208->server106.citromail.hu:smtp (ESTABLISHED)

    qmail-rem 7924 qmailr 3u IPv4 3551490 0t0 TCP vpscobra.service4it.com:41438->mail3.ciao.com:smtp (ESTABLISHED)

    qmail-rem 23519 qmailr 3u IPv4 3624075 0t0 TCP vpscobra.service4it.com:59000->104.28.28.86:smtp (SYN_SENT)

    qmail-rem 24148 qmailr 3u IPv4 3615913 0t0 TCP vpscobra.service4it.com:58070->204.11.56.48:smtp (SYN_SENT)

    qmail-rem 24310 qmailr 3u IPv4 3614539 0t0 TCP vpscobra.service4it.com:35482->154.197.154.104.bc.googleusercontent.com:smtp (SYN_SENT)

    qmail-rem 24321 qmailr 3u IPv4 3615362 0t0 TCP vpscobra.service4it.com:46264->lswww.lehman.com:smtp (SYN_SENT)

    qmail-rem 24818 qmailr 3u IPv4 3618731 0t0 TCP vpscobra.service4it.com:55686->us-hpswa-esg-01.alcatel-lucent.com:smtp (SYN_SENT)

    qmail-rem 24852 qmailr 3u IPv4 3617937 0t0 TCP vpscobra.service4it.com:34986->cxr.mx.a.cloudfilter.net:smtp (ESTABLISHED)

    qmail-rem 24986 qmailr 3u IPv4 3618432 0t0 TCP vpscobra.service4it.com:53354->185.53.177.31:smtp (SYN_SENT)

    qmail-rem 25682 qmailr 3u IPv4 3620826 0t0 TCP vpscobra.service4it.com:58362->204.11.56.48:smtp (SYN_SENT)

    qmail-rem 26005 qmailr 3u IPv4 3377128 0t0 TCP vpscobra.service4it.com:36888->esa2.hc3370-68.iphmx.com:smtp (ESTABLISHED)

    qmail-rem 26069 qmailr 3u IPv4 3622239 0t0 TCP vpscobra.service4it.com:44920->http://www.terra.es:smtp (SYN_SENT)

    qmail-rem 26082 qmailr 3u IPv4 3622257 0t0 TCP vpscobra.service4it.com:44922->http://www.terra.es:smtp (SYN_SENT)

    qmail-rem 26612 qmailr 3u IPv4 3624196 0t0 TCP vpscobra.service4it.com:54124->hal-9000.nicsys.de:smtp (SYN_SENT)

    qmail-rem 26797 qmailr 3u IPv4 3625549 0t0 TCP vpscobra.service4it.com:38192->mail.lsi.usp.br:smtp (ESTABLISHED)

    qmail-rem 26902 qmailr 3u IPv4 3624460 0t0 TCP vpscobra.service4it.com:47122->mx0.bresnan.net.msg.chrl.nc.charter.net:smtp (ESTABLISHED)

    qmail-rem 26978 qmailr 3u IPv4 3624718 0t0 TCP vpscobra.service4it.com:44488->smtp.theworld.com:smtp (ESTABLISHED)

    qmail-rem 26981 qmailr 3u IPv4 3625935 0t0 TCP vpscobra.service4it.com:54416->185.53.178.6:smtp (SYN_SENT)

    qmail-rem 26984 qmailr 3u IPv4 3625947 0t0 TCP vpscobra.service4it.com:59286->123.128.17.93.rev.sfr.net:smtp (ESTABLISHED)


    sagt mir jetzt aber nix ;-((


    Die Sache hat sich inzwischen auch beruhigt.