Auteur Topic: Gebanned door internetprovider wegens Mailstation?  (gelezen 7121 keer)

Offline crazymans

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 27
Gebanned door internetprovider wegens Mailstation?
« Gepost op: 21 februari 2011, 21:08:28 »
Ik werd vandaag gebeld door mijn internetprovider die mij gebood mijn Synology uit te zetten en mij per direct verbied ooit nog een web/mailserver te gebruiken. Mijn server wordt verdacht van misbruik door derden. Mijn internetverbinding was inmiddels geblokkeerd, en mijn IP dusdanig geblokkeerd dat ik ook vanaf huis hier niet kan posten. Ik weet niet hoe ik er nu achter kom wat er aan de hand is. Mijn server werd via mijn domeinprovider mogelijk gebruikt voor phishing werd er gezegd.

Ik ben me vangeen kwaad bewust.Ik draaide gewoon de Synology webserver met een kleine site met php en mysql, en daarnaast de standaard mailstation en downloadstation. Heb inmiddels even bijna alle poorten op de router dichtgegooid (21, 25, 80, 143, 8080, 5000 en 7000). Daarnaast Mailstation en Webserver maar even gestopt.

Zie in var/log/messages nogal wat rare HELO en MX boodschappen staan als:
Illegal address syntax from sch74-1-88-184-221-28.fbx.proxad.net[##.###.##.##] in RCPT command: <--alpgiovanile@caisavona.it>
Feb 21 10:08:47 postfix/smtp[8413]: warning: valid_hostname: empty hostname
Feb 21 10:08:47 postfix/smtp[8413]: warning: malformed domain name in resource data of MX record for jabber.linux.it:
warning: numeric domain name in resource data of MX record for assault.com: 0.0.0.0
warning: host 0.0.0.0[0.0.0.0]:25 greeted me with my own hostname ########.nl
Feb 21 10:19:47 postfix/smtp[8727]: warning: host 0.0.0.0[0.0.0.0]:25 replied to HELO/EHLO with my own hostname ########.nl
Feb 21 10:21:41 postfix/postdrop[8872]: warning: unable to look up public/pickup: Permission denied


Krijg het idee dat het meer met mailstation als met webstation te maken heeft.
Wat kan ik nog doen om uit te zoeken wat er aan de hand is?

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #1 Gepost op: 21 februari 2011, 22:49:52 »
Voor zover ik het kan zien zonder je logs te beoordelen ben je tot open-relay gebombardeerd.
Als je meer info wilt dan moet je de logs posten of toegang geven tot.
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline crazymans

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 27
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #2 Gepost op: 22 februari 2011, 07:50:22 »
Citaat van: "cyrus1977"
Voor zover ik het kan zien zonder je logs te beoordelen ben je tot open-relay gebombardeerd.
Als je meer info wilt dan moet je de logs posten of toegang geven tot.

THX. Welke logs? var/log/messages of zijn er nog meer?
Komt dit nou domweg omdat ik een werkend Mailstation had draaien of heb ik het fout ingesteld?

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Gebanned door internetprovider wegens Mailstation?
« Reactie #3 Gepost op: 22 februari 2011, 08:09:55 »
Ik denk dat je iets niet goed had staan enerzijnds is mail een risico maar ook lekke website software als joomla zien we vaak.
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline crazymans

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 27
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #4 Gepost op: 22 februari 2011, 09:40:53 »
Citaat van: "cyrus1977"
Ik denk dat je iets niet goed had staan enerzijnds is mail een risico maar ook lekke website software als joomla zien we vaak.

Mogelijk per ongeluk relaying aanstaan in Mailstation (kan dat?). Draaide eigenlijk al een jaartje zorgeloos maar gebruikte het weinig. Kan wel zonder.
Webstation standaard met een paar php scriptjes voor WOL & shutdown & videostreaming andere PC in netwerk. Wil ik niet missen.
Moet nog een hoop googlen. Ga vanavond op zoek naar maillogfiles en een andere provider (IP nog steeds gebanned).

Krijg geen herkansing bij Telfort. Eigen server wordt gedoogd totdat het 1x fout gaat, daarna mag het niet meer.
Weet ook niet welke poorten evt. nog wel mogen. Heb nog wel torrentpoorten openstaan op de Syno...

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #5 Gepost op: 22 februari 2011, 10:49:21 »
Ik lees met belangstelling mee!
Sinds een week of twee ook Mailstation in gebruik, naar volle tevredenheid.
Moest wel ergens in een config file relay en dan de naam van de uitgaande mailserver opnemen.
Mijn eigen uitgaande mailserver kan alleen versturen voor ingelogde gebruikers.
Ik hoop dat dit niet van die zelfde problemen geeft als bij de TS starter.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline crazymans

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 27
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #6 Gepost op: 23 februari 2011, 10:28:04 »
Kan iemand mij vertellen waar de logging van mailstation staat? Kan het niet vinden. Kan ook syslog.conf niet vinden waarin je dit zou kunnen instellen ...
 
Heb inmiddels wel http logging aangezet middels http://www.synology-forum.nl/viewtopic.php?f=32&t=4835
Misschien toch via Webstation gehacked zoals dit topic vermeld?

Offline klen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 30
  • Berichten: 416
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #7 Gepost op: 23 februari 2011, 11:46:38 »
dovecot en postfix loggen via syslog
Vermoedelijk komen die dan in /var/log/messages

Let op, misschien moet je de file /etc/syslog.deny editen en voor het woord info een '#" zetten
#info
De levels van het log mechanisme die NIET in de logfile komen staan in deze file. Als je er een commentaar-teken voor zet worden deze levels WEL gelogd.
--
DS-412+ DSM 5.x
DS-112j  DSM 5.x
DS-107+ DSM 2.3-1157

Offline crazymans

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 27
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #8 Gepost op: 23 februari 2011, 13:11:17 »
Dank voor de uitleg. Heb de syslog.deny aangepast en info en notice weggehekt. Eigenlijk te laat, want mailstation staat inmiddels uit, maar ik ben nog steeds op zoek naar problemen. Misschien levert het wat op!

Offline crazymans

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 27
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #9 Gepost op: 23 februari 2011, 19:51:40 »
Heb dan toch nog een groot deel van logging gevonden en het ziet er inderdaad uit als misbruik. In /var/spool/postfix/defer/ staan een paar honderd bestanden met elk een stuk of 10 van onderstaande meldingen. De inhoud van de berichten heb ik nog niet gevonden, en ik weet ook nog steeds niet hoe dit heeft kunnen gebeuren. Dit zijn aleen maar de berichten die nog niet verstuurd waren ...

<naam@inwind.it>: delivery temporarily suspended: connect to inwind.it[1.2
54.254.253]:25: Connection timed out
recipient=naam@inwind.it
offset=502
status=4.4.1
action=delayed
reason=delivery temporarily suspended: connect to inwind.it[1.254.254.253]:25: C
onnection timed out

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #10 Gepost op: 23 februari 2011, 21:47:39 »
Als ik je posting zo bekijk ben je inderdaad als open relay gebruikt. Via internet kan je testen of je nog steeds een openrelay bent.

Kijk maar eens op: http://www.abuse.net/relay.html

Zorg wel dat de juiste poorten naar je router zijn geforward anders zie je de info van de verkeerde machine.

trouwens:
Zie je iets als je via ssh (root) ingeeft:

mailq
Mochten er nog mails in de queue zitten dan kan je de mailqueue leeg maken per mail of in een keer;
postsuper -d ALL
alles in een keer of
postsuper -d mailid
of alleen de mails met defered status:
postsuper -d ALL deferred
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #11 Gepost op: 23 februari 2011, 22:07:55 »
Heb even zitten vogelen. Wellicht heb je hier (of iemand anders) in de toekomst wat aan

#!/usr/bin/perl
 
$REGEXP = shift || die "no email-adress given (regexp-style, e.g. bl.*@yahoo.com)!";
 
@data = qx</usr/sbin/postqueue -p>;
for (@data) {
  if (/^(w+)(*|!)?s/) {
     $queue_id = $1;
  }
  if($queue_id) {
    if (/$REGEXP/i) {
      $Q{$queue_id} = 1;
      $queue_id = "";
    }
  }
}
 
#open(POSTSUPER,"|cat") || die "couldn't open postsuper" ;
open(POSTSUPER,"|postsuper -d -") || die "couldn't open postsuper" ;
 
foreach (keys %Q) {
  print POSTSUPER "$_n";
};
close(POSTSUPER);

Opslaan op je server als bijvoorbeeld bestandsnaam.pl en chmod +x bestandsnaam.pl
Gebruik alsvolgt.

bestandsnaam.pl spamdomain.com

of

bestandsnaam.pl xyzs

waarbij xyzs een deel kan zijn wat in het afzender adres voorkomt.
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline crazymans

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 27
Re: Gebanned door internetprovider wegens Mailstation?
« Reactie #12 Gepost op: 24 februari 2011, 09:28:08 »
Citaat van: "cyrus1977"
Als ik je posting zo bekijk ben je inderdaad als open relay gebruikt. Via internet kan je testen of je nog steeds een openrelay bent.

Kijk maar eens op: http://www.abuse.net/relay.html

Zorg wel dat de juiste poorten naar je router zijn geforward anders zie je de info van de verkeerde machine.


THX. Kan het nu niet checken (@work) maar ga hier zsm. mee aan de slag! Heb alle mailpoorten dicht gegooid en ben niet van plan om ze nog open te zetten.
Sta op de lijst van Spamhaus en kan met mijn eigen internetverbinding hier niet eens posten. Kan ik ook nog ergens de inhoud van deze spamberichten vinden?

Vind het ook wel belangrijk om te weten of ik veilig poort 80 weer kan openzetten, wat dat wil ik graag. Ben nog steeds niet 100% overtuigd dat dit enkel door Mailstation komt. Kan jij (of iemand anders) hier iets over zeggen? Heb inmiddels al een nieuwe provider gevonden, ga geen mailserver meer draaien, en wil niet het risico lopen dat dit daar opnieuw gebeurd.

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Gebanned door internetprovider wegens Mailstation?
« Reactie #13 Gepost op: 24 februari 2011, 10:06:08 »
Zonder op de server te kijken kan ik slechts gissen!
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Gebanned door internetprovider wegens Mailstation?
« Reactie #14 Gepost op: 24 februari 2011, 10:08:09 »
Trouwens je moet bij spamhaus een verzoek doen om Van de lijst te gaan dat gaat niet vanzelf.

Ze doen dan gelijk een check of je je probleem hebt opgelost zo nee blijf je op de lijst zo ja ga je eraf
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.