Mijn server stuurt spam mails

This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

  • Ik kreeg een melding van hotmail dat een van mijn servers spam aan het versturen was.
    Heel vreemd, want ik dacht dat mijn klanten betrouwbaar waren.

    Na wat zoeken bleek dat een bepaalde oude website een registratie formulier heeft waarop een bruteforce aanval werd uitgevoerd.
    Hierbij werden verschillende email adressen automatisch ingevoerd en getest.
    De ongelukkige gebruikers waarvan hun gegevens op deze bot zijn lijst zijn gekomen, kregen dus een registratie mail bij elke poging.

    Nu lijkt het achteraf heel simpel, maar om eerlijk te zijn wist ik niet waar te zoeken toen ik begon.

    Hoe pak je dit best aan als je directadmin gebruikt?

    1) Ik heb meteen een limiet ingesteld op mijn server van max 200 mails per dag te mogen versturen:
    echo 200 > /etc/virtual/limit

    2) Dan ben ik gaan kijken welke gebruiker (website) de meeste mails verstuurd heeft:
    ls -la /etc/virtual/usage
    Het grootste bestand heb ik eerst bekeken.
    Dit gaf me meteen een idee vanaf welke user de spam kwam.

    3) Vervolgens ben ik gaan kijken welk script welke soort mails verstuurd.
    Ik ben ingelogd in de account van de grootste user en ging naar:
    User Level -> E-Mail Accounts -> E-Mail Usage


    Vervolgens zag ik onderaan meteen welk php script de mails verstuurde en heb ik een captcha op deze registratie pagina gezet.


    4) Op zich was ik klaar, maar wou toch nog een beetje verder zoeken:
    Admin Level -> Mail Queue Admin
    Hier kun je zien welke mails in de wachtrij staan.
    Dit heb ik voor de zekerheid ook nagekeken.

    5) Ik heb dit dan ook dubbel gecontroleerd door te kijken naar het bestand:
    /home/username/.php/php-mail.log
    Dan zie je vanuit php welke mails er worden verstuurd vanuit de hosting van die gebruiker.




    Nu kon het natuurlijk ook zijn dat het helemaal niet via een script ging, maar dat bv een email account van een gebruiker was gehackt.
    Dit kon je wel zien in stap 3, maar zo kun je zien wie er bv probeert in te loggen op email accounts van je klanten:

    cd /var/log/exim
    grep 'A=login:' mainlog* | less


    Verder kun je als dat niets oplevert ook nog altijd kijken in je exim logs.
    cd /var/log/exim
    eximstats mainlog > stats.txt
    less stats.txt


    Als laatste raad ik ook aan om DKIM op te zetten voor elk van je domeinen.
    Dan verwittigt hotmail je sneller (als je deelneemt aan hun anti-spam programma) en kun je sneller inspelen op dit soort problemen. :D
    Groetjes,
    Laura
    xxx

    1,700 times read

Comments 2

  • Laura -

    Hallo FangorN,

    Ik heb inderdaad eerst de klant ingewikkeld dat ik hun website zou wijzigen en ze de gevolgen van de captcha uitgelegd.

    De input validatie op het formulier stond gelukkig wel nog goed.

  • FangorN -

    "Vervolgens zag ik onderaan meteen welk php script de mails verstuurde en heb ik een captcha op deze registratie pagina gezet."
    Heb je dit op verzoek van de klant(en) gedaan en beheer jij dan ook tevens de code van de websites?

    Overigens hoop ik dat die formulieren zich ook bedienen van een soort van input filtering, anders is het wellicht nog steeds mogelijk om mail headers te injecteren indien je (een soort van) MIME mail gebruikt.