Anschreiben vom Anbieter wegen Spam

stefan-becker

stefan-becker

New Member
Hallo,

heute habe ich eine Mail von meinem Provider erhalten:

Hiermit möchten wir Sie informieren, dass uns Techniker unseres Rechenzentrums oder Beschwerden Betroffener darüber in Kenntnis gesetzt haben, dass auf Ihrem Produkt eine fehlerhafte Anwendung ausgeführt wird, durch die Dritte beeinträchtigt werden. In der Regel sind dies z.B. Hackversuche oder Angriffe anderer Art
Click to expand...

In der Textdatei steht dann folgendes:
Code: 
[ SpamCop V640 ]
This message is brief for your comfort.  Please use links below for details.
 
Email from xx.xx.xx.xx / Mon, 17 Dec 2007 02:16:53 -0600 
 
[ Offending message ]
Return-Path: <anonymous@domain.com>
Delivered-To: x
Received: (qmail 15886 invoked from network); 17 Dec 2007 08:16:55 -0000
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on blade1
X-Spam-Level: ****
X-Spam-Status: hits=4.1 tests=HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,
 J_CHICKENPOX_12,MIME_HTML_ONLY,URI_HEX version=3.2.3
Received: from unknown (192.168.1.107)
  by blade1.cesmail.net with QMQP; 17 Dec 2007 08:16:55 -0000
Received: from honeydew.propagation.net (66.34.95.1)
  by mx70.cesmail.net with SMTP; 17 Dec 2007 08:16:55 -0000
Received: from domain.com (domain.com [xx.xx.xx.xx])
 by honeydew.propagation.net (8.13.6/8.13.6) with ESMTP id lBH8GnhF022356
 for <x>; Mon, 17 Dec 2007 02:16:53 -0600
Received: (qmail 8083 invoked by uid 33); 17 Dec 2007 09:16:04 +0100
Date: 17 Dec 2007 09:16:04 +0100
Message-ID: <2007_________________mail@domain.com>
To: x
Subject: Complete The Regions InterAct Confirmation !
From: "service@regions.com" <service@regions.com>
Reply-To: no-reply@regions.com
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Scanned-By: milter-spamc/1.2.361 (cwcit.com [66.34.95.151]); Mon, 17 Dec 2007 02:16:54 -0600
X-SpamCop-Checked: 66.34.95.1 xx.xx.xx.xx

Nun habe ich meine /usr/local/psa/var/log/maillog untersucht und finde das:
Code: 
Dec 17 09:16:04 v32367 qmail: 1197879364.808040 status: local 6/10 remote 11/20
Dec 17 09:16:04 v32367 qmail-queue-handlers[8080]: Handlers Filter before-queue for qmail started ...
Dec 17 09:16:04 v32367 qmail-queue-handlers[8080]: from=anonymous@domain.com
Dec 17 09:16:04 v32367 qmail-queue-handlers[8080]: to=name@domain.com
Dec 17 09:16:04 v32367 qmail-queue-handlers[8080]: hook_dir = '/var/qmail//handlers/before-queue'
Dec 17 09:16:04 v32367 qmail-queue-handlers[8080]: recipient[3] = 'name@domain.com'
Dec 17 09:16:04 v32367 qmail-queue-handlers[8080]: handlers dir = '/var/qmail//handlers/before-queue/recipient/name@domain.com'
Dec 17 09:16:04 v32367 qmail-queue-handlers[8080]: starter: submitter[8083] exited normally

Wie kann ich denn jetzt genau heraus finden, warum mein Server das angenommen hat und über welchen Benutzer?

Stefan
 
Last edited by a moderator:
stefan-becker said:
Wie kann ich denn jetzt genau heraus finden, warum mein Server das angenommen hat und über welchen Benutzer?
Click to expand...
Steht doch schon im Header ueber welchen Benutzer: uid 33

Code: 
grep 33 /etc/passwd

Mutmasslich "wwwrun" o.ae. Ein unsicheres Skript auf Deinem Webserver wird also zum Spamversand missbraucht.
 
Tja, nicht so einfach. Zeiten vergleichen mit den Zugriffszeiten in deinen Webserver-access-logs. Mittels entsprechend angepasster Oneliner geht das auch eingermassen.

Falls Dein Server immer noch spammt bietet sich u.U. auch zu protokollieren welche Mails ueber den Webserver verschickt werden:

Code: 
mv /usr/sbin/sendmail /usr/sbin/sendmail.backup
vi /usr/sbin/sendmail
chmod +x /usr/sbin/sendmail
touch /var/log/formmail.log
chmod 777 !$

/usr/sbin/sendmail:
----------------------------
Code: 
#!/usr/bin/perl

# use strict;
use Env;
my $date = `date`;
chomp $date;
open (INFO, ">>/var/log/formmail.log") || die "Failed to open file ::$!";
my $uid = $>;
my @info = getpwuid($uid);
if($REMOTE_ADDR) {
print INFO "$date - $REMOTE_ADDR ran $SCRIPT_NAME at $SERVER_NAME \n";
}
else {

print INFO "$date - $PWD - @info\n";

}
my $mailprog = '/usr/sbin/sendmail.backup';
foreach (@ARGV) {
$arg="$arg" . " $_";
}

open (MAIL,"|$mailprog $arg") || die "cannot open $mailprog: $!\n";
while (<STDIN> ) {
print MAIL;
print INFO;
}
close (INFO);
close (MAIL);
 
Ich habe das HowTo von Huschi eingepflegt Über meinen Server werden Spam's verschickt! - huschi.net

Nun finde ich ich dem /tmp Verzeichnis folgende Datei:

crank.2x2
lol.pl
new.txt

Inhalt von new.txt

Code: 
#!/usr/bin/perl
#
#      ooo
#     (o o)
# ooO--(_)--Ooo-
#
# Pitbull Bot Version 2.0
#
#If you see a RFI Scanner with V3nOm name on it .. its mine lol look only @ those logs of this lamer :
#
#<V3nOm> im gonna release on boards to
#<The_PitBull> go ahead
#<The_PitBull> :D
#<V3nOm> then they know its mine
#<The_PitBull> nope dont work
#<The_PitBull> everyone reconize the colors
#<V3nOm> hahahahahahah
#<V3nOm> and ?
#<The_PitBull> they know you suc
#<The_PitBull> lol
#
# * Now talking in #V3nOm
# * Topic is 'OFF'
# * Set by V3nOm on Sun Aug 12 07:35:28
#<MeGa|RFIScanner|> |.:Info:.| Engines : Google Bypass, UOL, Libero, MSN, AllTheWeb, ASK, AOL, UOL, Lycos, FireBall, Yahoo
#<MeGa|RFIScanner|> |.:Info:.| C0ded by : V3nOm
#
#* The_PitBull sets mode: +v PitBull_Bot|254876
#<The_PitBull> PitBull_Bot|254876 uname -a
#<PitBull_Bot|254876> FreeBSD mail.sw-net.ru 6.0-RELEASE FreeBSD 6.0-RELEASE #0: Thu Nov  3 09:36:13 UTC 2005     root@x64.samsco.home:/usr/obj/usr/src/sys/GENERIC  i386
#<The_PitBull> PitBull_Bot|254876 echo I SUCK REALLY REALLY HARD !
#<PitBull_Bot|254876> I SUCK REALLY REALLY HARD !
#<iNs> lol
#<iNs> how
#<The_PitBull> he just paste
#<iNs> PitBull_Bot|254876 (tes@max-2D59930E.hsd1.pa.comcast.net)
#<iNs> can be
#<iNs> FreeBSD mail.sw-net.ru
#<iNs> lol
#
# Coded by : The_PitBull
 [..]

Was ist da los?
 
Ich denke nicht dass es einen Zusammenhang gibt zu Huschis HowTo, allerdings könnte Dich das ehe rauf die Spur des Spams bringen!
 
Ich habe jetzt in dem Logfile folgendes stehen:

Code: 
2007-12-20 sendmail-wrapper called from /root
2007-12-20 sendmail-wrapper called from /root

Woher soll denn aus dem root verzeichnis etwas verschickt worden sein? Oder sind das dann Systemmails?
 
Es gibt natürlich auch System-Mails, die Du grundsätzlich auch ließt, gelle?
Wenn Du die Zeitangabe im Log verfeinern willst setz noch ein "seconds" inter "date -I".
Dann kannst Du es mit dem Maillog besser vergleichen.

huschi.
 
You must log in or register to reply here.
Back
Top