Leslie Schnee – Blog

Die automatische Serverüberwachung bei PS-Webhosting hat heute Vormittag den Stopp des E-Mailversandes von sogenannten Formular-Mails gemeldet, auf Grund sehr vieler Einlieferungen in kurzer Zeit - ein Indiz für Spam über eine gehackte Kundenseite.

Ein Login auf unserem Mailrelay-Server, auf dem seit Urzeiten noch qmail läuft, offenbart das Ausmaß der Spamattacke:

turbocalculon:/home/ls# qmailctl stat
/service/qmail-send: down 677 seconds, normally up
/service/qmail-send/log: up (pid 2351) 10362937 seconds
/service/qmail-smtpd: down 77 seconds, normally up
/service/qmail-smtpd/log: up (pid 2349) 10362937 seconds
messages in queue: 212969
messages in queue but not yet preprocessed: 7813

Über zweihunderttausend E-Mails wurden in kurzer Zeit eingeliefert. Beim Betrachten einer dieser Mails in der Queue konnte man schnell den Verursacher ausfindig machen; das von uns auf den Webhosting-Servern eingesetzte Programm nullmailer, welches die durch Kontaktformulare, Gästebücher und Onlineshop-Bestellbestätigungen generierten E-Mails an das o.g. Mailrelay weiterleitet, schreibt die User-ID jeder E-Mail in den Header:

Received: (qmail 18107 invoked from network); 2 Feb 2010 12:13:44 -0000
Received: from unknown (HELO turbolrrr.planet-school.de.planet-school.de) (194.116.187.71)
by 0 with SMTP; 2 Feb 2010 12:13:44 -0000
Received: (nullmailer pid 12051 invoked by uid 1411);
Tue, 02 Feb 2010 02:51:53 -0000
To: pmriosaude@slavenet.com.br
Subject: Segurana On-line: Seu dispositivo de segurana expirou.
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Ita Bankline <clientes.bankline@online.com.br>
Date: Tue, 02 Feb 2010 03:51:53 +0100
Message-Id: <1265079113.076354.12050.nullmailer@turbolrrr.planet-school.de.planet-school.de>

Durch die genannte User-ID 1411 kann man anhand der /etc/passwd Datei des ebenfalls genannten Webservers den Kunden ermitteln. In diesem Fall war (wie so oft) eine veraltete Installation des Content-Management-Systems Joomla für den Spamversand verantwortlich. Die "Hacker", hier offenbar aus Brasilien, suchen gezielt über Google nach Joomla-Installationen und versuchen durch Ausnutzung bekannter Sicherheitslücken Code einzuschleusen, um damit dann Spam/Phishing-Mails im großen Rahmen zu versenden. Warum nutzen die Spammer keine eigenen Server? Diese sind in der Regel sehr schnell geblacklistet und damit für die allermeisten Mailserver nicht mehr vertrauenswürdig. Man ist daher immer auf der Suche nach "sauberen" Maschinen.

Das Problem war schnell gelöst, mittels qmail-remove sucht man nach einem eindeutigen Begriff, der in jeder der Spammails vorkommt (und in keiner normalen E-Mail, die sich ebenfalls in der Queue befindet, vorkommen sollte!):

qmail-remove -p "expirou" -d

Vorher qmail anhalten (qmailctl stop).

Vorher wurde noch der nullmailer auf dem Webhosting-Server angehalten (/etc/init.d/nullmailer stop) und die Queue in /var/spool/nullmailer/queue ebenfalls bereinigt (durch einfaches löschen der Maildateien mit der User-ID des Kunden).

Und wieder eine Spam-E-Mail, die nicht als solche erkannt wurde. Dieses mal sucht Evgeniya aus Russland sehnsuchtsvoll nach dem Mann fürs Leben, mit dem sie so gerne eine Familie gründen würde:

From: ghfgfxsf@yahoo.com
Subject: My name is Evgeniya

Hello. I liked information about you. My name is Evgeniya and I'm from Russia. As to me, I search serious relations with the purpose of creation of family. Probably, we could find out more about each other. Please, send me more photos. You can reach me at: ghfgfxsf@yahoo.com

Dieses Mal gibt es sogar keine widersprüchlichen Angaben zum Namen oder zur E-Mailadresse. Die E-Mail wurde laut Header nicht über yahoo.com eingeliefert, sondern über server3.artpro.com.ua.

Männer, wie immer der Aufruf: Macht Euch trotz des hübschen Lächelns von Evgeniya keine Hoffnungen. Sie bzw. die Kerle, die hinter den Machenschaften stecken, wollen nur Euer Geld! Es ist die gleiche Masche wie hier, hier und hier.

Tja, heute habe ich endlich mal wieder eine persönliche E-Mail von Irina bekommen, die mich unbedingt kennern lernen will und schon sehnsüchtig auf meine Antwort wartet:

From: Brigitte Aragon <0-jx@kdn.ktguide.com>
Subject: I would like to have correspondence with you

Hello!
I am very interesting you, i want to get to know you better if you not
mind, please answer me and i will tell you more about myself.
I would like to have correspondence with you on regular e-mail.

Please reply only to my personal e-mail: tere4umae@gmail.com

I give you the address.
I hope to see today your letter.

Irina

Solche Mails erhalte ich öfters, siehe hier und hier.
Tja, Brigitte ääääh Irina, wirst Du wohl leider lange auf eine Antwort von mir warten müssen... Und auch den anderen Jungs sei gesagt: Macht Euch keine Hoffnung, dass Irina ernsthaftes Interesse an Euch hat. Sorry!

Zudem heute gefunden: Sixt mal wieder mit einer hochaktuellen und brisanten Werbung. Thumbs up!

Und heute geht es wieder los. Dieses Mal werde ich dutzende Male zugespammt von Liya aus Tadschikistan, die so gerne nach Deutschland kommen möchte:

Hallo der Freund. Verwundere sich uber meinen Brief nicht. Ich sah dein Profil auf Hotornot.de. Und ich habe entschieden, dir den kurzen Brief zu schreiben. Der Fruhling die am meisten passende Zeit fur die Bekanntschaft und den Anfang der neuen Beziehungen. Ich hoffe mich dass du ebenso willst Du kennenlernen.
Meinen Namen Liya. mir 29 Jahre. Jetzt wohne ich in Spanien bei meiner Schwester. Kurz danach plane ich, zu Deutschland anzukommen, zu zu wohnen. Warum in Deutschland?, weil ich die Deutsche und russisch auf die Halfte nach der Herkunft bin. Fruher lebte ich in Tadschikistan. Aber da wohne ich schon den Geschlecht des Jahrs in Spanien.
Meine Cousine wohnt in Deutschland. Sie wird mir helfen, in Deutschland anzukommen. Ich will sagen dass ich bei dir das Geld fur die Ankunft in Deutschland nicht bitten werde. Ich habe das Visum fur die Ankunft in Deutschland. Auch werde ich das Geld haben. Ich will einfach mit dir kennenlernen. Ich will den Freund und des moglich geliebten Menschen haben wenn ich in Deutschland ankommen werde. Ich sehr einsam.

Ich glaube dass man den guten Menschen im Internet finden kann. Schreibe mir mehr uber sich. Ich ebenso werde dir mehr uber mich in meinem nachsten Brief schreiben. Frage mich uber allen dass dir interessant, uber mich zu erfahren. Auch schicke ich dir das Foto.
Deine Liya

Verschiedene Betreffs ("Hello der Fremde", "Freundschaft und Liebe. Hotornot", "Hallo Hotornot", "Guten Morgen"), immer von derselben Absender E-Mailadresse li0ii74yyaa@yahoo.es.

Und auch ein ansehnliches Foto ist gleich beigefügt:

Männer, macht Euch keine Hoffnung!!!

Vor allem auf unseren Mailservern kommt es vor, dass wir viele Dateien in "toten" Postfächern löschen müssen, in denen sich zehntausende Spam-Mails angesammelt haben (jede E-Mail=eine Datei). Wird ein bestimmter Wert von Dateien in einem Verzeichnis überschritten, erhalten wir folgende Fehlermeldung:

turbohermes:[..]/Maildir/new# rm *
bash: /bin/rm: Argument list too long

Der Befehl wird so leider nicht ausgeführt.
Folgender Befehl schafft Abhilfe und löscht sämtliche Dateien im Ordner:

ls|xargs rm

Morgen ist es wieder soweit: Valentinstag. Um diesen Tag haben unsere Mailserver vermehrt mit Spam zu kämpfen. Vermeintliche Schnäppchenangebote zur Ausspähung von Kreditkartendaten, Klingelton- oder Grußkarten-Seiten, die Trojaner beherbergen oder sogar schadhafte E-Mailanhänge, die beim Öffnen unbemerkt weiteren Spam vom infizierten Rechner versenden (auch wenn unsere Virenfilter mit nahezu einhundertprozentiger Sicherheit solche Anhänge herausfiltern). Wir selbst hosten einige (seriöse!) Grußkarten-Seiten, die besonders am Valentinstag sehr gefragt sind und bereits vor Jahren unsere Server an die Lastgrenze gebracht haben. Mittlerweile haben wir diese Seiten aber auf entsprechend leistungsstarke Server verteilt.

Also: Morgen den Valentinstag nicht vergessen und die Liebste erfreuen. I am happy about Valentine's Day this year! Why? See "Löbliches Kuba"!

..heitern die Arbeitszeit auf! Soeben per E-Mail erhalten:

Hallo!

Hey Mann, Sie sind interessant, sich mit schonen Frau?
Ich interessiere mich fur eine gute Person))) Was denkst du daruber??
Mein Name ist Swetlana. Ich komme aus Russland. Senden Sie mir ein paar neue Fotos von deinem Leben, und wir wird kommunizieren.
Meine E-Mail lovelynight87@gmail.com
WBR, Svetlana

Heißt sie nun Swetlana oder Svetlana?

Fotoanhang:

Update 14:15 Uhr: Dieser Blog-Eintrag ist bereits bei Google erfasst und siehe da, ungewöhnlich viele Menschen gelangen über eine Suche nach der E-Mailadresse lovelynight87@gmail.com auf diesen Beitrag. Also, liebe Männer, macht Euch keine Hoffnung. Swetlana ist wohl eher nicht darauf aus, Euer Herz zu erobern.. Sorry!

Leider kommt es auf unserem Mailrelay-Server sehr oft vor, dass beispielsweise über gehackte Formulare, Content-Management-Systeme oder sonstige PHP-Scripte Unmengen an Spam versendet werden.

Wir haben bei PS-Webhosting einen eigenen Mailserver, der von den einzelnen Webhosting-Servern die (Formular-)Mails bekommt und dann versendet. Die einzelnen Hosting-Server leiten also Mails, die zum Beispiel mit der mail Funktion von PHP verschickt werden (Anmeldebestätigungen von Foren, Mails aus Kontaktformularen) an diesen Server weiter. Üblicherweise werden so höchstens einige hundert Mails pro Minute versendet. Sind es einige Tausend, ist das erstmal verdächtig und deutet auf Spam hin[*]. Hierfür haben wir ein Script geschrieben, auf dessen Erläuterung ich jetzt mal verzichte. Es sollte aber für den Einen oder Anderen durchaus hilfreich sein, und wenn es nur als Denkanstoß dient:

#!/bin/bash
MSGSENT=0
LASTMCOUNTFILE="/var/run/mail.count"
let CURMCOUNT=`cat /var/log/qmail/current  | grep 'accepted' | grep -v '194.116.187.' | wc -l`+`qmailctl queue | head -1 | tr -d ' ' | cut -d: -f2`
if [ ! -f $LASTMCOUNTFILE ]
then
echo $CURMCOUNT > $LASTMCOUNTFILE
exit 1
fi
LASTMCOUNT=`head -1 $LASTMCOUNTFILE`
let DIFFMCOUNT=$CURMCOUNT-$LASTMCOUNT
if [ $DIFFMCOUNT -ge 1200 ]
then
if  [ $DIFFMCOUNT -ge 2600 ]
then
svc -d /service/qmail-send
ADDMESS="+-DELIVERSTOP-"
wget -O/dev/null -q "http://xxx.xxxxxxx.de/alertscript?from=Abuse&text=eMAIL-MENGENWARNUNG$ADDMESS+($DIFFMCOUNT+$HOSTNAME)"
MSGSENT=1
fi
if [ $MSGSENT -eq 0 -a `dig @194.116.186.1 +noall +answer txt mailcount-$HOSTNAME.1800s.timer.ps-server.net | tr -s '\t' ' ' | cut -d' ' -f2` -ge 1780 ]
then
wait 1
#wget -O/dev/null -q "http://xxx.xxxxxxx.de/alertscript?from=Abuse&text=eMAIL-MENGENWARNUNG$ADDMESS+($DIFFMCOUNT+$HOSTNAME)"
fi
fi
echo $CURMCOUNT > $LASTMCOUNTFILE

"http://xxx.xxxxxxx.de/alertscript" ist dabei ein externes Programm, welches uns die Meldung, dass der Mailserver angehalten wurde, auf unsere Pager schickt. Das Programm hat also erkannt, dass im Zeitraum X mehr als üblich E-Mails verschickt wurden und den Mailversand mit

svc -d /service/qmail-send

angehalten. Eingehende Mails werden aber weiter angenommen und landen in der Queue.

Die Queue und die einzelnen Mails darin finden wir in einer Standardinstallation unter /var/qmail/queue/mess. In diesem Ordner finden sich verschiedene Unterordner, in denen sich die Mails als Textdatei befinden. Wir schauen uns eine der Mails mit less an und versuchen nun zunächst die Ursache ausfindig zu machen. Praktischerweise werden bei uns bei Formular-Mails die UID des Kunden und der Server immer in den Mailheader geschrieben, sodass man anhand der Server-Logfiles die Ursache recht schnell ermitteln kann.

Anschließend stoppen wir auf dem Mailserver Qmail komplett (wichtig!!) mit

qmailctl stop

damit die Queue beim Löschen nicht durcheinander kommt. Falls noch nicht vorhanden, installieren wir mit apt-get unter Debian-Linux qmail-remove und rufen es wie folgt auf der Konsole auf:

qmail-remove -p Suchbegriff

(Suchbegriff aus der Spam-Mail, also z.B. Viagra, Porn, Paypal..)

Dies listet erst einmal alle Treffer auf. Anschließend löschen wir endgültig mit:

qmail-remove -p Suchbegriff -r

-r verschiebt die E-Mails dann in einen Ordner /var/qmail/queue/yanked. Bei älteren Systemen dauert das mit dem Verschieben aber länger, deshalb kann man auch -d auswählen, dann werden die Spam-Mails direkt gelöscht.

Viel Erfolg!

[*] Das größte Problem bei dem oben genannten Spam-Erkennungs-Script liegt darin, dass zum Beispiel legale größere Newsletter von Kunden auch als Spam erkannt werden und der Mailserver anhält. Für diese vertrauenswürdigen Kunden haben wir wiederum ein eigenes System zum Versand der Newsletter eingerichtet.