Onderwerp: Honderden spam mails per minuut verstuurd vanaf VPS

Hallo,

Een aantal dagen geleden heb ik een test e-mailadres aangemaakt om wat dingen te testen omdat de mail niet meer goed werkte. Hier heb ik toen een vraag over gesteld op het TransIP forum. Dat probleem is inmiddels opgelost, maar sindsdien wordt dit e-mailadres gebruikt om te spammen. Ik heb dit e-mailadres wel al verwijderd, maar toch blijven onderstaande meldingen komen. Het lijkt of er mail verstuurd wordt vanaf mijn VPS. Maar hoe kan dat terwijl het mail adres niet meer bestaat? Hebben hackers toegang tot mijn server?
In de exim mainlog van mijn VPS zie ik de volgende meldingen verschijnen (honderden per minuut, de hele dag door):

-------------------
2015-08-07 19:24:20 1ZN1PB-00028s-03 == a.bre2013@yahoo.com R=lookuphost T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<test@mijndomeinnaam.nl> SIZE=4420: host mta5.am0.yahoodns.net [98.138.112.38]: 421 4.7.0 [TS01] Messages from HIER-MIJN-IP-ADRES temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
2015-08-07 19:24:20 1ZN4gY-0001Ko-U4 SMTP error from remote mail server after MAIL FROM:<test@mijndomeinnaam.nl> SIZE=5005: host mta6.am0.yahoodns.net [98.136.216.25]: 421 4.7.0 [TS01] Messages from HIER-MIJN-IP-ADRES temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
2015-08-07 19:24:20 1ZN4gY-0001Ko-U4 == bbarnes02@yahoo.com R=lookuphost T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<test@mijndomeinnaam.nl> SIZE=5005: host mta6.am0.yahoodns.net [98.136.216.25]: 421 4.7.0 [TS01] Messages from HIER-MIJN-IP-ADRES temporarily deferred due to user
-------------------

Het IP-adres van de VPS staat inmiddels al op verschillende blacklists waardoor klanten geen mail meer kunnen versturen.
Ook heb ik gisteren CSF en Fail2ban geïnstalleerd op mijn server, om zo de beveiliging te verbeteren. Maar de e-mail meldingen blijven komen.

Kan iemand mij vertellen wat ik moet doen om dit tegen te gaan en te stoppen, zodat er geen spam meer verstuurd wordt en ik niet meer op meer zwarte lijsten kom te staan?

Heel erg bedankt alvast!

== in exim logs betekent "delivery deferred" en het gaat dus om oude emails

run het volgende als root om de queue leeg te maken:

Code:

exiqgrep -io 300 | xargs exim -Mrm
exiqgrep -iz | xargs exim -Mrm

Daarna moet je achterhalen of er nog steeds nieuwe emails worden aangemaakt. Dat kan ik uit die logregels niet halen.

Een belangrijke opmerking: iedereen kan email versturen ogenschijnlijk vanuit naam van een ander. Het systeem is wat dat betreft niet waterdicht (sterker nog, het is zo lek als maar zijn kan). Systemen als SPF proberen daar wat aan te doen, maar het is nog steeds eenvoudig om emails in naam van een ander aan te maken (of ze ook bezorgd worden is vraag twee).

Grote kans dat het bounce messages zijn, maar dat kan ik ook niet zien aan deze beperkte log. In dat geval krijgt jouw server bijvoorbeeld slechts de onbestelbaar berichten, die je dan weer als onbestelbaar terug stuurt enzovoorts.

Bedankt voor je bericht!
Ik heb bovenstaande commando's uitgevoerd, maar dan krijg ik de volgende melding in de console:

Line mismatch: 50h 898 1ZN5K7-0007X6-0E <root@server.bramkerstenmedia.nl>
exim: no message ids given after -Mrm option

Uiteindelijk heb ik de hele mail queue kunnen leegmaken met het volgende commando:
exim -bp|grep frozen|awk '{print $3}' |xargs exim -Mrm

Als ik daarna in de exim mainlog ging kijken, zag ik dat er nog steeds elke minuut mail verstuurd wordt:

2015-08-08 00:59:09 1ZN4pG-0002Ue-H6 SMTP error from remote mail server after MAIL FROM:<test@bramkerstenmedia.nl> SIZE=5051: host mta7.am0.yahoodns.net [98.136.216.26]: 421 4.7.0 [TS01] Messages from 37.97.128.140 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
2015-08-08 00:59:09 1ZN1Td-0002wf-I0 SMTP error from remote mail server after MAIL FROM:<test@bramkerstenmedia.nl> SIZE=4420: host mta5.am0.yahoodns.net [98.138.112.34]: 421 4.7.0 [TS01] Messages from 37.97.128.140 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
2015-08-08 00:59:10 1ZN1Td-0002wf-I0 SMTP error from remote mail server after MAIL FROM:<test@bramkerstenmedia.nl> SIZE=4420: host mta7.am0.yahoodns.net [98.138.112.33]: 421 4.7.0 [TS01] Messages from 37.97.128.140 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html

Je hebt toch niet voor je test mail account een heel simpel wachtwoord gebruikt he?

Ik had voor mijn test account inderdaad een heel simpel wachtwoord gebruikt. Maar dit account heb ik dus wel al verwijderd.
Wat kan ik nu het beste doen om dit te stoppen?

Als tijdelijke maatregel kun je het remote IP in je firewall gooien, dan stopt het even, maar daarna moet je op zoek gaan naar de echte oorzaak.

Kan je de rest van de log er omheen ook eens plakken, uit dit gedeelte kan je niet opmaken wie de email (een local user of een remote smtp) verstuurd.

Het probleem is inmiddels opgelost. Iemand op dit forum heeft mij hierbij geholpen. De mail queue is uiteindelijk helemaal leeg gemaakt. Dit was blijkbaar nog niet goed gebeurd. Bedankt voor jullie hulp!

Oorspronkelijk geplaatst door bramkerstenmedia

Het probleem is inmiddels opgelost. Iemand op dit forum heeft mij hierbij geholpen. De mail queue is uiteindelijk helemaal leeg gemaakt. Dit was blijkbaar nog niet goed gebeurd. Bedankt voor jullie hulp!

Enkel de mail queue legen is niet de oplossing. Heb je ook de spam source gevonden / verwijderd?

Oorspronkelijk geplaatst door Serveo

Enkel de mail queue legen is niet de oplossing. Heb je ook de spam source gevonden / verwijderd?

In z'n beginpost zei die dat dat als eerste was opgelost (reden: een gebruteforced wachtwoord)

Wijze les in deze is, zelfs bij een testaccountje dus wel een goed wachtwoord eraan hangen, voorkomt een hoop

Ook niet vergeten dat exim de username/password combinaties cachet. Na het aanpassen van het wachtwoord van de spammende account, best ook je exim herstarten