rene.glembotzky.com » Debian, Server & Technik

Exploits of a Mom…

Rene — Thu, 17 Jan 2008 10:22:59 +0000

Offenes Exim Relay schließen oder: Mist, ich bin ein Spammer…

Rene — Wed, 22 Aug 2007 21:40:42 +0000

Heute und gestern war einer unserer Server eine Spamschleuder! *schock* Es handelte sich hierbei glücklicherweise nicht um ein Produktivitätssystem sondern einen relativ Testserver mit dem üblichen LAMP-Standard (Debian, Exim, Confixx).

Und zwar ist es so, dass in der /etc/hosts die IP-Adresse 127.0.0.1 nicht nur localhost zugeordnet wurde sondern auch localhost.localdomain. Diese Datei hat Exim zumindest in unserer Konfiguration in die Liste erlaubten Relaynetze eingelesen und damit zu einem Sicherheitsleck geführt.

Der Spammer nutzte (ob bewusst oder unbewusst) eben diesen Umstand und identifizierte sich beim Aufbau der SMTP-Verbindung mit “localhost.localdomain”.

Unser Exim, unerfahren und blöd, erkannte mit seiner rosaroten Bille nur *bing* ein erlaubtes Relay und versuchte (wohlbemerkt versuchte) munter jede Menge Mails zu versenden – summa summarum ein paar Tausend Nachrichten inklusive jeweils 10 Bildcopies (BCC).

Glücklicherweise hatten wir den Reverse-DNS Eintrag noch nicht gesetzt, so dass Yahoo! (mein absoluter Negativfavorit in Sachen Freemailer) keine einzige Mail vom Spam entgegengenommen hat. Ein zweites Mal Glück im Unglück hatten wir, dass zufällig alle(!) Mails an Yahoo! Adressen adressiert waren – grins…

Naja… Auf jeden Fall habe ich den localhost.localdomain Eintrag erst einmal entfernt und hoffe, dass nun kein Connect mehr akzeptiert wird. Falls doch muss werde ich doch Postfix installieren…

Spamassassin “Rules du Jour” installieren

Rene — Wed, 22 Aug 2007 14:22:37 +0000

Viele von Euch habe sicherlich das das gleiche Problem wie ich: Zu viel Spam im Briefkasten.

Obwohl Outlook einen Großteil der Mails filtert, landen immer wieder jede Menge Viagra-Casino-Sex-Bürostuhl-Cialis-Mails im Posteingang statt im Junk-Filter.

Heute haben wir unseren Server geupdated und die “Rules du Jour” für Spamassassin installiert. Gleiches empfehle ich jedem, der in den Genuss kommt, eigene Mailserver zu haben. Das Vorgehen ist super einfach:

Im Verzeichnis, wo die local.cf von Spamassassin liegt, per WGET die Datei http://sandgnat.com/rdj/rules_du_jour runterladen und anschließend ausführbar machen.

cd /etc/spamassassin WGET http://sandgnat.com/rdj/rules_du_jour chmod +x /etc/spamassassin/rules_du_jour

Anschließend die Datei mit Nano editieren und nach eigenen Wünschen anpassen (z.B. die eMail Adresse für Notifications eingeben, den Pfad zu Spamassassin ändern)

Nun die Datei ausführen.

./rules_du_jour

Bei der ersten Ausführung gib es relativ oft Probleme, da folgendes angezeigt wird:

warning: description for RCVD_IN_MAPS_RBL is over 50 chars
warning: description for BILL_1618 is over 50 chars
warning: description for ALL_TRUSTED is over 50 chars

Dies liegt in den meisten Fällen daran, dass noch veraltete Regeln des Spamassassin vorhanden sind, die bei den meisten Systemen im Verzeichnis /usr/share/spamassassin liegen. Diese können aber getrost gelöscht werden:

rm -r /usr/share/spamassassin/*.

Nach der Löschung sicherheitshalber noch einmal die Installation prüfen…

spamassassin --lint --debug

… und eventuell fehlende Perl-Module nachinstallieren (nur bei Fehlemeldung not installed):

perl -MCPAN -e shell install modulname (z.B. install Mail::SpamAssassin::Plugin::Razor2)

Damit man das Update der Rule de Jour nicht immer per Hand machen muss, empfehle ich einen Cronjob einzurichten, der /etc/spamassassin/rules_du_jour regelmäßig ausführt und damit Spamassassin aktuell hält.

Fertig!

Änderung der Confixx Admin-/Login-Domain

Rene — Sat, 28 Jul 2007 12:58:08 +0000

Wir haben gestern und heute ziemlich rumgefrickelt, weil wir auf einem Server im Rechenzentrum von Server4You die Serverdomain von Confixx ändern wollten.

Das Problem bestand darin, dass die Verwaltungs-URL von Confixx nicht auf dem Servernamen (beispiel123.server4you.de), sondern einer Subdomain des eigentlichen Angebotes (login.meinname.de) angezeigt werden sollte.

Und so geht’s:

Domain über das Reseller-Interface von Confixx wie eine normale Kundendomain angelegen (meinname.de)
Subdomain über das Kunden-Interface anlegen (login.meinname.de)
Als Administrator einloggen und einen httpd-Spezial Eintrag für eine Domain mit folgendem Inhalt anlegen

DocumentRoot /var/www/confixx/html
Options FollowSymLinks
php_admin_flag safe_mode Off
php_admin_flag file_uploads On
php_admin_flag track_vars On
php_admin_flag magic_quotes_runtime Off
php_admin_flag magic_quotes_gpc Off
php_admin_value upload_tmp_dir /var/www/confixx/tmp
### Das hier in eine Zele setzen ###
php_admin_value include_path “.:/var/www/confixx/html/include:
/var/www/confixx/html:/var/www/confixx/html/PEAR”
### Ende der Zeile ###
php_admin_value default_charset none
php_admin_value open_basedir /var/www/confixx
php_admin_flag allow_url_fopen Off

php_admin_value session.cookie_path /
php_admin_value session.auto_start 0
php_admin_value session.gc_maxlifetime 1800
php_admin_value session.use_cookies 1
php_admin_value session.cookie_lifetime 0
php_admin_value session.cookie_secure Off
php_admin_value session.use_trans_sid 0

Fertig!