Server Support Forum
Anzeige:


Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 21.07.2011, 11:13
KUNSTdrucker KUNSTdrucker ist offline
Registered User
 
Registriert seit: 07.2011
Beiträge: 24
postfix versendet spam

Hallo!

Hab mir bei alfahosting einen VPS angemietet. Seit einem halben Jahr lief alles gut. Seit Samstag letzter Woche wurde aber über meinen Server massenweise SPAM verschickt und ich versuche seitdem zu eruieren, woher das Problem stammt.

Gesendet wurden die mails über das postfix system, was ich nun erstmal deaktivert hab.

Ein Auszug aus der mail.log

Zitat:
Jul 16 01:53:05 vps9558 postfix/smtp[31756]: D51262AED169A: to=<taatsiannguq@hotmail.com>, relay=mx4.hotmail.com[65.55.37.72]:25, conn_use=4, delay=2372, delays=0.01/2371/0.16/1.6, dsn=5.0.0, status=bounced (host mx4.hotmail.com[65.55.37.72] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command))
Jul 16 01:53:05 vps9558 postfix/qmgr[7575]: 12EE99E902DC: from=<web1@vps9558.alfahosting-vps.de>, size=1300, nrcpt=8 (queue active)
Jul 16 01:53:05 vps9558 postfix/smtp[30649]: CD73A2AED169B: to=<shierath@shaw.ca>, relay=idcmail.shaw.ca[24.71.223.11]:25, delay=2371, delays=0.01/2370/0.54/0.72, dsn=2.0.0, status=sent (250 ok: Message 1149916080 accepted)
Heute morgen dann habe ich versucht, einen wrapper zu erstellen, um mitzuloggen, ob eventuell ein offenes/schädliches php-Skript die mails versendet.

Ich habe mich dabei an diese Anleitung gehalten:

http://www.howtoforge.com/how-to-log...tect-form-spam

Zweimal für jeweils 5 Minuten habe ich zum Testen des wrappers postfix wieder angestellt.

Sofort gingen wieder an die 200 mails raus. Ich nehme an, dass diese noch irgendwo in der queue hängen? Kann mir jemand sagen, wo ich die queue finden kann?

Leider hat der wrapper auch kein Ergebnis gebracht. Ich habe die mailtest.php ausgeführt und die eigens dafür erstellte log-Datei blieb leer. Hat mich also nicht wirklich weiter gebracht.

Über ein paar Hinweise und Tips würde ich mich freuen!

Danke
Micha
Mit Zitat antworten

  #2  
Alt 21.07.2011, 11:20
Benutzerbild von Thorsten
Thorsten Thorsten ist offline
Moderator
 
Registriert seit: 07.2003
Alter: 43
Beiträge: 15.520
Blog-Einträge: 78
Thorsten eine Nachricht über ICQ schicken
Hallo!
Zitat:
Zitat von KUNSTdrucker Beitrag anzeigen
Kann mir jemand sagen, wo ich die queue finden kann?
Was sagt postqueue -p?

mfG
Thorsten
Mit Zitat antworten
  #3  
Alt 21.07.2011, 11:31
KUNSTdrucker KUNSTdrucker ist offline
Registered User
 
Registriert seit: 07.2011
Beiträge: 24
UI, Danke für die schnelle Antwort.

Wenn ich den Befehl ausführe hört es gar nicht auf zu rattern.


Mit Zitat antworten
  #4  
Alt 21.07.2011, 11:42
Benutzerbild von Thorsten
Thorsten Thorsten ist offline
Moderator
 
Registriert seit: 07.2003
Alter: 43
Beiträge: 15.520
Blog-Einträge: 78
Thorsten eine Nachricht über ICQ schicken
Hallo!
Als erstes mal Postfix stoppen. Da dein verlinkter Beitrag nicht gefunden wird, hier mal eine Anleitung mit der du herausfinden kannst, was dein Mailserver so treibt:

http://huschi.net/11_222_de-ber-mein...erschickt.html

Bitte mal durcharbeiten.

mfG
Thorsten
Mit Zitat antworten
  #5  
Alt 21.07.2011, 11:46
KUNSTdrucker KUNSTdrucker ist offline
Registered User
 
Registriert seit: 07.2011
Beiträge: 24
link

Hier der Link nochmal; aber ich geh mal huschi durch. Danke

http://www.howtoforge.com/how-to-log...tect-form-spam
Mit Zitat antworten
  #6  
Alt 21.07.2011, 11:59
cosimo.de cosimo.de ist offline
Registered User
 
Registriert seit: 04.2009
Beiträge: 242
Der Übeltäter ist der User web1.

Mit postsuper -d all kannst du die komplette Queue löschen.
(Vorher /var/spool/postfix sicher -> Beweise)

Dann das web1 deaktivieren.

Jetzt sollte der Spuck erstmal vorbei sein.
Im Apachelog des Users findest du auch das Skript welches für den Versand verantwortlich ist.
Wenn du PHP 5.3 oder suhosin Patch installiert hast siehst du den Übeltäter auch im Quelltext der Mails die in der Queue liegen. Diese hast du oben ja weggesichert.
__________________
René Marticke
COSIMO GmbH Tel: 034344/80465 --- Innovative Lösungen im Internet --> Dynamisches DNS und IPv6 Portmapper
Mit Zitat antworten
  #7  
Alt 21.07.2011, 13:31
Benutzerbild von wstuermer
wstuermer wstuermer ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: Hürth
Alter: 34
Beiträge: 2.910
wstuermer eine Nachricht über ICQ schicken
Zitat:
Zitat von cosimo Beitrag anzeigen
Mit postsuper -d all kannst du die komplette Queue löschen.
"postsuper -d ALL" wenn schon. Das "ALL" muss zwingend upper case sein.
Mit Zitat antworten
  #8  
Alt 21.07.2011, 15:55
KUNSTdrucker KUNSTdrucker ist offline
Registered User
 
Registriert seit: 07.2011
Beiträge: 24
Hallo!

Vielen vielen Dank für die schnelle und professionelle Hilfe. Hat soweit alles gut geklappt.

Ich such mich grad dumm und dämlich nach den Log des web1.

Ich habe im var/log/apache2 für den betreffenden Zeitraum riesige other_vhosts_access Logdateien gefunden, die ich aber hier auf diesem Rechner nicht öffnen kann, weil zu groß. Ich schau da heute abend mal von zuhause aus rein.

Sind das die richtigen Log-Dateien oder muss ich woanders schauen?

Danke

Bis dann
Micha
Mit Zitat antworten
  #9  
Alt 22.07.2011, 07:43
KUNSTdrucker KUNSTdrucker ist offline
Registered User
 
Registriert seit: 07.2011
Beiträge: 24
Moin Moin,

hab den Übeltäter in der besagten Log-Datei gefunden; vielen Dank. War ein schädliches script beim web1.

Vielen Dank nochmal für die Hilfe!
Micha
Mit Zitat antworten
  #10  
Alt 27.07.2011, 13:27
KUNSTdrucker KUNSTdrucker ist offline
Registered User
 
Registriert seit: 07.2011
Beiträge: 24
password differ

Moin,

ich hab jetzt postfix wieder gestartet. Nun kommt die Meldung:

Zitat:
postfix/postfix-script: warning: /va/spool/postfix/etc/passwd and /etc/passwd differ
Was hat das zu bedeuten? Ein User von mir hat zwischenzeitlich versucht, Konten anzulegen. Hat es was damit zu tun?

Danke
Micha
Mit Zitat antworten
  #11  
Alt 27.07.2011, 13:52
Benutzerbild von chrismaden
chrismaden chrismaden ist offline
Keep it Low
 
Registriert seit: 08.2010
Ort: ffm
Alter: 22
Beiträge: 261
Kann daran liegen..
Hier, danach sollte es sicherlich wieder gehen
Code:
cp /etc/passwd /var/spool/postfix/etc/passwd
Mit Zitat antworten
  #12  
Alt 27.07.2011, 14:58
stefan1994 stefan1994 ist offline
Registered User
 
Registriert seit: 01.2011
Beiträge: 40
Wenn ich mir die Fehlermeldung so ansehe steht da "/va/". Sollte da nicht eigentlich "/var/" stehen? Wird vermutlich daran liegen das die Datei unter dem angegeben Verzeichnis überhaupt nicht existiert.
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
postfix, script, spam, wrapper


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Mailserver missbraucht? funkuch3n Mail 5 02.07.2010 14:13
Postfix mit Postgrey Error 451 4.3.5 Server configuration problem firemaster1985 Mail 3 26.05.2010 21:10
Postfix 554 5.7.1 firemaster1985 Mail 7 17.08.2009 14:38
numothersock problem durch postfix ? rota50 Virtuelle Server 7 13.05.2007 18:03
Postfix - Alle Mails landen beim gleichen User I_Maruko_I Mail 4 22.04.2007 13:51





Powered by vBulletin® Version 3.8.8 (Deutsch)
Copyright ©2000 - 2014, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2014 DragonByte Technologies Ltd.
System Monitoring by Bloonix