PI versendet Spam-Mails per ssmtp

  • Hallo Zusammen,

    ich habe auf meinem PI einen Software installiert, die meine Photovoltaikanlage per BT ausliest und die Daten auf pvoutput.org hochlädt.

    Die Tage meinte mein Mailhoster, dass er meinen Mailaccount sperrt, weil über eine Mailadresse Spam versendet wurde. Der Absender war mein PI (konnten wir am Hostname ausmachen).

    Wie kann ich herausfinden, welcher Prozess auf dem PI dafür verantwortlich ist? Gibt es so eine Art Blacklist evtl.?


    Gruß
    DreiBaer

  • Bei mir würden jetzt alle roten Lampen leuchten.

    Vermutlich hast Du Deine Raspi aus dem Internet erreichbar gemacht - also ein Portforwarding auf Deinem Router eingerichtet. Schalte das sofort wieder ab. Ich vermute aber dass Deine Raspi schon kompromitiert wurde. Da hilft das aber leider nicht. Da bleibt nur die Raspi wieder neu aufzusetzen und den Zugang aus dem Internet richtig abzusichern.


  • Hast Du denn auf dem Pi irgendwo Deine Zugangsdaten für den Mail-Account gespeichert?

    Ja leider. Aber ich habe keinen Weg gefunden, dies abzusichern.
    Automatisch zusammengefügt:


    Bei mir würden jetzt alle roten Lampen leuchten.

    Vermutlich hast Du Deine Raspi aus dem Internet erreichbar gemacht - also ein Portforwarding auf Deinem Router eingerichtet. Schalte das sofort wieder ab. Ich vermute aber dass Deine Raspi schon kompromitiert wurde. Da hilft das aber leider nicht. Da bleibt nur die Raspi wieder neu aufzusetzen und den Zugang aus dem Internet richtig abzusichern.

    Hmm, ich habe nichts derartiges gemacht. Trotzdem habe ich meinen Router kontrolliert. Da sind keine Portweiterleitungen aktiviert.
    Automatisch zusammengefügt:


    Läuft vllt. als open relay, der alle Mail-Adressen akzeptiert.

    Was heisst das? Der Raspi soll als Open Relay laufen? Welche Option in der ssmtp.conf betrifft dies?

    Einmal editiert, zuletzt von DreiBaer (27. Januar 2017 um 00:11)

  • Normalerweise kann der Rapi keine Mails versenden (jedenfalls nicht über einen Account deines Providers). Es sei denn, Du hast Selbst einen Mail-DIenst so konfiguruert, dass Mails über Deinen Account weitergeroutet weden. Dort hast Du dann auch dein Passwort eingetragen. Das ist dann angreifbar, wenn jemand sich in den Pi reingehacht hat. Das ist aber normalerweise auch nur dann möglich, wenn der den Router überwunden hat. Also z.B. mittels Portweiterleitung, oder wenn ein anderer Rechner in Deinem Homenet schon infiziert war, das kommt haeufig vor, wenn DU einen Laptop (gar mit WINDOWS?) oder ein Smartphone in Deimem Heimnetz anmeldest. Dann kan eine Sorftware da drauf nach Schwachstellen in Deimem Pi suchen und ausnutzen. Ich würde also nicht nur den Pi neu aufsetzen, sondern auch nach dem Einfallstor suchen, was wahrscheinlich auf einem anderen Rechner ist oder eben in Deinem Router. Wie habt Ihr denn den Versand der Mails überhaupt zum Pi zurueckverfolgt? Ist das eindeutig? Oder könnte das eine falshe Spur sein?
    Automatisch zusammengefügt:
    Willst Du sagen, der Pi nummt als SMTP Server von irgendwo im Netz ungeprüft Emails weiter und leitet Die dann über den konfigurierten Mail-Account weiter? Das könnte Sein. Dann ist die Quelle der Spams sogar ziemlich wahrscheinlich ein anderer Rechner in deinem Netz. In dem Fall würde es reichen, den SMTP Server auf dem Pi zu deaktivieren. Das sollte man sowieso lieber machen. Jede Schadsoftware kann mit einem einfachen Port-Scan rausfinden, ob ein SMTP server läuft, und den dann sofort ausnutzen. Es gibt vielleicht sogar log-Files, dann kannst Du rausfinden, von welchem Rechner das Zeugs gekommen ist.

    Einmal editiert, zuletzt von wend (27. Januar 2017 um 07:38)

  • * Welche Software verwendest du zum auslesen und hochladen?
    ** PV-Log, oder eine andere, z.B. SBFspot?
    * Wo hast du diese Software her?

    Kannst du anhand von Logdateien sehen, welcher Prozess die Mails versendet hat (Benutzer, unter dem dieser Prozess lief)?
    Nimmst du den PI noch für etwas anderes?
    Kannst du die Mailfunktion mal abschalten? (Und dann im Systemlog sehen, wer versucht, trotzdem zu mailen)

    Computer ..... grrrrrr

  • Siehe z. B. auf deinem PI, auch die Ausgaben von:

    Code
    history | grep -iE '25|465|587'
    last

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!